情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅰ 問22: 監査証拠の入手と評価に関する記述のうち,システム監査基準(平成30年)に照らして,適切でないものはどれか。
←情報処理安全確保支援士試験 令和4年度春期 午前Ⅰ
監査証拠の入手と評価に関する記述のうち,(平成30年)に照らして,適切でないものはどれか。
問題本文
監査証拠の入手と評価に関する記述のうち,システム監査基準(平成30年)に照らして,適切でないものはどれか。
選択肢
- ア.アジャイル手法を用いたシステム開発プロジェクトにおいては,管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。
- イ.外部委託業務実施拠点に対する監査において,システム監査人が委託先から入手した第三者の保証報告書に依拠できると判断すれば,現地調査を省略できる。
- ウ.十分かつ適切な監査証拠を入手するための本調査の前に,監査対象の実態を把握するための予備調査を実施する。
- エ.一つの監査目的に対して,通常は,複数の監査手続を組み合わせて監査を実施する。
正解
ア. アジャイル手法を用いたシステム開発プロジェクトにおいては,管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。
解説
システム監査基準では、監査証拠は形式(体裁の整ったドキュメント)に限らず、口頭説明やチャット、各種記録など多様な情報を実態に応じて活用してよいとされる。アはアジャイル開発で体裁の整ったものだけが証拠になるとしており不適切で、これが正解(適切でないもの)。イ・ウ・エはいずれも基準に沿った妥当な記述。証拠は十分かつ適切かで判断する姿勢が重要。
選択肢ごとの解説
- ア.体裁の整った管理ドキュメントだけを証拠とするのは誤り。実態に即し多様な情報を証拠にできる。適切でない記述で正解。
- イ.信頼できる第三者の保証報告書に依拠できれば現地調査を省略しうるのは妥当。適切な記述で正解ではない。
- ウ.本調査前に実態把握のため予備調査を行うのは標準的手順で妥当。適切な記述のため正解ではない。
- エ.一つの監査目的に複数の監査手続を組み合わせるのは一般的で妥当。適切な記述のため正解ではない。
情報処理安全確保支援士試験 令和4年度春期 午前Ⅰ の過去問一覧へ戻る・問22