基本情報 平成24年度 春期 問58：マネジメント系に関する問題

答えは d（OCRが乱れていますが、正解は「問題発生の可能性とその影響の大きなシステムを対象とする」に該当）。

リスクアセスメントは「どこが一番ヤバいか」を見極めること。家中を毎日全部点検するのは無理なので、火事になりやすい台所と、こわれたら困る冷蔵庫から先に点検しますよね。それと同じ考え方です。

👉 覚え方：「リスク＝起きやすさ × 起きたときの痛み。両方デカいやつから監査」。

ほかの選択肢：運用開始順／実施可能なもの／無作為抽出は、いずれも“リスク”を基準にしていないので不適切です。

なぜこれが正解か

正解は d（OCR乱れあり、正答は「問題発生の可能性とその影響が大きいシステムを優先して監査対象とする」選択肢）。リスクアセスメントとは、リスク = 発生可能性 × 影響度 を評価し、優先順位付けする手法。限られた監査リソースを最大の効果に振り向けるため、リスクが高い領域から監査するのが定石。

各選択肢の解説

• 運用開始順に全システム → リスクの大小を無視した網羅的なアプローチで非効率。
• 実施可能なシステムだけ → 監査側都合の選定で、本当に必要な領域を見落とす。
• 無作為抽出 → サンプリングであってリスクベース選定ではない。

覚え方・ひっかけ注意

「リスクベース監査＝影響大 × 発生可能性高 を優先」。JIS Q 27001（ISMS）でもリスクアセスメントは中核プロセスで、同じ考え方が貫かれる。「網羅性」と「効率性」のトレードオフで効率性を取るのがリスクベース、と整理。

理論的背景

リスクアセスメント（リスク評価）は リスク特定 → リスク分析 → リスク評価 の3段階で構成され、ISO 31000やJIS Q 31000で標準化されている。リスク値は通常「発生確率 × 影響度」の積で定量化（リスクマトリクス）、または定性的（高・中・低）に評価する。情報セキュリティ分野ではJIS Q 27005でリスクマネジメントが体系化され、資産・脅威・脆弱性の3要素から残存リスクを評価する。

実務での使われ方

システム監査基準（経済産業省）では「監査計画策定にあたりリスクアプローチを採用する」と明記。具体的には、財務影響の大きい基幹業務、外部公開システム、個人情報を扱うシステムを優先的に監査対象に組み込む。COBITやIIA国際内部監査基準でも同様のリスクベース監査が原則。SOX法（J-SOX）対応の内部統制評価でも財務報告に重要な影響を与える業務プロセスを優先する。

試験での位置づけ

FE・APマネジメント領域、システム監査技術者試験で頻出。リスクへの対応（回避・低減・移転・受容）の4分類、リスクマトリクスによる優先順位付けと併せて問われる。近年はサイバーセキュリティ経営ガイドライン（経産省）との関連、サプライチェーンリスク、クラウドサービス利用リスクも頻出テーマ。

選択肢の発展補足

無作為抽出（ランダムサンプリング）は統計的監査（サンプリング監査）の手法で、母集団全体の傾向把握に使うが、リスクベース選定とは目的が異なる。網羅監査は内部統制の整備状況評価で全件確認する場合に行うが、運用テストでは試査（サンプリング）が一般的。リスクが極端に高い領域は全件チェック（精査）も併用する。