HOME»情報処理安全確保支援士令和5年春期»午前U 問25
情報処理安全確保支援士令和5年春期 午前U 問25
問25
システム監査基準(平成30年)に基づくシステム監査において,リスクに基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として、適切なものはどれか。
- 監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
- 情報システムリスクの大小にかかわらず、全ての監査対象に対して一律に監査資源を配分する。
- 情報システムリスクは,情報システムに係るリスクと,情報の管理に係るリスクの二つに大別されることに留意する。
- 情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。
分類
マネジメント系 » システム監査 » システム監査
正解
エ
解説
- システム監査は、時間、要員、費用等の制約のもとで実施されるため、監査リスク(監査の結論を誤る可能性)を完全に回避することはできません。この点を念頭において、監査計画の策定においては、監査リスクを合理的に低い水準に抑えることができるアプローチをとることが求められます。
- 全ての情報システムリスクに対して同じ監査資源(時間、要員、費用等)を投入するのは非効率的です。リスクの影響度が大きい監査対象領域には重点的に監査資源を配分し、影響が小さい監査対象領域には相応の資源配分を行うことで、効果的かつ効率的な監査を実施することができます。
- 情報システムリスクは、①情報システムに係るリスク、②情報に係るリスク、③情報システム及び情報の管理に係るリスク、の3つに大別されます。①はITシステムと業務プロセスの不整合によるリスク、②は情報の機密性・完全性・可用性が損なわれるリスク、③はリスク対処のための体制や手続きに関するリスク(統制リスク)です。
- 正しい。システム構成や利用形態、またはビジネスや環境などの外部状況の変化によって、情報システムリスクは変化することがあります。システム監査人は、その特性の変化及び変化がもたらす影響に留意する必要があります。