システム監査(11)　基準7　リスクの評価に基づく監査計画の策定

【システム監査人は、システム監査を行う場合、情報システムリスク、及びシステム監査業務の実施に係るリスクを考慮するﾘｽｸアプローチに基づいて、監査計画を策定し、監査を実施しなければならない】

監査計画を立てるにあたって、考慮すべきはリスクです。リスクを評価するにあたって、システム監査に関するリスクは２種類あることを認識すべきです。一つは監査する対象となるシステム自体のリスクと、監査そのもののリスクです。

システム自体のリスクについて、リスク評価が必要な理由は、監査リソースが有限であるということです。すなわち、監査を実施するにあたっては、監査時間・監査要員・監査費用などの経営資源（監査リソース）を、最適配分する必要があります。丁寧な監査をすれば、より的確な成果を得ることができるでしょうが、それが会社の身の丈に合ったものでなければ、本来の事業を進めることができず、本末転倒の結果となります。内部統制のために、証跡管理の手間をかけすぎるということは、監査手順が形骸化すると、おきやすい現象です。

従い、監査対象のうちリスクが高いものにはリソースを厚く配分し、そうでないものには薄くするなど、合理的なリソース配分を行うことが肝要です。

リスク評価の方法としては、損害の発生確率ｘ発生した場合の損害金額＝リスク、という数式で優先順序を決めます。同じシステムの中でも、発生する事象などによって、リスクの大きさは異なるでしょう。絶対評価は難しいので、確立や金額は、３段階評価などの相対評価を行うことが多いと思います。

監査そのもののリスクについて、リスク評価が必要な理由は、監査の結果を誤ることによって、誤った経営判断をしてしまう危険があるからです。監査対象の重要な不備があるにもかかわらず見逃せば、問題がないとの監査結果を出しかねません。監査リスクを完全に回避することはできませんが、間違った結論を出してしまう危険があることを念頭に入れておくべきです。

監査は有限の監査リソースで実施することになります。適正なリソース配分を行うために、これらのリスク評価を行った上で監査計画を立てることは、重要と思います。