HOME»情報処理安全確保支援士令和7年秋期»午前Ⅱ 問25
情報処理安全確保支援士令和7年秋期 午前Ⅱ 問25
問25
システム監査基準(令和5年)に基づくシステム監査において,リスク評価に基づいた監査計画の策定で考慮すべき事項として,適切なものはどれか。
- 監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
- システム監査におけるリスク・アプローチでは,各監査対象に対して均等に監査資源を配分する。
- システム監査に係るリスクのうち,監査対象に対するリスクは,統制リスクと残存リスクの二つに大別される。
- 組織体内外の環境変化によってリスクが相当程度変化した場合には,監査計画の見直しを検討し,必要に応じて変更する。
- [出題歴]
- 安全確保支援士 R5春期 問25
分類
マネジメント系 » システム監査 » システム監査
正解
エ
解説
- システム監査は、時間、要員、費用等の制約のもとで実施されるため、監査リスク(監査の結論を誤る可能性)を完全に回避することはできません。この点を念頭において、監査計画の策定においては、監査リスクを合理的に低い水準に抑えることができるアプローチをとることが求められます。
- 全ての監査対象に対して同じ監査資源(時間、要員、費用等)を投入するのは非効率的です。リスクの影響度が大きい監査対象領域には重点的に監査資源を配分し、影響が小さい監査対象領域には相応の資源配分を行うことで、効果的かつ効率的な監査を実施することが求められます。
- 監査対象に対するリスクは、①固有リスク、②統制リスク、③残存リスク の3つに大別されます。①は情報システムの有効性・効率性・信頼性・安全性・コンプライアンスが維持されないリスク、②は固有リスクの顕在化等の発生防止や発見・是正がされないリスク、③はコントロールを講じた後も残っているリスクを指します。
- 正しい。システム構成や利用形態、またはビジネスや環境などの外部状況の変化によって、情報システムリスクは変化することがあります。システム監査人は、組織体内外の環境の変化によりリスクが相当程度変化した場合は、必要に応じて適時適切に監査計画を変更することが求められます。