答え エ
【解説】
システム監査基準には、リスクの評価に基づく監査計画の策定について以下のように書かれています。
- システム監査人は、情報システムリスクの特性及び影響を見極めた上で、リスクが顕在化した場合の影響が大きい監査対象領域に重点的に監査資源(監査時間、監査要員、監査費用等)を配分し、その一方で、影響の小さい監査対象領域には相応の監査資源を配分するように監査計画を策定することで、システム監査を効果的かつ効率的に実施することができる。
- 情報システムリスクは、情報システムに係るリスク、情報に係るリスク、情報システム及び情報の管理に係るリスクに大別される。
(1)情報システムに係るリスクとは、情報システムの入力、処理、保存、出力プロセスの信頼性、安全性、有効性、効率性等が確保できないとか、IT戦略と業務プロセスとの不整合などのリスクである。
(2)情報に係るリスクとは、情報システムで処理、保存、出力される情報が、目的に従った利活用ができないとか、情報の機密性、完全性、可用性が確保できないなどのリスクである。
(3)情報システム及び情報の管理に係るリスクとは、上記(1)及び(2)のリスクに対処するための体制・手続等に不備が含まれているリスクである。
システム監査人は、上記(1)及び(2)のリスク(固有リスクと呼ばれることもある)と、それらに対応する(3)のリスク(統制リスクと呼ばれることもある)を踏まえて、監査計画を策定する必要がある。
- 情報システムリスクは常に一定のものではないため、システム監査人は、その特性の変化及び変化がもたらす影響に留意する必要がある。
情報システムリスクの特性の変化及びその影響を理解したり、リスクに関する情報を更新したりする手法として、例えば監査対象部門による統制自己評価(Control Self-Assessment、CSA)や、システム監査人による監査対象部門に対する定期的なアンケート調査やインタビューなどがある。
- システム監査人は、監査報告において指摘すべき監査対象の重要な不備があるにもかかわらず、それを見逃してしまう等によって、誤った結論を導き出してしまうリスク(監査リスクと呼ばれることもある)を合理的に低い水準に抑えるように、監査計画を策定する必要がある。
(1)監査は、時間、要員、費用等の制約のもとで行われることから、監査リスクを完全に回避することはできない。
(2)監査リスクを合理的に低い水準に抑える監査計画の策定と監査の実施は保証の目的をもったシステム監査において重要となる。