他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について
企業におけるITの利活用は,経営や業務に幅広い影響を与えている。そこで,システム監査以外に,社内規程に基づく業務監査,法令に基づく内部統制の経営者評価,認証取得・維持のための内部監査などにおいて,ITに関する様々な監査や評価が実施されている。このような監査や評価として実施された手続とその結果(以下,他の監査等という)をシステム監査で利用することは,システム監査の効率向上だけではなく,監査対象部門の負担を軽減する上でも有効である。
他の監査等を利用する場合には,システム監査の計画策定時に,当該システム監査の目的に照らして利用可能な他の監査等があるかどうかを検討する必要がある。その上で,他の監査等が利用できるかどうかを検討し,利用可能と想定される他の監査等の範囲を特定する。
また,他の監査等を実施した担当者の能力・独立性,実施された手続の適切性,指摘事項のフォローアップの妥当性などを踏まえて,他の監査等が当該システム監査の目的に照らして想定どおり利用できるかどうかを評価することが重要になる。評価した結果,例えば,システム変更後の業務が含まれていなかったり,想定外の新たな指摘事項が発見されたりなど,想定どおりではなかった場合には,当該システム監査の計画を見直す必要がある。
あなたの経験と考えに基づいて,設問ア〜ウに従って論述せよ。
設問ア あなたが携わった組織において,計画又は実施したシステム監査の目的概要,及び利用可能と想定又は利用した他の監査等の概要を,800字以内で述べよ。
設問イ 設問アで述べた他の監査等について,システム監査で利用可能と想定した理由を含め,700字以上1,400字以内で具体的に述べよ。
設問ウ 設問イで述べた他の監査等が利用できるかどうかを評価するためのポイント,及び想定どおりではなかった場合に見直すべきシステム監査の計画の内容について,700字以上1,400字以内で具体的に述べよ。
IPA公開情報
出題趣旨
企業の IT 利活用は,企業のビジネスプロセス,コンプライアンス,他社や個人に提供するサービス品質など,多様な影響を与える。したがって,システム監査に限定されず,IT に係る様々な監査,評価などが実施されていることが多い。そこでシステム監査の計画・実施においては,システム監査の効率向上や監査対象部門の負担軽減のために,システム監査人は他の監査や評価によって実施された手続とその結果を理解し,システム監査で利用可能であるかどうか検討することが望まれる。
本問では,システム監査人として,他の監査や評価によって実施された手続とその結果についてシステム監査において利用可能であるかどうかについて適切に検討できる知識・能力などを問う。
採点講評
システム監査技術者試験では,問 1 で監査手続の作成について,問 2 でシステム監査計画の策定について,システム監査人としての知識と能力・見識を問うているが,問題文の趣旨と設問の内容を踏まえずに論述している解答が散見された。また,システム担当者の立場で論述している解答も目立った。システム監査人の立場から,どのようなリスクを想定し,コントロールの適切性などをどのように確かめればよいと考えるか,経験と考えに基づいて,具体的に論述するように心掛けてほしい。
問 2 では,システム監査において利用できる他の監査・評価として実施された手続とその結果について論述することを求めたが,公開又は社内のテンプレートや手続書の利用などに関する論述が散見された。また,論述している他の監査・評価に関する具体的な論述及びその理由についても,利用できる範囲や手続が明確でなかったり,設問アで論述したシステム監査の目的に対して利用する他の監査等の論述が一般論に終始したりする論述が目立った。特に,他の監査・評価がセキュリティやプライバシー全般に及ぶ場合には,利用できる範囲は全てではないことが多いはずである。設問イについては,設問ウの“利用できるかどうかを評価するためのポイント”を記載し,結果的に設問イの内容が論述されていないような解答が散見された。問題文の趣旨と設問の内容を理解して,設問ア,イ,ウを通じて一貫性のある論述を心掛けてほしい。
解答例
構成例
準備中
論述例
設問ア
準備中
設問イ
準備中
設問ウ
準備中
