情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問40: システム監査実施における被監査部門の行為として，適切なものはどれか。

問題本文

システム監査実施における被監査部門の行為として，適切なものはどれか。

選択肢

• ア.監査部門から提出を要求された証憑の中で存在しないものがあれば，過去に遡って作成する。
• イ.監査部門から要求されたアンケート調査に回答し，監査の実施に先立って監査部門に送付する。
• ウ.システム監査で調査すべき監査項目を自ら整理してチェックリストを作成し，それに基づく監査の実施を依頼する。
• エ.被監査部門の情報システムが抱えている問題を基にして，自ら監査テーマを設定する。

正解

イ. 監査部門から要求されたアンケート調査に回答し，監査の実施に先立って監査部門に送付する。

解説

システム監査では、監査計画の立案や監査項目・テーマの設定は独立した監査人(監査部門)が行い、被監査部門は監査に協力して正確な情報を提供する立場にある。要求されたアンケートに正しく回答し事前に送付することは適切な協力行為であり、正解はイである。

選択肢ごとの解説

• ア.存在しない証憑を過去に遡って作成するのは事実の偽装であり、監査証拠の信頼性を損なう不適切な行為である。
• イ.正しい。要求されたアンケートに回答し事前に提出することは、被監査部門による適切な監査協力にあたる。
• ウ.監査項目やチェックリストの作成は監査人が独立して行うべきであり、被監査部門が決めると監査の独立性・客観性が損なわれる。
• エ.監査テーマの設定は監査の独立性を保つため監査人が行うべきで、被監査部門が自ら設定するのは不適切である。