情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問39: システム監査報告書に記載する指摘事項に関する説明のうち，適切なものはどれか。

問題本文

システム監査報告書に記載する指摘事項に関する説明のうち，適切なものはどれか。

選択肢

• ア.監査証拠による裏付けの有無にかかわらず，監査人が指摘事項とする必要があると判断した事項を記載する。
• イ.監査人が指摘事項とする必要があると判断した事項のうち，監査対象部門の責任者が承認した事項を記載する。
• ウ.調査結果に事実誤認がないことを監査対象部門に確認した上で，監査人が指摘事項とする必要があると判断した事項を記載する。
• エ.不備の内容や重要性は考慮せず，全てを漏れなく指摘事項として記載する。

正解

ウ. 調査結果に事実誤認がないことを監査対象部門に確認した上で，監査人が指摘事項とする必要があると判断した事項を記載する。

解説

システム監査の指摘事項は、十分かつ適切な監査証拠に基づき、事実誤認がないことを確認した上で記載しなければならない。監査対象部門に調査結果の事実確認を行ったうえで監査人の判断で記載するのが適切な手続であるため、正解はウである。

選択肢ごとの解説

• ア.誤り。指摘事項は監査証拠による裏付けが必要であり、裏付けの有無にかかわらず記載してよいわけではない。
• イ.誤り。監査対象部門の責任者の承認は不要であり、承認を要件とすると監査の独立性が損なわれる。
• ウ.正しい。事実誤認がないことを監査対象部門に確認したうえで、監査人の判断により指摘事項を記載する。
• エ.誤り。不備の内容や重要性を考慮して記載すべきであり、重要性を無視して全てを列挙するのは適切でない。