応用情報技術者試験令和4年春午前問60 解説付き過去問

問題

監査証拠の入手と評価に関する記述のうち、システム監査基準(平成30年)に照らして、適切でないものはどれか。

アジャイル手法を用いたシステム開発プロジェクトにおいては、管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。

外部委託業務実施拠点に対する監査において、システム監査人が委託先から入手した第三者の保証報告書に依拠できると判断すれば、現地調査を省略できる。

十分かつ適切な監査証拠を入手するための本調査の前に、監査対象の実態を把握するための予備調査を実施する。

一つの監査目的に対して、通常は、複数の監査手続を組み合わせて監査を実施する。

この問題は、システム監査基準に基づく監査証拠の入手と評価に関する適切性を問うものです。特に、アジャイル手法を用いたシステム開発プロジェクトの監査証拠としての要件に焦点を当てています。

アジャイル手法の特性
アジャイル手法は、変更に柔軟に対応し、短いスプリント（開発サイクル）を通じて頻繁に製品の進捗を確認することが特徴です。この方法論では、文書よりもソフトウェアの動作に重きを置くため、伝統的な管理用ドキュメントが不足することがあります。
監査証拠としてのドキュメントの扱い
システム監査基準では、監査証拠として利用可能な情報はドキュメントの形式に限定されていないことが明示されています。これは、特にアジャイル開発プロジェクトにおいて重要であり、コードのレビュー、会議の議事録、電子メールのやり取りなども有効な監査証拠となり得ます。選択肢の記述がアジャイル手法の実態と監査基準に合致していないため、適切でないと判断される理由です。

したがって、「アジャイル手法を用いたシステム開発プロジェクトにおいては、管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる」という選択肢が適切でないとされる理由は、アジャイル手法の柔軟性とシステム監査基準の広範な証拠受容の基準に反しているためです。