システム監査技術者 個別監査計画と監査手続【論文の書き方】(令和4年秋問1)
本記事ではシステム監査技術者の午後II(論文)対策として、令和4年問1で出題された過去問を分析します。
実際に論文を書く上での考え方を整理し論文骨子を設計するところまでやっていきます。
※本記事は、メインである論文の書き方については無料で読めます。論文本文のみ有料部分なので、読みたい方は記事の購入またはメンバーシップの加入をご検討ください。
問題(令和4年問1)
過去問は試験センターから引用しています。
表題:『情報システムの個別監査計画と監査手続について』
上記問題文・設問文には筆者のメモが記載されていますが、章立てなどはメモの通りにする必要は無く、参考としてください。
何が問われているかを把握する
本問題は個別監査計画における監査手続について問われていますが、監査の遂行にあたって制約があることが特徴的です。
下に、問われていることの関連を図示します。
設問アは「情報システムの概要・特徴」「個別監査計画の概要」が問われています。
設問イ・ウに続く前提となる情報を論述します。
設問イは「重点項目・着眼点」「監査上の制約」が問われています。
「重点項目・着眼点」までは順当な監査計画を作る上での範囲で、「監査上の制約」から逆説的なニュアンスが入ります。
設問ウは「実施できない監査手続」「監査リスク」「リスクに対応した監査手続」が問われています。
設問イの「監査上の制約」からリスクを明らかにし、対策として「リスクに対応した監査手続」を論述しましょう。
出題要旨と採点講評からの分析
試験センターから公表されている出題要旨と採点講評を確認して出題の意図と論述のNG例を把握します。
出題要旨
重点項目・着眼点を設定する際に、「情報システムの特徴」「リスク評価結果」を考慮する必要があると読み取れます。
また監査資源の制約に対しては代替手続の選択・適用に加え監査リスクへの対応方法を適切に計画する必要がある、とあります。
本問では「リスク」という言葉が2つの文脈で使われていることに注意してください。
リスク評価結果:情報システムに対するリスク
監査リスク:監査計画に対するリスク
両者を混同しないようにしましょう。
採点講評
採点講評のNG例をまとめると次の通りです。
特に監査上の制約の書き方は難しかったようです。
出題趣旨から、制約はシステム上の制約ではなく、監査遂行上の制約でなくてはなりません。
システムの改修や運用環境の変化で対応するのではなく、あくまで監査手続の範囲での制約と対応の工夫を論述する論旨でなくてはなりません。
論文を設計する
問われていることの概略を把握したら自身の経験や用意してきた論文パーツに当てはめてどのように論述を展開するかを設計します。
設問アの設計
設問アは「情報システムの概要・特徴」「個別監査計画の概要」について問われています。
情報システムの概要・特徴
情報システムの概要・特徴を書く際に留意すべきは、設問イで書くことになる「重点項目・着眼点」との整合性です。
例えば特徴で「クラウドサービスを利用している」と書いたのに、監査上の重点項目がクラウドサービスと関係のないことだと、「システムの特徴を反映していない」と評価されてしまいます。
取り上げるシステムは基幹システムでも情報システムでも、書きやすいもので良いと思います。
私の場合は、のちの「重点項目・着眼点」を"保守の役割分担の徹底" というテーマとするために、営業支援システム(SFA)を題材とし、特徴としてRPAツールが導入されていることとしました。
上記のように、RPAの保守はシステム部と営業部で分担しているという特徴を記述しました。
のちの「重点項目・着眼点」の"分担が徹底されているか?"の論述のネタ振りとなっています。
個別監査計画の概要
個別監査計画の概要では、何より監査の目的を明記することが重要でしょう。
一般的に監査の目的には様々ありますが、ここでは前節のシステム特徴を踏まえたもの、設問イで書くことになる「重点項目・着眼点」との一貫性を意識しましょう。
たとえば一般的な監査の目的には以下のようなものがあります。
システムによる業務効率化の向上・評価
不正利用の防止
内部統制の機能
上記のような目的設定からブレイクダウンして、次章の「重点項目・着眼点」に繋げる構成が良いでしょう。
私の場合は、「業務効率化の向上・評価」と「適切な保守がなされているかの確認」を目的として、保守の役割分担とスキルを「重点項目・着眼点」としました。
なお、この節で問われているのは概要なので、「重点項目・着眼点」の具体的な中身までは踏み込まず、被監査部門の説明や監査スケジュールなどについて書くとよいでしょう。
設問イの設計
設問イは「重点項目・着眼点」と「監査上の制約」について問われています。
全体で問われていることの関係図を再掲します。
「重点項目・着眼点」は「情報システムの特徴」を踏まえたものであり、「個別監査計画の概要」からブレイクダウンされたものであることが望ましいでしょう。
「監査上の制約」は"この制約があるために重点項目・着眼点の監査要件を満たせない"ような制約であることが望ましいでしょう。
重点項目・着眼点
「個別監査計画の概要(目的)」との関係図を再掲します。
(1)保守の役割分担が明確か?という観点は、
業務効率化のために必要なことでもある(目的(1))し
適切性の評価にも必要である(目的(2))
という対応になっています。
(2)保守担当者のスキルが十分か?という観点も同様で、業務効率化(目的(1))のためにも適切性な保守(目的(2))のためにも必要という対応になっています。
なお重点項目・着眼点の(1)も(2)も情報システムの特徴である
"RPAがシステム部と営業部で共同で保守をしている"点
を踏まえた構成にもなっています。
各設問で問われていることの整合性を意識して論述するようにしましょう。
監査上の制約
監査上の制約は、重点項目・着眼点が達成できなくなる恐れのある制約を書きます。
問題文には、以下の例示があります。
テレワーク環境や監査資源など
私の場合は、下図のように挙げました。
たとえば
"(1) システム部がテレワーク勤務のため紙媒体の証跡確認が困難"
かつ
"(3) 感染症拡大防止のため不要不急の公共交通での移動が禁止"
であれば、
「保守の役割分担を合意した紙媒体の証跡」が確認できなくなるので重点項目・着眼点を確認する監査上の制約になると考えられます。
ただし「監査上の制約」を挙げた理由として、
「本来実施すべきができない監査手続」と
「実施できないことによる監査リスク」の
具体的な内容は触れない方が良いです。
なぜなら設問ウで問われていることだからです。
2-2. 節では、「監査上の制約」を挙げた理由として、"後述する監査リスクが浮上したためである"くらいにとどめておいても良いでしょう。
設問ウの設計
設問ウは「実施できない監査手続」「監査リスク」「リスクに対応した監査手続」について問われています。
全体で問われていることの関係図を再掲します。
監査リスクはシステムリスクやプロジェクトリスクは異なり、監査遂行上のリスクであることに注意してください。
監査結果を誤る危険性が監査リスクです。
「実施できない監査手続」と「監査リスク」は別々に節を立てて論じても良いし、合わせて論じても良いでしょう。
最後にリスクへの対策として「リスクに対応する監査手続」を書いて結論としましょう。
実施できない監査手続と監査リスク
「実施できない監査手続」については問題文に以下の例示があります。
現場訪問や資料の直接閲覧などの監査手続が実施できない場合がある
また問題文の例ではPDFファイルの真正性について問われており「監査リスク」としては「監査証跡の真正性を確保できない」などの表現が該当すると考えられます。
「実施できない監査手続」は設問イで触れた「監査上の制約」に起因している必要があります。
「監査上の制約」と「実施できない監査手続」「監査リスク」の対応関係を下に記します。
監査リスクの”(1)監査証跡の虚偽表示が発見できないリスク”は監査上の制約の(1)と(3)に起因しています。
同じく"(2)監査の結論が得られない"は監査上の制約の(2)と(3)に起因しています。
設問ウの設問文に書かれている通り、「想定した監査上の制約を踏まえて」論じることが重要です。
リスクに対応する監査手続
問題文の例示では、
PDFファイルの真正性を原本と同程度に確保する(略)監査証跡を入手する
とあります。
監査上の制約、監査リスクを踏まえて実施すべき監査手続を書いて結論としましょう。
「監査リスク」と「リスクに対応する監査手続」の関係を記します。
(1) 紙媒体の監査証跡をデジタル化する場合は承認者の電子署名を追加で査閲するという「追加の監査手続」と、
(2) スキル維持に必要な研修受講履歴を査閲するという(インタビューの代わりの)「代替の監査手続」としています。
(1) は被監査部門の協力が必要となるので、電子署名の押印の手順や意義の説明についてのフォローを行うとよいでしょう。
(2) は完全に同じ精度の監査手続とはならないので、監査手続について監査室長の承認を得ておくなどの対応を行うとよいと思います。
論文骨子
以上を踏まえ、論文骨子は次のようになりました。
1.情報システムの概要・特徴と個別監査計画の概要
1-1.情報システムの概要と特徴
衣料品の卸売業。営業支援システム(SFA)。
・顧客マスタへの入力作業を支援するRPAツールあり。
・RPAツールはシステム部が開発、営業部とシステム部が共同で保守。
1-2.個別監査計画の概要
主要な監査の目的は次の2点。
(1)SFAによる業務効率化の評価・向上。
(2)SFAやRPAの保守が適切になされていることの確認。
内部監査の対象はSFAならびにシステム部・営業部のRPA保守担当チーム。
2.個別監査計画の重点項目・着眼点と制約
2-1.重点項目・着眼点
(1)システム部と営業部の役割分担が明確に定義されていること。
もし保守が必要なのに両者で放置されると業務効率化ができない。
(2)RPAツールの保守担当者のスキルが適切に維持されていること。
リスク評価の結果、RPAツールのアップデートに保守スキルを追随させることが重視されたから。
2-2.監査上の制約
(1)システム部はテレワークが業務の前提。紙媒体の監査証跡を直接査閲できない。
(2)営業部員のPCにはテレワーク環境が無く、リモートインタビュー不可。
(3)経費削減・感染症拡大防止のため不要不急の公共交通機関を用いた移動禁止。
以上を想定した理由は、次章に述べる監査リスクが浮上したため。
3.監査リスク低減のための監査手続
3-1.実施できない監査手続と生じる監査リスク
(1)監査証跡の虚偽の表示が発見できないリスク
両部で合意した役割分担表や議事録を査閲するという監査手続が実施できない恐れ。
被監査部門がデジタル化された文書を準備する際に、改ざんやミスが生じるリスク。
(2)監査の結論が得られないリスク
営業部の保守担当者が十分なスキルを保有しているかのインタビューができない。
3-2.監査リスクに対応した監査手続
(1)デジタル化した監査証跡を査閲する場合、承認者の電子署名を追加確認
被監査部門には、文書デジタル化には承認者の電子署名を依頼。
(2)スキル維持に必要な研修受講履歴を査閲する監査手続
現地インタビューの代わりに受講履歴を確認する監査手続とし、監査室長の承認を得る。
まとめ
いかがでしたでしょうか?
本記事ではシステム監査技術者の午後II(論文)対策として、令和4年問1で出題された過去問を分析しました。
個別監査計画を遂行する上での制約から生じるリスクと対策となる監査手続を論述させる問題でした。
プロジェクトのリスクをコントロールするのではなく、監査上のリスクをコントロールする点がやや目新しかったように思います。
今後も、論文の書き方記事を充実していきます。
ではそれまで。
論文全文について
ここまででも十分考え方はお伝え出来たかと思いますが、論文全文を参考にされたい方は有料とはなりますがこの先をご購入ください。
※なお、メンバーシップ(システム監査技術者合格支援コース 月額800円)にご加入いただければ本記事以外のAU対策有料記事も読み放題となり、さらに専用フォームからのご質問もし放題となります。ぜひご検討ください。
■設問ア
1.情報システムの概要・特徴と個別監査計画の概要
1-1.情報システムの概要と特徴
J社は衣料品を主に手掛ける卸売業である。論述の対
象とする情報システムは営業支援システム(SFA)で
ある。J社の顧客層は個人事業主からアパレル大手まで
幅広く、流行に敏感な業界でもあり顧客名や顧客担当者
や事業部などの情報が頻繁に変化した。そのためJ社の
SFAは次に述べる特徴があった。
・顧客マスタへの顧客名や住所などの入力作業を支援
するRPAツールが実装されている
・RPAツールはシステム部が開発を担い、営業部と
システム部が共同で保守を行う
・SFA本体はシステム部が開発・保守を行っている
RPAツールが導入されている理由は、顧客名や住所
などの入力作業や整合性チェックを自動化することで、
営業担当者の負荷を軽減するためである。
ここから先は
この記事が気に入ったらチップで応援してみませんか?