【実務思考】【AU-R04-1-PM2-Q1】情報システムの個別監査計画と監査手続

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-R04-1-PM2-Q1)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭情報システムの個別監査計画と監査手続についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 令和4年 午後2 問1について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-R04-1-PM2-Q1)

 出典:情報処理推進機構 システム監査技術者試験 令和4年 午後2 問1(🔗取り扱いガイドライン)

📘問題

■タイトル
 情報システムの個別監査計画と監査手続について
■内容
 企業などの組織は,主カビジネスを支える基幹システムや新規ビジネスを支援する情報システムなど,多様な情報システムを管理している。このような情報システムを対象とした個別監査計画では,システム監査を実施する上での重点項目・着眼点を適切に設定し,これに対する必要な監査時間・監査費用などの監査資源を見積もり,適切な監査手続を作成することが求められる。
 重点項目・着眼点の設定においては,情報システムの特徴,リスク評価結果,経営層の期待,過去の監査結果などを踏まえて,検討する必要がある。さらに,監査実施におけるテレワーク環境や監査資源などの監査上の制約についても検討し,その制約を踏まえて,監査の結論を誤る監査リスクを明確にする必要がある。
 監査リスクを明確にするためには,システム監査人が本来必要と考えた監査手続と,その監査手続が監査上の制約によって実施できないことで生じる監査リスクを関連付ける必要がある。その上で監査リスクを低い水準に抑える対応方法を検討する。状況によっては,現場訪問や資料の直接閲覧などの監査手続が実施できない場合がある。その場合,例えば,資料をPDFファイルで入手するだけでなく,PDFファイルの真正性を原本と同程度に確保するのに必要な監査証拠を入手するための監査手続を作成するなどの対応が必要となる。
 システム監査人は,以上のような点を踏まえ,監査実施上の重点項目・着眼点を適切に設定し,監査上の制約下においても監査リスクを低い水準に抑えるために十分な監査証拠を得られるように個別監査計画を策定する必要がある。
 あなたの経験と考えに基づいて,設問ア~設問ウに従って論述せよ。

📗設問

■設問ア
 あなたが携わった情報システムの概要及びその特徴,並びにシステム監査の個別監査計画の概要について,800字以内で述べよ。
■設問イ
 設問アで述べた個別監査計画で設定した重点項目・着眼点及び想定した監査上の制約について,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで想定した監査上の制約を踏まえて,実施できない監査手続及びそれによって生じる監査リスク,並びに監査リスクに対応するために作成した監査手続について,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 情報システムの個別監査計画において,対象となる情報システムの特徴,リスク評価結果などを考慮して,監査の重点項目・着眼点を設定し,それに対応する適切な監査手続を作成する。一方,監査手続の作成において監査資源の制約などの理由で本来必要と考えた監査手続が採用できない場合には,代替手続の選択・適用に加え,監査リスクへの対応方法を適切に計画することが必要となる。
 本問では,システム監査人として,情報システムの特徴やリスク評価結果などを適切に分析して重点項目・着眼点を適切に設定し,本来必要と考えた監査手続が採用できない場合における監査リスクを明確にし,その対応方法を計画できる知識・能力などを問う。
■採点講評
 <全問共通>システム監査技術者試験では,問1で個別監査計画と監査手続について,問2でシステム障害管理態勢の実効性について,システム監査人としての知識と能力・見識を問うているが,設問の内容を踏まえた論述は少なかった。また,設問ア~設問ウに一貫性がなかったり,一般的な内容の記述にとどまっていたりする解答が散見された。問題文の趣旨を理解した上で,システム監査人としての経験と考えに基づいて,具体的に論述するように心掛けてほしい。
 <問1>問1では,監査上の制約を具体的に論述することが解答の前提となるが,システム環境の変更やシステムの開発・運用の課題を監査上の制約とする解答が散見された。設問アでは監査目的が明確に特定されていない論述があった。設問イでは,重点項目・着眼点が監査目的と一貫していなかったり,システムの特徴を反映していなかったりする論述が散見された。設問イ及び設問ウでは,システムの開発・運用環境の変化に対応して監査手続を作成することを監査手続の制約として論述していたり,リスクに対応したサンプリング手法の採用を監査上の制約として論述していたりする解答が散見された。問題の趣旨を踏まえて,設問ア~設問ウを通じて一貫性のある論述をしてほしい。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】監査環境の制約が増える中、個別監査計画のリスク評価と重点項目設定はますます重要になっています。
  2. 【監査視点】監査では、システム特性と制約条件を踏まえ、監査リスクを明確化し、適切な手続を計画することが求められます。
  3. 【行動・着眼点】重点項目の根拠を明示し、制約に応じた代替手続や監査証拠確保策を具体的に検討しましょう。

🧭情報システムの個別監査計画と監査手続についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 年度監査計画で監査対象が決まった後、個々の情報システムに対する具体的な「個別監査計画」を策定する必要がある。
    • この個別監査計画において、監査の「重点項目・着眼点」が、対象システムのリスクや特性を考慮せずに、画一的に設定されがちである。
    • 近年、テレワークの普及などにより、監査の実施方法に「制約」(例:現地訪問ができない、資料を直接閲覧できない)が生じることが増えている。
    • これらの制約によって、本来必要な監査手続が実施できず、十分な監査証拠を入手できないまま、誤った監査結論に至る「監査リスク」が高まっている。
    • 監査人が、この監査リスクを十分に認識せず、あるいは認識しても、それを低減するための代替的な監査手続を工夫できていない。
  • 変化の必要性の背景:
    • 監査環境の変化(リモート化): パンデミックなどを契機に、監査業務のリモート化が急速に進んだ。これにより、従来の現地往査を前提とした監査手続の見直しが迫られた。
    • 監査品質への要求: 監査環境に制約があるからといって、監査の品質を低下させることは許されない。監査人は、いかなる状況下でも、専門家としての注意を払い、十分な監査証拠を入手する責任がある。
    • リスクベース監査の深化: リスクベースのアプローチは、年度計画だけでなく、個別監査計画のレベルでも適用されるべきである。すなわち、対象システム内の、どの機能・どのプロセスにリスクが集中しているかを評価し、そこに着眼点を設定する必要がある。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • リスクフォーカスな個別監査計画: 個別監査計画が、対象システムのリスク評価結果に基づき、監査資源を集中投下すべき「重点項目・着眼点」を明確に特定している。なぜそこを重点項目とするのか、その理由が合理的に説明できる。
    • 監査リスクの事前認識と対応: 計画策定段階で、監査上の制約(リモート監査など)を事前に想定し、それによって「実施できない監査手続」と、その結果生じる「監査リスク」(=見逃しのリスク)を具体的に文書化する。
    • 創造的な代替監査手続の立案: 明確化された監査リスクを、許容可能な低い水準に抑えるため、創造的かつ効果的な「代替監査手続」が計画される。例えば、「現地での実機確認ができない」というリスクに対し、「高解像度の画面共有を通じた設定確認と、その操作ログの突合」といった代替手続を考案する。
    • 監査証拠の十分性と適切性の確保: 代替監査手続によって得られる監査証拠が、本来の手続で得られる証拠と同程度の証明力を持つか(真正性、信頼性など)を慎重に評価し、監査意見を裏付けるのに十分な心証を形成する。
  • 克服すべき障壁:
    • 前例踏襲と創意工夫の欠如: 従来の監査手続書をそのまま流用し、監査上の制約を乗り越えるための新たな手続を考案しようとしない。
    • リモート監査ツールの未整備: 画面共有ツール、リモートアクセスツール、データ共有プラットフォームなど、効果的なリモート監査を実施するためのIT環境が整っていない。
    • 被監査部門との協力関係: リモート監査は、被監査部門の協力(資料の電子化、画面操作など)なしには成り立たない。その協力関係を築くのが難しい場合がある。
    • 監査人のスキル不足: 新たな監査手続を考案し、ITツールを駆使してそれを実行するための、監査人のスキルや柔軟性が不足している。
  • 利害関係者の視点:
    • 経営層/監査委員会: 監査が、環境の制約にもかかわらず、品質を維持し、重要なリスク領域を適切にカバーしているという信頼を持つことができる。
    • 監査人: 専門家として、いかなる状況でも監査目的を達成するための創意工夫を行う。監査リスクを自ら認識・評価・対応することで、プロフェッショナルとしての説明責任を果たす。
    • 被監査部門: 監査の着眼点が明確になるため、準備がしやすくなる。リモート監査により、監査対応の場所的な制約がなくなり、負担が軽減される場合もある。

3. 要約

  • [200文字]要約:
    リモート化など監査上の制約がある中で、個別監査計画の重要性が増している。理想像は、リスク評価で重点項目を定め、制約による監査リスクを認識し、それを補う代替監査手続を計画すること。これにより、いかなる環境下でも十分な監査証拠を確保し、監査品質を維持する。
  • [400文字]要約:
    テレワーク普及等による監査上の制約は、監査品質を脅かす「監査リスク」を高める。これに対応するには、個別監査計画の策定が鍵となる。あるべき理想像は、まず対象システムのリスク評価に基づき重点項目を定める。次に、制約によって実施できない手続と、それによる監査リスクを明確化する。最後に、そのリスクを低減するための代替監査手続(例:画面共有での確認+ログ突合)を計画し、十分な監査証拠を確保する。
  • [800文字]による詳細な考察:
    本問題は、監査業務のニューノーマル(新常態)とも言えるリモート環境下での監査をテーマに、監査人が専門家として、いかにして監査品質を維持し、説明責任を果たしていくべきかを問うている。これは、監査人の「プロフェッショナリズム」と「創造性」が試される、極めて実践的な課題である。
    • あるべき理想的な状態とは、「監査リスク・アセスメントと連動した、レジリエントな監査アプローチ」の確立である。これは、監査計画を、特定の監査手続(例:現地往査)が実施できることを前提とした硬直的なものと捉えるのではなく、様々な制約条件の下でも監査目的を達成できる、しなやかで強靭な(レジリエントな)ものとして設計することを意味する。理想的な状態では、監査人は個別監査計画の策定時に、「監査リスク・マトリクス」を作成する。このマトリクスには、監査要点ごとに、①理想的な監査手続(制約がない場合)、②想定される制約、③制約下で実施できない手続、④それによって生じる監査リスク、⑤リスクを低減するための代替手続、⑥代替手続によって得られる証拠の証明力、が体系的に整理される。このマオリクスは、監査の品質を確保するための思考の軌跡であり、監査の結論を支える重要な調書となる。
    • 理想像実現へのアプローチとして、システム監査人は、まず個別監査計画の策定プロセスに、この「監査リスク・アセスメント」のステップを正式に組み込む。例えば、「サーバールームの物理セキュリティの有効性」という監査要点に対し、制約が「現地訪問不可」である場合を考える。理想的な手続は「現地での実地踏査」だが、これが実施できない。監査リスクは「不正な入退室や、不適切な設備管理を見逃すリスク」である。これに対する代替手続として、①入退室管理システムのログ全件の分析、②監視カメラの録画映像の遠隔レビュー、③現地の担当者によるライブ映像中継でのウォークスルー、④関連規程や点検記録の電子ファイルでの査閲、などを組み合わせる。そして、これらの代替手続で得られる証拠全体で、実地踏査と同等の心証が得られるかを、専門家として判断する。
    • 期待される効果は、監査環境の変化に左右されない、安定した高品質な監査の実現である。
    • 考慮すべきリスクは、代替手続の証明力に対する過信である。リモートで得られる証拠は、現地で五感を使って得られる情報に比べて、質的に劣る場合がある。監査人は、監査証拠の限界を常に意識し、監査意見の表明にあたっては、より慎重な判断が求められる。場合によっては、制約により十分な心証が得られないため、「意見を表明できない」という結論に至る可能性も認識しておく必要がある。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。