補習所考査対策 【ITのリスク評価の概論】② 既に222名が購入済み

さゆり
割引あり

過去問で出題された箇所を太文字で明示。特にこの科目はEラーニングの講師は「テキスト全てを棒読み」だったので、どこから出題されても文句を言えない為、対策が必要です。


Ⅴ ITアプリケーション及びその他のIT環境の識別

ITの利用から生じるリスクの影響を受ける可能性が十分に低い場合の柔軟な適用


(3) ITの利用から生じるリスクの影響を受ける可能性の度合いの判定

② 監基報315 付録5第15 項のITの利用から生じるリスクの影響を受ける可能性が高くないITアプリケーションの特徴例
・外部と接続のないスタンドアローンのアプリケーション、データ(取引)の量が大きくない。
・アプリケーションの機能が複雑ではない。
・各取引は紙媒体の原始文書によって裏付けられる。
・ITアプリケーションは、以下の理由により、ITの利用から生じるリスクの影響を受ける可能性が高くない。
ア.データの量が大きくないため、経営者はデータを処理又は維持するためのIT全般統制に依拠していない。
イ.経営者は、自動化された内部統制や他の自動化された機能に依拠していない。監査人は、アサーション・レベルの重要な虚偽表示リスクに対応する内部統制の識別において、自動化された内部統制を識別していない。
ウ.経営者は、システムにより生成されたレポートを使用するが、当該レポートから原始文書に遡及して照合し、レポートの計算を検証している。

Ⅵ ITの利用から生じるリスクの識別

サイバーセキュリティリスクの考慮事項

未承認のアクセスに関する監査人の考慮事項には、社内外からの未承認のアクセスに関連するリスク(サイバーセキュリティリスクと呼ばれることが多い。)を含む場合がある。企業のIT環境には、業務上又は法令遵守上の必要性に対応するITアプリケーション及び関連データが含まれる場合があるため、そのようなリスクは必ずしも財務報告に影響を与えるとは限らない。通常、サイバー事故は、社外との接点から内部のネットワークの階層を通じて発生し、財務諸表の作成に影響を与えるITアプリケーション、データベース及びオペレーティング・システムからはかなり離れているという点を認識することが重要である。したがって、監査人は、セキュリティ侵害に関する情報が特定された場合、通常、そのような侵害が財務報告に影響を及ぼす可能性がどの程度あるかを考慮する。財務報告に影響が及ぶ可能性がある場合、監査人は財務諸表における潜在的な虚偽表示の影響若しくは範囲を判断するために、関連する内部統制を識別し評価するか、又は企業がそのようなセキュリティ侵害に関して適切な情報開示をしているかを判断することがある。

Ⅶ IT全般統制の識別

IT全般統制を評価する上での留意点


また、IT全般統制は、「IT環境の継続的かつ適切な運用を支援する」ものであるから、IT全般統制が有効に機能していると評価されたとしても、それだけで「情報処理統制も有効である」又は「情報処理統制に係る統制リスクは低い」という結論には至らない。IT全般統制の運用評価を実施しない場合、関連する情報処理統制が継続して有効に機能している心証を得るため、評価手続を立案することにも留意する。

Ⅷ 監査計画の策定時の留意点

ITの専門家の位置付け


監査チームは、監査事務所又はネットワーク・ファームに所属する者で、監査を実施する社員等及び専門職員から構成される(監基報 220 第6項(5))。専門職員には会計又は監査以外の分野において専門知識を有する個人も含まれる(監基報 220 第6項(10))。なお、状況に応じて、外部の専門家を起用する場合もある。
また、監査チームに期待される適切な適性及び能力を検討する場合に監査責任者が考慮する事項として「ITの知識及び会計又は監査の特定の領域を含む専門的知識」も含まれており(監基報 220 の A9 項)、ITの専門家は監査チームの専門職員(監査以外の分野において専門知識を有する個人)という立場で監査に関与する。

(4) ITの専門家を関与させる際の考慮事項
ITの専門家を関与させる際の考慮事項としては、(1)業務指示の際の合意及び(2)監督及び監査調書の査閲が挙げられる。
ITの専門家への業務指示の際の合意事項としては、例えば、作業の内容、範囲及び目的、並びにITの専門家と監査チームの他のメンバーのそれぞれの役割並びにコミュニケーションの内容、時期及び範囲(監基報 220 の A17 項)等が考えられる。作業の内容、範囲及び目的

外部委託(アウトソーシング)への対応


(2) ITに関する委託業務の形態
PaaS クラウド事業者が IaaS で提供するハードウェアに加えて、OS、ミドルウェア等のシステム・ソフトウエアをも提供するサービス

(3) 委託業務に関する内部統制を評価する場合の留意点
クラウド業者に往査して十分な情報を得ることは、クラウドサービスの他の利用者への守秘義務の関係で、制限が加わることも多くある。そのためクラウドサービスに係るリスクへの対応としては、「受託会社のシステムに関する記述書並びに内部統制のデザイン及び運用状況に関する報告書(タイプ2の報告書)」を入手する。

Ⅸ パッケージ・ソフトウェア、EUC、電子承認、電子契約等の留意点

ここから先は

1,848字

期間限定 PayPay支払いすると抽選でお得に!

この記事が気に入ったらサポートをしてみませんか?