リスクアプローチ|情報処理安全確保支援士試験 令和5年春期午前Ⅱ 問25
出典:令和5年春期 午前Ⅱ 問25
分野:システム監査(中分類) / システム監査(小分類)
システム監査基準(平成30年)に基づくシステム監査において,リスクに基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として、適切なものはどれか。
- ア:監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
- イ:情報システムリスクの大小にかかわらず、全ての監査対象に対して一律に監査資源を配分する。
- ウ:情報システムリスクは,情報システムに係るリスクと,情報の管理に係るリスクの二つに大別されることに留意する。
- エ:情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。
TSUNAGARU-ADVICE
まず押さえたいこと
リスクアプローチでは、限られた監査資源を有効に使うため、リスクの大きい領域を重点的に監査します。その際、情報システムリスクは常に一定ではなく変化する点を考慮する必要があります。
迷ったときの判断軸
監査リスクを完全に回避することは現実的ではなく、全ての監査対象へ一律に資源を配分するのもリスクアプローチではありません。重要なのは、システム変更・業務変更?外部環境の変化などによって、リスクの特性や影響度が変わることを踏まえて監査計画を立てることです。
科目Bにつなげるために
科目Bでは、監査計画やリスク評価について、何を重点的に確認すべきかを判断する場面があります。リスクアプローチでは、リスクの高い領域に監査資源を重点配分するという考え方を押さえ、リスクの変化にも注意して読み取りましょう。
リスクアプローチでは、情報システムリスクの大きさや変化を踏まえて、監査対象、監査範囲、監査手続、監査資源の配分などを決めます。
情報システムリスクは、システム環境・業務内容・外部委託・法令・サイバー攻撃の状況などによって変化します。そのため、リスクが常に一定であるとは考えず、リスクの特性の変化や、その変化がもたらす影響に留意する必要があります。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
⇒監査リスクを完全に回避することは現実的ではありません。リスクアプローチでは、リスクを評価したうえで、重要性の高い領域に監査資源を重点的に配分し、監査リスクを合理的な水準に抑えることを目指します。
イ:情報システムリスクの大小にかかわらず、全ての監査対象に対して一律に監査資源を配分する。
⇒リスクアプローチの考え方と逆です。情報システムリスクが高い領域には監査資源を厚く配分し、リスクが低い領域には必要な範囲で配分するなど、リスクに応じて重点化します。
ウ:情報システムリスクは,情報システムに係るリスクと,情報の管理に係るリスクの二つに大別されることに留意する。
⇒情報システムリスクを分類して把握すること自体は重要ですが、リスクアプローチで特に考慮すべき事項としては、リスクが常に一定ではなく、特性や影響が変化する点への留意がより適切です。