情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅰ 問22: 監査証拠の入手と評価に関する記述のうち,システム監査基準(平成 30 年)に照らして,適切でないものはどれか。
監査証拠の入手と評価に関する記述のうち,(平成 30 年)に照らして,適切でないものはどれか。
問題本文
監査証拠の入手と評価に関する記述のうち,システム監査基準(平成 30 年)に照らして,適切でないものはどれか。
選択肢
- ア.アジャイル手法を用いたシステム開発プロジェクトにおいては,管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。
- イ.外部委託業務実施拠点に対する現地調査が必要と考えたとき,委託先から入手した第三者の保証報告書に依拠できると判断すれば,現地調査を省略できる。
- ウ.十分かつ適切な監査証拠を入手するための本調査の前に,監査対象の実態を把握するための予備調査を実施する。
- エ.一つの監査目的に対して,通常は,複数の監査手続を組み合わせて監査を実施する。
正解
ア. アジャイル手法を用いたシステム開発プロジェクトにおいては,管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。
解説
システム監査基準では、十分かつ適切な監査証拠を入手することが求められ、開発手法に応じて多様な記録を証拠として活用する。アジャイル開発では正式な管理ドキュメントだけでなく、ふせんやチャット記録なども監査証拠になり得る。よって体裁の整ったものだけに限るとするアが適切でない。
選択肢ごとの解説
- ア.体裁の整ったドキュメントだけを証拠とするのは誤りで、多様な記録を活用すべきため適切でない。
- イ.信頼できる第三者の保証報告書に依拠できれば現地調査を省略しうるという、適切な記述。
- ウ.本調査の前に監査対象の実態把握のための予備調査を行うのは、監査手続として適切な記述。
- エ.一つの監査目的に複数の監査手続を組み合わせるのは、証拠の十分性を高める適切な記述。
情報処理安全確保支援士試験 令和2年度 午前Ⅰ の過去問一覧へ戻る・問22