情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問9: JIS Q 31000:2010における残留リスクの定義はどれか。

問題本文

JIS Q 31000:2010における残留リスクの定義はどれか。

選択肢

• ア.監査手続を実施しても監査人が重要な不備を発見できないリスク
• イ.業務の性質や本来有する特性から生じるリスク
• ウ.利益を生む可能性に内在する損失発生の可能性として存在するリスク
• エ.リスク対応後に残るリスク

正解

エ. リスク対応後に残るリスク

解説

残留リスク（残存リスク）とは，リスク対応策を実施した後にもなお残るリスクのことであり，リスクをゼロにはできないため必ず存在する。正解のエ「リスク対応後に残るリスク」がこの定義そのものである。

選択肢ごとの解説

• ア.監査手続でも重要な不備を見逃すリスクは発見リスク（監査リスクの構成要素）の説明であり，残留リスクではないため誤り。
• イ.業務の性質や特性から生じるリスクは固有リスク（インヘレントリスク）の説明であり，残留リスクではないため誤り。
• ウ.利益の可能性に内在する損失発生の可能性は投機的リスクの説明であり，残留リスクではないため誤り。
• エ.リスク対応後に残るリスクという説明は残留リスクの定義そのものであるため正しい。