システム監査
リスクベース監査(Risk-Based Auditing)の説明として、最も適切なものはどれか。
ア.監査対象のすべての領域に同一の工数と頻度を均等配分し、機械的に網羅性を担保する監査アプローチである。
イ.監査対象領域をリスク評価(発生可能性×影響度)に基づき優先順位付けし、高リスク領域に監査資源を重点配分するアプローチである。正解
ウ.リスクを抱えていないと自己評価した部門のみを監査対象から除外する一方、それ以外は全領域を毎年フル監査するアプローチである。
エ.監査によって新たに発生するリスク(監査リスク)を最小化するため、なるべく監査を実施しないことを推奨するアプローチである。
解説
消防車が出動先を決めるのと同じ発想。火事が起きそうな倉庫街と起きにくい砂浜では、当然倉庫街に重点配備する。監査も同じく、ハイリスクな所に資源を集中する戦略です。
なぜ イ が正解か
イが正解。リスクベース監査は限られた監査資源(人・時間・コスト)を効果的に配分するため、対象領域をリスク評価で優先順位付けし、高リスク領域に重点的に資源を投入する。低リスク領域は監査頻度や深度を抑制する。現代の内部監査・システム監査の主流アプローチ。
出典: AI生成問題(学習用)