AU 令和4年度秋期午後Ⅱ 問1

情報システムの個別監査計画と監査手続について

　企業などの組織は，主力ビジネスを支える基幹システムや新規ビジネスを支援する情報システムなど，多様な情報システムを管理している。このような情報システムを対象とした個別監査計画では，システム監査を実施する上での重点項目・着眼点を適切に設定し，これに対する必要な監査時間監査費用などの監査資源を見積もり，適切な監査手続を作成することが求められる。
　重点項目着眼点の設定においては，情報システムの特徴，リスク評価結果，経営層の期待，過去の監査結果などを踏まえて，検討する必要がある。さらに，監査実施におけるテレワーク環境や監査資源などの監査上の制約についても検討し，その制約を踏まえて，監査の結論を誤る監査リスクを明確にする必要がある。
　監査リスクを明確にするためには，システム監査人が本来必要と考えた監査手続と，その監査手続が監査上の制約によって実施できないことで生じる監査リスクを関連付ける必要がある。その上で監査リスクを低い水準に抑える対応方法を検討する。状況によっては，現場訪問や資料の直接閲覧などの監査手続が実施できない場合がある。その場合，例えば，資料をPDFファイルで入手するだけでなく，PDFファイルの真正性を原本と同程度に確保するのに必要な監査証拠を入手するための監査手続を作成するなどの対応が必要となる。
　システム監査人は，以上のような点を踏まえ，監査実施上の重点項目・着眼点を適切に設定し，監査上の制約下においても監査リスクを低い水準に抑えるために十分な監査証拠を得られるように個別監査計画を策定する必要がある。
　あなたの経験と考えに基づいて，設問ア〜設問ウに従って論述せよ。

設問ア　あなたが携わった情報システムの概要及びその特徴，並びにシステム監査の個別監査計画の概要について，800字以内で述べよ。

設問イ　設問アで述べた個別監査計画で設定した重点項目・着眼点及び想定した監査上の制約について，700字以上1,400字以内で具体的に述べよ。

設問ウ　設問イで想定した監査上の制約を踏まえて，実施できない監査手続及びそれによって生じる監査リスク，並びに監査リスクに対応するために作成した監査手続について，700字以上1,400字以内で具体的に述べよ。

IPA公開情報

出題趣旨

　情報システムの個別監査計画において，対象となる情報システムの特徴，リスク評価結果などを考慮して，監査の重点項目・着眼点を設定し，それに対応する適切な監査手続を作成する。一方，監査手続の作成において監査資源の制約などの理由で本来必要と考えた監査手続が採用できない場合には，代替手続の選択・適用に加え，監査リスクへの対応方法を適切に計画することが必要となる。
　本問では，システム監査人として，情報システムの特徴やリスク評価結果などを適切に分析して重点項目・着眼点を適切に設定し，本来必要と考えた監査手続が採用できない場合における監査リスクを明確にし，その対応方法を計画できる知識・能力などを問う。

採点講評

　システム監査技術者試験では，問 1 で個別監査計画と監査手続について，問 2 でシステム障害管理態勢の実効性について，システム監査人としての知識と能力・見識を問うているが，設問の内容を踏まえた論述は少なかった。また，設問ア～設問ウに一貫性がなかったり，一般的な内容の記述にとどまっていたりする解答が散見された。問題文の趣旨を理解した上で，システム監査人としての経験と考えに基づいて，具体的に論述するように心掛けてほしい。

　問 1 では，監査上の制約を具体的に論述することが解答の前提となるが，システム環境の変更やシステムの開発・運用の課題を監査上の制約とする解答が散見された。設問アでは監査目的が明確に特定されていない論述があった。設問イでは，重点項目・着眼点が監査目的と一貫していなかったり，システムの特徴を反映していなかったりする論述が散見された。設問イ及び設問ウでは，システムの開発・運用環境の変化に対応して監査手続を作成することを監査手続の制約として論述していたり，リスクに対応したサンプリング手法の採用を監査上の制約として論述していたりする解答が散見された。問題の趣旨を踏まえて，設問ア～設問ウを通じて一貫性のある論述をしてほしい。