情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅰ 問22: システム監査人が監査報告書に記載する改善勧告に関する説明のうち，適切なものはどれか。

問題本文

システム監査人が監査報告書に記載する改善勧告に関する説明のうち，適切なものはどれか。

選択肢

• ア.改善の実現可能性は考慮せず，監査人が改善の必要があると判断した事項だけを記載する。
• イ.監査証拠による裏付けの有無にかかわらず，監査人が改善の必要があると判断した事項を記載する。
• ウ.監査人が改善の必要があると判断した事項のうち，被監査部門の責任者が承認した事項だけを記載する。
• エ.調査結果に事実誤認がないことを被監査部門に確認した上で，監査人が改善の必要があると判断した事項を記載する。

正解

エ. 調査結果に事実誤認がないことを被監査部門に確認した上で，監査人が改善の必要があると判断した事項を記載する。

解説

改善勧告は、まず調査結果に事実誤認がないかを被監査部門に確認(事実確認)した上で、監査人が改善必要と判断した事項を記載する。エが正解。監査証拠に裏付けられ、実現可能性も踏まえることが求められる。事実確認は勧告の客観性と説得力を担保し、無用な反論を防ぐ手続きである。

選択肢ごとの解説

• ア.改善勧告は実現可能性も考慮すべきで、考慮せず記載するのは適切でなく誤り。
• イ.勧告は監査証拠による裏付けが前提であり、有無を問わず記載するのは誤り。
• ウ.被監査部門の承認は勧告記載の要件ではなく、承認した事項だけに限るのは誤り。
• エ.事実誤認がないことを確認した上で改善必要事項を記載する、正しい手続き。