本記事ではシステム監査技術者の午後II（論文）対策として、

令和4年問1で出題された過去問を分析します。

実際に論文を書く上での考え方を整理し

論文骨子を設計するところまでやっていきます。

 

• 問題（令和4年問1）
  • 何が問われているかを把握する
  • 出題要旨と採点講評からの分析
    • 出題要旨
    • 採点講評
• 論文を設計する
  • 設問アの設計
    • 情報システムの概要・特徴
    • 個別監査計画の概要
  • 設問イの設計
    • 重点項目・着眼点
    • 監査上の制約
  • 設問ウの設計
    • 実施できない監査手続と監査リスク
    • リスクに対応する監査手続
• 論文骨子
• 論文全文について
• まとめ

 

 

問題（令和4年問1）

過去問は試験センターから引用しています。

表題：『情報システムの個別監査計画と監査手続について』

上記問題文・設問文には筆者のメモが記載されていますが、

章立てなどはメモの通りにする必要は無く、参考としてください。

 

 

何が問われているかを把握する

本問題は個別監査計画における監査手続について問われていますが、

監査の遂行にあたって制約があることが特徴的です。

 

下に、問われていることの関連を図示します。

 

設問アは「情報システムの概要・特徴」「個別監査計画の概要」

が問われています。

設問イ・ウに続く前提となる情報を論述します。

 

設問イは「重点項目・着眼点」「監査上の制約」

が問われています。

「重点項目・着眼点」までは順当な監査計画を作る上での範囲で、

「監査上の制約」から逆説的なニュアンスが入ります。

 

設問ウは「実施できない監査手続」「監査リスク」

「リスクに対応した監査手続」が問われています。

設問イの「監査上の制約」からリスクを明らかにし、

対策として「リスクに対応した監査手続」を論述しましょう。

 

 

出題要旨と採点講評からの分析

試験センターから公表されている出題要旨と採点講評を確認して

出題の意図と論述のNG例を把握します。

 

出題要旨

 

重点項目・着眼点を設定する際に、「情報システムの特徴」

「リスク評価結果」を考慮する必要があると読み取れます。

 

また監査資源の制約に対しては代替手続の選択・適用に加え

監査リスクへの対応方法を適切に計画する必要がある、とあります。

 

本問では「リスク」という言葉が2つの文脈で使われていることに

注意してください。

• リスク評価結果：情報システムに対するリスク
• 監査リスク：監査計画に対するリスク

両者を混同しないようにしましょう。

 

 

採点講評

 

採点講評のNG例をまとめると次の通りです。

特に監査上の制約の書き方は難しかったようです。

出題趣旨から、制約はシステム上の制約ではなく、

監査遂行上の制約でなくてはなりません。

 

システムの改修や運用環境の変化で対応するのではなく、

あくまで監査手続の範囲での制約と対応の工夫を

論述する論旨でなくてはなりません。

 

論文を設計する

問われていることの概略を把握したら

自身の経験や用意してきた論文パーツに当てはめて

どのように論述を展開するかを設計します。

 

 

設問アの設計

設問アは「情報システムの概要・特徴」「個別監査計画の概要」

について問われています。

 

情報システムの概要・特徴

 

情報システムの概要・特徴を書く際に留意すべきは、

設問イで書くことになる「重点項目・着眼点」との整合性です。

 

例えば特徴で「クラウドサービスを利用している」と書いたのに、

監査上の重点項目がクラウドサービスと関係のないことだと、

「システムの特徴を反映していない」と評価されてしまいます。

 

取り上げるシステムは基幹システムでも情報システムでも、

書きやすいもので良いと思います。

 

私の場合は、のちの「重点項目・着眼点」を

"保守の役割分担の徹底" というテーマとするために、

営業支援システム（SFA）を題材とし、

特徴としてRPAツールが導入されていることとしました。

 

上記のように、RPAの保守はシステム部と営業部で分担しているという

特徴を記述しました。

のちの「重点項目・着眼点」の"分担が徹底されているか？"の論述の

ネタ振りとなっています。

 

 

個別監査計画の概要

 

個別監査計画の概要では、何より監査の目的を明記することが

重要でしょう。

一般的に監査の目的には様々ありますが、ここでは

前節のシステム特徴を踏まえたもの、設問イで書くことになる

「重点項目・着眼点」との一貫性を意識しましょう。

 

たとえば一般的な監査の目的には以下のようなものがあります。

• システムによる業務効率化の向上・評価
• 不正利用の防止
• 内部統制の機能

上記のような目的設定からブレイクダウンして、

次章の「重点項目・着眼点」に繋げる構成が良いでしょう。

 

私の場合は、「業務効率化の向上・評価」と「適切な保守が

なされているかの確認」を目的として、

保守の役割分担とスキルを「重点項目・着眼点」と

しました。

 

 

なお、この節で問われているのは概要なので、

「重点項目・着眼点」の具体的な中身までは踏み込まず、

被監査部門の説明や監査スケジュールなどについて

書くとよいでしょう。

 

設問イの設計

設問イは「重点項目・着眼点」と「監査上の制約」について

問われています。

全体で問われていることの関係図を再掲します。

 

「重点項目・着眼点」は

「情報システムの特徴」を踏まえたものであり、

「個別監査計画の概要」からブレイクダウンされたもの

であることが望ましいでしょう。

 

「監査上の制約」は"この制約があるために

重点項目・着眼点の監査要件を満たせない"ような

制約であることが望ましいでしょう。

 

 

重点項目・着眼点

 

「個別監査計画の概要（目的）」との関係図を再掲します。

 

 

(1)保守の役割分担が明確か？という観点は、

業務効率化のために必要なことでもある（目的(1)）し

適切性の評価にも必要である（目的(2)）という対応になっています。

 

(2)保守担当者のスキルが十分か？という観点も同様で、

業務効率化（目的(1)）のためにも適切性な保守（目的(2)）のためにも

必要という対応になっています。

 

なお重点項目・着眼点の(1)も(2)も情報システムの特徴である

"RPAがシステム部と営業部で共同で保守をしている"点を

踏まえた構成にもなっています。

 

各設問で問われていることの整合性を意識して論述するようにしましょう。

 

 

監査上の制約

 

監査上の制約は、重点項目・着眼点が達成できなくなる恐れのある

制約を書きます。

 

問題文には、以下の例示があります。

テレワーク環境や監査資源など

 

私の場合は、下図のように挙げました。

 

 

たとえば "(1) システム部がテレワーク勤務のため

紙媒体の証跡確認が困難" かつ "(3) 感染症拡大防止のため

不要不急の公共交通での移動が禁止" であれば、

「保守の役割分担を合意した紙媒体の証跡」が確認できなくなるので

重点項目・着眼点を確認する監査上の制約になると考えられます。

 

ただし「監査上の制約」を挙げた理由として、

「本来実施すべきができない監査手続」と

「実施できないことによる監査リスク」の

具体的な内容は触れない方が良いです。

なぜなら設問ウで問われていることだからです。

 

2-2. 節では、「監査上の制約」を挙げた理由として、

"後述する監査リスクが浮上したためである"

くらいにとどめておいても良いでしょう。

 

 

設問ウの設計

設問ウは「実施できない監査手続」「監査リスク」「リスクに対応した監査手続」

について問われています。

全体で問われていることの関係図を再掲します。

 

監査リスクはシステムリスクやプロジェクトリスクは異なり、

監査遂行上のリスクであることに注意してください。

監査結果を誤る危険性が監査リスクです。

 

「実施できない監査手続」と「監査リスク」は

別々に節を立てて論じても良いし、

合わせて論じても良いでしょう。

 

最後にリスクへの対策として「リスクに対応する監査手続」を

書いて結論としましょう。

 

 

実施できない監査手続と監査リスク

 

「実施できない監査手続」については問題文に以下の例示があります。

現場訪問や資料の直接閲覧などの監査手続が実施できない場合がある

 

また問題文の例ではPDFファイルの真正性について問われており

「監査リスク」としては「監査証跡の真正性を確保できない」

などの表現が該当すると考えられます。

 

「実施できない監査手続」は設問イで触れた「監査上の制約」に

起因している必要があります。

 

「監査上の制約」と「実施できない監査手続」「監査リスク」の

対応関係を下に記します。

 

 

監査リスクの”（1）監査証跡の虚偽表示が発見できないリスク”は

監査上の制約の(1)と(3)に起因しています。

同じく"（2）監査の結論が得られない"は

監査上の制約の(2)と(3)に起因しています。

 

設問ウの設問文に書かれている通り、「想定した監査上の制約を踏まえて」

論じることが重要です。

 

 

リスクに対応する監査手続

 

問題文の例示では、

PDFファイルの真正性を原本と同程度に確保する(略)監査証跡を入手する

とあります。

 

監査上の制約、監査リスクを踏まえて実施すべき監査手続を書いて

結論としましょう。

 

「監査リスク」と「リスクに対応する監査手続」の関係を記します。

(1) 紙媒体の監査証跡をデジタル化する場合は承認者の電子署名を追加で

査閲するという「追加の監査手続」と、

(2) スキル維持に必要な研修受講履歴を査閲するという

（インタビューの代わりの）「代替の監査手続」としています。

 

(1) は被監査部門の協力が必要となるので、

電子署名の押印の手順や意義の説明についてのフォローを

行うとよいでしょう。

 

(2) は完全に同じ精度の監査手続とはならないので、

監査手続について監査室長の承認を得ておくなどの

対応を行うとよいと思います。

 

 

論文骨子

以上を踏まえ、論文骨子は次のようになりました。

１．情報システムの概要・特徴と個別監査計画の概要

　１－１．情報システムの概要と特徴

　衣料品の卸売業。営業支援システム（ＳＦＡ）。

　・顧客マスタへの入力作業を支援するＲＰＡツールあり。

　・ＲＰＡツールはシステム部が開発、営業部とシステム部が共同で保守。

　１－２．個別監査計画の概要

　主要な監査の目的は次の２点。

　（１）ＳＦＡによる業務効率化の評価・向上。

　（２）ＳＦＡやＲＰＡの保守が適切になされていることの確認。

　内部監査の対象はＳＦＡならびにシステム部・営業部のＲＰＡ保守担当チーム。

２．個別監査計画の重点項目・着眼点と制約

　２－１．重点項目・着眼点

　（１）システム部と営業部の役割分担が明確に定義されていること。

　　　もし保守が必要なのに両者で放置されると業務効率化ができない。

　（２）ＲＰＡツールの保守担当者のスキルが適切に維持されていること。

　　　リスク評価の結果、ＲＰＡツールのアップデートに保守スキルを追随させる

　　　ことが重視されたから。

　２－２．監査上の制約

　（１）システム部はテレワークが業務の前提。紙媒体の監査証跡を直接査閲できない。

　（２）営業部員のＰＣにはテレワーク環境が無く、リモートインタビュー不可。

　（３）経費削減・感染症拡大防止のため不要不急の公共交通機関を用いた移動禁止。

　以上を想定した理由は、次章に述べる監査リスクが浮上したため。

３．監査リスク低減のための監査手続

　３－１．実施できない監査手続と生じる監査リスク

　（１）監査証跡の虚偽の表示が発見できないリスク

　両部で合意した役割分担表や議事録を査閲するという監査手続が実施できない恐れ。

　被監査部門がデジタル化された文書を準備する際に、改ざんやミスが生じるリスク。

　（２）監査の結論が得られないリスク

　営業部の保守担当者が十分なスキルを保有しているかのインタビューができない。

　３－２．監査リスクに対応した監査手続

　（１）デジタル化した監査証跡を査閲する場合、承認者の電子署名を追加確認

　被監査部門には、文書デジタル化には承認者の電子署名を依頼。

　（２）スキル維持に必要な研修受講履歴を査閲する監査手続

　現地インタビューの代わりに受講履歴を確認する監査手続とし、監査室長の承認を得る。

 

 

論文全文について

ここまででも十分考え方はお伝え出来たかと思いますが、

論文全文を参考にされたい方は有料とはなりますが

以下記事の末尾をご参照ください。

note.com

 

まとめ

いかがでしたでしょうか？

本記事ではシステム監査技術者の午後II（論文）対策として、

令和4年問1で出題された過去問を分析しました。

個別監査計画を遂行する上での制約から生じるリスクと

対策となる監査手続を論述させる問題でした。

プロジェクトのリスクをコントロールするのではなく、

監査上のリスクをコントロールする点がやや目新しかった

ように思います。

 

また、他の区分・過去問の【論文の書き方】の記事については

以下リンクを参照ください。

論文の書き方 カテゴリーの記事一覧 - スタディルーム by rolerole

 

今後も、論文の書き方記事を充実していきます。

ではそれまで。