【実務思考】【AU-H30-1-PM2-Q2】リスク評価の結果を利用したシステム監査計画の策定

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-H30-1-PM2-Q2)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭リスク評価の結果を利用したシステム監査計画の策定についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 平成30年 午後2 問2について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-H30-1-PM2-Q2)

 出典:情報処理推進機構 システム監査技術者試験 平成30年 午後2 問2(🔗取り扱いガイドライン)

📘問題

■タイトル
 リスク評価の結果を利用したシステム監査計画の策定について
■内容
 組織における情報システムの活用が進む中,システム監査の対象とすべき情報システムの範囲も拡大している。また,情報の漏えいや改ざん,情報システムの停止によるサービスの中断,情報システム投資の失敗など,情報システムに関わるリスクは,ますます多様化している。しかし,多くの組織では,全ての情報システムについて多様化するリスクを踏まえて詳細な監査を実施するための監査要員や予算などの監査資源を十分に確保することが困難である。
 このような状況においては,全ての情報システムに対して一律に監査を実施することは必ずしも合理的とはいえない。情報システムが有するリスクの大きさや内容に応じて監査対象の選定や監査目的の設定を行うリスクアプローチを採用することが必要になる。例えば,年度監査計画の策定において,経営方針,情報システム化計画などとともに,監査部門で実施したリスク評価の結果を基に,当該年度の監査対象となる情報システムの選定や監査目的の設定を行うことなどが考えられる。
 監査部門がリスクアプローチに基づいて,監査対象の選定や監査目的の設定を行う場合に,情報システム部門やリスク管理部門などが実施したリスク評価の結果を利用することもある。ただし,監査部門以外が実施したリスク評価の結果を利用する場合には,事前の措置が必要になる。
 システム監査人は,限られた監査資源で,監査を効果的かつ効率よく実施するために,リスク評価の結果を適切に利用して監査計画を策定することが必要になる。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが携わった組織の主な業務と保有する情報システムの概要について,800字以内で述べよ。
■設問イ
 設問アで述べた情報システムについて,監査部門がリスク評価を実施して監査対象の選定や監査目的の設定を行う場合の手順及びその場合の留意点について,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問ア及び設問イに関連して,監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合,その利点,問題点,及び監査部門として必要な措置について,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 組織における情報システムの活用が進む中,システム監査において監査対象とすべき情報システムが増大する一方で,情報システムに関わるリスクはますます多様化している。そこで,システム監査においては,限られた監査資源の下で,効果的かつ効率よくシステム監査を実施するためのリスクアプローチに基づく監査計画の策定が求められる。監査計画の策定に際しては,監査部門以外が実施したリスク評価結果を利用することもあるが,その場合には,監査資源の限界を補うという利点がある反面,無条件で利用することには問題もある。
 本問では,システム監査人が,リスク評価の結果を利用して,適切な監査対象の選定や監査目的の設定を行うために必要な知識・能力などを問う。
■採点講評
 問2(リスク評価の結果を利用したシステム監査計画の策定について)は,設問アでは,受験者が関係する組織が保有する情報システムの概要を論述することを求めたが,特定の情報システムについての論述が目立った。設問イでは,監査部門がリスク評価を行うことを前提としているにもかかわらず,リスク評価の手順がほとんど論述されず,リスク評価の結果だけを論述しているものが多かった。設問ウの監査部門以外のリスク評価結果を用いる場合の利点及び問題点については,よく理解した論述が多かった。しかし,問題点に対する事前措置については,監査部門が結果を確認するなどの抽象的な内容が多かった。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】情報システムの拡大とリスク多様化により、限られた監査資源を有効活用する監査計画の最適化が重要になっています。
  2. 【監査視点】監査対象の選定や目的設定は、リスク評価結果を根拠とし、他部門の評価も活用しつつ妥当性と独立性を確保する必要があります。
  3. 【行動・着眼点】監査人は、リスク評価のプロセスと結果を検証し、監査計画策定時に重複や漏れを防ぐ視点でリスクアプローチを実践すべきです。

🧭リスク評価の結果を利用したシステム監査計画の策定についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 企業が保有する情報システムは増え続け、情報漏えいやシステム投資の失敗など、関連するリスクも多様化・複雑化している。
    • 一方で、監査部門の人員や予算といった「監査資源」は限られている。
    • 全ての情報システムに対して、全ての種類のリスクを、毎年、詳細に監査することは物理的に不可能である。
    • 多くの組織で、監査計画が、前年度の計画を踏襲するだけで、組織が直面している真に重要なリスクに対応できていない。
    • 情報システム部門などが実施したリスク評価の結果が存在するにも関わらず、監査部門がそれを活用せず、独自に一から評価を行い、二度手間になっている。
  • 変化の必要性の背景:
    • 監査の効率性と有効性への要求: 限られた資源で最大の監査効果を上げるために、監査資源を、組織にとって最も重要なリスク領域に集中投下するアプローチが不可欠になった。
    • リスクベース監査の標準化: 内部監査の国際的なフレームワーク(IIAの国際基準など)において、監査計画はリスク評価に基づいて策定されるべきである、という「リスクベースアプローチ」が標準的な考え方として定着した。
    • 3つのディフェンスラインの連携: 組織のリスク管理を、第一線(事業部門)、第二線(リスク管理部門等)、第三線(内部監査)が連携して担うという考え方が広まり、第三線である監査部門が、第一線・第二線のリスク評価結果を有効活用することの重要性が認識された。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 動的なリスク評価に基づく監査計画: 年度監査計画が、その時点での経営方針、事業環境、技術動向、そして組織全体のリスク評価結果をインプットとして、毎年ゼロベースで策定される。これにより、監査は常に組織の最重要課題に対応する。
    • 監査ユニバースとリスクマッピング: 監査対象となりうる全ての領域(監査ユニバース)が定義され、それぞれのリスクが、発生可能性と影響度の観点から評価・マッピングされている。監査計画は、このリスクマップ上で、特にリスクが高いと評価された領域を優先的に対象とする。
    • 他のリスク評価結果の戦略的活用: 監査部門が、情報システム部門やリスク管理部門(第一線・第二線)が実施したリスク評価のプロセスと結果の信頼性を評価した上で、それを自らのリスク評価や監査計画策定に積極的に活用する。これにより、評価の重複を避け、より効率的で深い洞察を得る。
    • 透明性のある計画策定プロセス: 監査計画の策定プロセスが、経営層や監査委員会に対して透明であり、なぜその監査対象が選ばれ、なぜその監査目的なのかが、リスク評価の結果に基づいて合理的に説明できる。
  • 克服すべき障壁:
    • リスク評価の客観性と信頼性: 監査部門以外が実施したリスク評価が、客観性に欠けていたり、評価プロセスが不透明だったりして、監査部門が信頼して利用できない。
    • 部門間の連携不足とセクショナリズム: 監査部門が、他の部門の評価結果を「専門性が低い」と見なしたり、逆に他部門が監査部門に情報を提供することに抵抗を感じたりする。
    • リスク評価のスキル不足: 監査部門自身に、組織全体のリスクを体系的に評価するためのスキルやノウハウが不足している。
    • 前例踏襲の慣行: リスク評価を行うことが負担となり、結局、前年と同じ監査計画を立ててしまう。
  • 利害関係者の視点:
    • 経営層/監査委員会: 監査部門が、組織の真に重要なリスク領域に焦点を当てて活動しているという信頼を持つことができる。監査報告が、自らのリスク認識と整合している。
    • 監査部門: 限られた資源を有効活用し、組織への貢献度が高い、価値のある監査を実施できる。
    • 被監査部門: 監査の目的が、リスク評価に基づいて明確に説明されるため、監査への理解と協力が得られやすい。複数の部門から同じような評価を何度も受ける負担が軽減される。

3. 要約

  • [200文字]要約:
    限られた監査資源を有効活用するには、リスク評価に基づく監査計画(リスクベースアプローチ)が不可欠。理想像は、組織全体の重要リスクを評価し、監査対象と目的を決定すること。他部門のリスク評価結果も、その信頼性を評価した上で積極的に活用し、監査の効率性と有効性を高める。
  • [400文字]要約:
    監査資源が限られる中、全てのシステムを毎年監査するのは不可能だ。そのため、組織の重要リスク領域に監査資源を集中させる「リスクベースアプローチ」が求められる。あるべき理想像は、監査部門が経営方針や事業環境を基にリスク評価を行い、監査計画を策定することだ。また、他部門が実施したリスク評価も、その信頼性を検証した上で活用し、重複作業を避け、より効率的・効果的な監査を目指す。これにより、監査は常に組織の最重要課題に対応できる。
  • [800文字]による詳細な考察:
    本問題は、現代内部監査の根幹をなす「リスクベース・アプローチ」をテーマに、監査計画策定という監査プロセスの最上流における意思決定の質を問うている。これは、監査部門が、単なるチェックリスト消化部隊から、組織のリスク管理に貢献する戦略的パートナーへと脱皮するための鍵となる考え方である。
    • あるべき理想像とは、「継続的リスクアセスメントと連動した、動的な監査計画(ダイナミック・オーディット・プランニング)」の実践である。これは、監査計画を、年に一度策定して固定する静的なものと捉えるのではなく、組織内外のリスク環境の変化に応じて、四半期ごと、あるいは必要に応じて随時見直される、動的なものとして管理するアプローチである。理想的な状態では、監査部門は、組織全体のリスク情報を集約・可視化するリスクダッシュボードを維持・管理している。このダッシュボードには、経営指標、インシデント発生状況、外部の脅威情報、そして第一線・第二線によるリスク評価の結果などがインプットされる。監査部門は、このダッシュボードを継続的にモニタリングし、リスクの兆候を早期に捉え、監査計画を機動的に修正する。
    • 理想像実現へのアプローチとして、システム監査人は、まず自らが主導してリスク評価を行うための、体系的な手順を確立する。これには、①監査ユニバースの定義、②リスクシナリオの識別、③発生可能性と影響度の評価基準の設定、④リスクマップの作成、といったステップが含まれる。次に、監査部門以外(第一線・第二線)のリスク評価結果を利用する際のデューデリジェンス(適正評価手続き)のプロセスを定める。具体的には、評価を実施した担当者の専門能力や独立性、評価プロセスの客観性・網羅性、そして評価結果の裏付けとなる証拠の信頼性などを評価する。この評価に基づき、「全面的に信頼できる」「一部参考にする」「信頼できないので利用しない」といった判断を下し、その根拠を明確に文書化する。
    • 期待される効果は、監査活動が、常に変化するビジネスリスクと整合し、組織にとって最も価値のある領域に焦点を当てることを保証できる点にある。
    • 考慮すべきリスクは、リスク評価が過度に定量的・形式的になり、数値化しにくいが重要なリスク(例:組織文化の劣化)を見逃すことだ。監査人は、定量的な評価と、経験に基づく定性的な判断をバランス良く組み合わせる必要がある。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。