応用情報技術者試験 応用情報技術者試験 令和3年度秋期 午前 問60: システム監査基準（平成 30 年）に基づいて，監査報告書に記載された指摘事項に対応する際に，不適切なものはどれか。

問題本文

システム監査基準（平成 30 年）に基づいて，監査報告書に記載された指摘事項に対応する際に，不適切なものはどれか。

選択肢

• ア.監査対象部門が，経営者の指摘事項に対するリスク受容を理由に改善を行わないこととする。
• イ.監査対象部門が，自発的な取組によって指摘事項に対する改善に着手する。
• ウ.システム監査人が，監査対象部門の改善計画を作成する。
• エ.システム監査人が，監査対象部門の改善実施状況を確認する。

正解

ウ. システム監査人が，監査対象部門の改善計画を作成する。

解説

システム監査人の独立性に関わる役割分担を問う問題です。監査人は指摘事項への改善を助言・フォローするにとどまり、改善計画を立てて実行するのは監査対象部門の責任です。監査人が監査対象部門の改善計画を作成してしまうと、自分が作ったものを後で自分が監査することになり独立性・客観性が損なわれるため、ウが不適切で正解(問われているのは“不適切なもの”)です。

選択肢ごとの解説

• ア.経営者の判断でリスクを受容し改善を行わないと決めることは経営判断としてあり得るため、対応として不適切とは言えず誤り(=適切な対応)。
• イ.監査対象部門が自発的に指摘事項の改善に着手するのは望ましい対応であり、不適切ではないため誤り(=適切な対応)。
• ウ.監査人が監査対象部門の改善計画そのものを作成すると独立性が損なわれ、後の監査の客観性が保てなくなるため不適切であり、これが正解。
• エ.監査人が改善の実施状況を確認(フォローアップ)するのは監査人の正当な役割であり、不適切ではないため誤り(=適切な対応)。