情報処理安全確保支援士試験 令和7年秋期午前Ⅱ システム監査基準
出典:令和7年秋期 午前Ⅱ 問25
分野:システム監査(中分類) / システム監査(小分類)
システム監査基準(令和5年)に基づくシステム監査において,リスク評価に基づいた監査計画の策定で考慮すべき事項として,適切なものはどれか。
- ア:監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
- イ:システム監査におけるリスク・アプローチでは,各監査対象に対して均等に監査資源を配分する。
- ウ:システム監査に係るリスクのうち,監査対象に対するリスクは,統制リスクと残存リスクの二つに大別される。
- エ:組織体内外の環境変化によってリスクが相当程度変化した場合には,監査計画の見直しを検討し,必要に応じて変更する。
TSUNAGARU-ADVICE
まず押さえたいこと
この問題では、監査計画を一度決めたら固定するのではなく、リスク評価に応じて監査の重点や計画を見直すという考え方を押さえることが重要です。
迷ったときの判断軸
リスク・アプローチは、全ての対象に均等に資源を配分する考え方ではありません。また、監査リスクを完全にゼロにすることも現実的ではありません。したがって、環境変化によってリスクが大きく変わった場合は、監査計画の見直しを検討し、必要に応じて変更すると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、監査基準の文言を暗記するだけでなく、限られた監査資源をどこに重点配分するかをリスクに応じて考えられるかが問われます。監査は一律に行うものではなく、リスクの変化に応じて柔軟に計画を見直すものだと理解しておきましょう。※監査関連試験向け
リスク評価に基づく監査計画は、環境変化や監査対象の状況変化によって前提となるリスクが変わり得ます。
このため、組織体内外の環境変化によってリスクが相当程度変化した場合には、監査計画の見直しを検討し、必要に応じて変更することが適切です。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
⇒監査リスクを完全に回避する、という点で違います。監査には限界があるため、監査リスクをゼロにする計画は現実的でも基準の考え方でもありません。
イ:システム監査におけるリスク・アプローチでは,各監査対象に対して均等に監査資源を配分する。
⇒均等配分する、という点で違います。リスク・アプローチでは、リスクの高い領域に監査資源を重点配分します。
ウ:システム監査に係るリスクのうち,監査対象に対するリスクは,統制リスクと残存リスクの二つに大別される。
⇒統制リスクと残存リスクに大別する、という点で違います。監査リスクやリスク分類の考え方として不適切で、監査対象のリスクは統制の有効性なども踏まえて評価します。