情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅰ 問21: システム監査基準（平成30年）における予備調査についての記述として，適切なものはどれか。

問題本文

システム監査基準（平成30年）における予備調査についての記述として，適切なものはどれか。

選択肢

• ア.監査対象の実態を把握するために，必ず現地に赴いて実施する。
• イ.監査対象部門の事務手続やマニュアルなどを通じて，業務内容，業務分掌の体制などを把握する。
• ウ.監査の結論を裏付けるために，十分な監査証拠を入手する。
• エ.調査の範囲は，監査対象部門だけに限定する。

正解

イ. 監査対象部門の事務手続やマニュアルなどを通じて，業務内容，業務分掌の体制などを把握する。

解説

システム監査基準の予備調査は、本調査に先立ち監査対象の実態を把握する段階。事務手続やマニュアル等を通じて業務内容や業務分掌、体制を理解し、本調査の範囲や着眼点を絞る。よってイが正解。現地訪問は必須ではなく文書等でも可、十分な証拠入手は本調査の役割。実務では予備調査で監査計画を具体化し、効率的な本調査につなげる。

選択肢ごとの解説

• ア.予備調査は必ずしも現地に赴く必要はなく、資料調査でも実態把握ができるため誤り。
• イ.事務手続やマニュアルを通じて業務内容・業務分掌の体制を把握することが予備調査の目的で正しい。
• ウ.結論を裏付ける十分な監査証拠の入手は本調査の役割で、予備調査の説明としては不適切。
• エ.予備調査は対象部門に限らず関連情報も把握し得るもので、範囲を限定すると断じるのは誤り。