情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問25: システム監査基準(平成 30 年)に基づくシステム監査において,リスクに基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として,適切なものはどれか。
←情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ
(平成 30 年)に基づくシステム監査において,リスクに基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として,適切なものはどれか。
問題本文
システム監査基準(平成 30 年)に基づくシステム監査において,リスクに基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として,適切なものはどれか。
選択肢
- ア.監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
- イ.情報システムリスクの大小にかかわらず,全ての監査対象に対して一律に監査資源を配分する。
- ウ.情報システムリスクは,情報システムに係るリスクと,情報の管理に係るリスクの二つに大別されることに留意する。
- エ.情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。
正解
エ. 情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。
解説
リスクアプローチは、限られた監査資源をリスクの高い領域に重点配分する考え方。情報システムリスクは固定ではなく、技術や環境の変化で常に変動するため、その特性の変化と影響に留意して監査計画を立てる必要がある。よってエが正解。監査リスクを完全回避はできず、一律配分はリスクアプローチに反する。実務では変化するリスクを継続的に見直し、効果的・効率的な監査を行う。
選択肢ごとの解説
- ア.監査リスクは完全には回避できず、完全回避を前提とする計画は現実的でなく誤り。
- イ.リスクの大小によらず一律に資源配分するのはリスクアプローチの考え方に反し誤り。
- ウ.リスクを二つに大別する点に留意との記述は本問が問うリスクアプローチの考慮事項として適切でなく誤り。
- エ.リスクは一定でなく変化と影響に留意するという記述がリスクアプローチの趣旨どおりで正しい。
情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ の過去問一覧へ戻る・問25