応用情報技術者試験 応用情報技術者試験 平成31年度春期 午前 問59: システム監査基準（平成 30 年）に基づいて，監査報告書に記載された指摘事項に対応する際に，不適切なものはどれか。

問題本文

システム監査基準（平成 30 年）に基づいて，監査報告書に記載された指摘事項に対応する際に，不適切なものはどれか。

選択肢

• ア.監査対象部門が，経営者の指摘事項に対するリスク受容を理由に改善を行わないこととする。
• イ.監査対象部門が，自発的な取組によって指摘事項に対する改善に着手する。
• ウ.システム監査人が，監査対象部門の改善計画を作成する。
• エ.システム監査人が，監査対象部門の改善実施状況を確認する。

正解

ウ. システム監査人が，監査対象部門の改善計画を作成する。

解説

システム監査人の独立性に照らして不適切な行為を選ぶ問題である。指摘事項の改善計画を作成し実行するのは、あくまで監査される側(監査対象部門)の責任であり、監査人は助言やフォローアップ(改善状況の確認)を行うにとどまる。監査人自身が改善計画を作成すると、自分が関与した対象を自分で監査することになり独立性を損なうため、ウが不適切で正解である。

選択肢ごとの解説

• ア.経営者がリスクを受容すると判断したことを理由に改善を行わないという選択は、リスク対応の経営判断としてあり得るもので、不適切とはいえない。
• イ.監査対象部門が自発的に改善へ着手するのは望ましい対応であり、不適切ではない。
• ウ.監査人が監査対象部門の改善計画を作成すると、自らが作成したものを監査する立場となり独立性を損なう。よってこれが不適切で正解である。
• エ.監査人が改善実施状況を確認するのはフォローアップとして本来の役割の範囲内であり、不適切ではない。