応用情報技術者試験令和3年秋午前問60 解説付き過去問

問題

システム監査基準(平成30年)に基づいて、監査報告書に記載された指摘事項に対応する際に、不適切なものはどれか。

監査対象部門が、経営者の指摘事項に対するリスク受容を理由に改善を行わないこととする。

監査対象部門が、自発的な取組によって指摘事項に対する改善に着手する。

システム監査人が、監査対象部門の改善計画を作成する。

システム監査人が、監査対象部門の改善実施状況を確認する。

この問題は、システム監査基準における監査報告書に記載された指摘事項の適切な対応方法について問うものです。

システム監査の役割
システム監査人は、監査対象のシステムやプロセスが規定や基準に適合しているかを評価する役割を担います。監査人の主要な責務は、問題点を指摘し、それを報告することです。監査人が指摘事項に基づいて改善計画を作成することは、役割の逸脱と見なされ、監査の客観性を損なう可能性があります。
監査対象部門の責任
指摘された問題に対する改善計画の策定と実施は、監査対象部門の責任です。彼らは指摘事項を理解し、必要に応じて改善措置を計画および実施するべきです。これには、経営者のリスク受容を理由に改善を行わないことを決定することも含まれることがありますが、この決定は部門の自主性に基づくものでなければなりません。
改善措置の確認
システム監査人は、改善措置が適切に実施されているかを監査する役割も持っています。これにより、監査報告書に記載された問題が効果的に対処されているかどうかを評価することができます。

したがって、システム監査人が監査対象部門の改善計画を作成する行為は、監査人の独立性を侵害し、監査基準に反するため、不適切な対応とされるのが正解です。