リスク評価の結果を利用したシステム監査計画の策定

平成30年度 春期 システム監査技術者試験 午後Ⅱ 問題 問2「リスク評価の結果を利用したシステム監査計画の策定」についてである。

問題文

組織における情報システムの活用が進む中,システム監査の対象とすべき情報システムの範囲も拡大している。また,情報の漏えいや改ざん,情報システムの停止によるサービスの中断,情報システム投資の失敗など,情報システムに関わるリスクは,ますます多様化している。しかし,多くの組織では,全ての情報システムについて多様化するリスクを踏まえて詳細な監査を実施するための監査要員や予算などの監査資源を十分に確保することが困難である。

このような状況においては,全ての情報システムに対して一律に監査を実施することは必ずしも合理的とはいえない。情報システムが有するリスクの大きさや内容に応じて監査対象の選定や監査目的の設定を行うリスクアプローチを採用することが必要になる。例えば,年度監査計画の策定において,経営方針,情報システム化計画などとともに,監査部門で実施したリスク評価の結果を基に,当該年度の監査対象となる情報システムの選定や監査目的の設定を行うことなどが考えられる。

監査部門がリスクアプローチに基づいて,監査対象の選定や監査目的の設定を行う場合に,情報システム部門やリスク管理部門などが実施したリスク評価の結果を利用することもある。ただし,監査部門以外が実施したリスク評価の結果を利用する場合には,事前の措置が必要になる。

システム監査人は,限られた監査資源で,監査を効果的かつ効率よく実施するために,リスク評価の結果を適切に利用して監査計画を策定することが必要になる。

あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

設問ア

あなたが携わった組織の主な業務と保有する情報システムの概要について,800 字以内で述べよ。

設問イ

設問アで述べた情報システムについて,監査部門がリスク評価を実施して監査対象の選定や監査目的の設定を行う場合の手順及びその場合の留意点について,700 字以上 1,400 字以内で具体的に述べよ。

設問ウ

設問ア及び設問イに関連して,監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合,その利点,問題点,及び監査部門として必要な措置について,700 字以上 1,400 字以内で具体的に述べよ。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です