メインコンテンツへ
システム監査リスクベース監査

リスクベース監査(Risk-Based Auditing)の説明として、最も適切なものはどれか。

ア.監査対象のすべての領域に同一の工数と頻度を均等配分し、機械的に網羅性を担保する監査アプローチである。
イ.監査対象領域をリスク評価(発生可能性×影響度)に基づき優先順位付けし、高リスク領域に監査資源を重点配分するアプローチである。正解
ウ.リスクを抱えていないと自己評価した部門のみを監査対象から除外する一方、それ以外は全領域を毎年フル監査するアプローチである。
エ.監査によって新たに発生するリスク(監査リスク)を最小化するため、なるべく監査を実施しないことを推奨するアプローチである。

解説

消防車が出動先を決めるのと同じ発想。火事が起きそうな倉庫街と起きにくい砂浜では、当然倉庫街に重点配備する。監査も同じく、ハイリスクな所に資源を集中する戦略です。

なぜ イ が正解か

イが正解。リスクベース監査は限られた監査資源(人・時間・コスト)を効果的に配分するため、対象領域をリスク評価で優先順位付けし、高リスク領域に重点的に資源を投入する。低リスク領域は監査頻度や深度を抑制する。現代の内部監査・システム監査の主流アプローチ。

なぜ ア は間違いか

均等配分は「網羅性監査」の発想であり、リスクベース監査と対極。資源の効率配分という観点から非効率で、現代では推奨されない。

なぜ ウ は間違いか

自己評価で「リスクなし」とした部門を除外するのは独立性原則違反かつ虚偽報告のリスクが高い。リスクベースは監査人側のリスク評価に基づく優先順位付けが本質。

なぜ エ は間違いか

監査をしないことではなく、効率的に行うのがリスクベース監査。「監査を実施しない推奨」は監査責任の放棄であり論外。

出典: AI生成問題(学習用)