目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. リスクの大きさを決める2軸
    2. 監査リスクモデル ― 3つの構成要素
    3. リスクアプローチの流れ
  4. 試験ではこう出る!
  5. 受験生が混同しやすい「精査」との違い
  6. 【確認テスト】理解度チェック
  7. よくある質問(FAQ)

対象試験と出題頻度

リスクアプローチは、応用情報技術者試験のマネジメント系で出題される論点です。

システム監査基準(令和5年版)にも明記されている監査計画策定の根幹概念であり、監査リスクモデルの3要素を正しく区別できるかがカギになります。

対象試験と頻出度を確認する
対象試験:
応用情報技術者
出題頻度:
★★☆☆☆
ランクC(応用)余裕があれば覚える

用語の定義

システム監査の勉強をしていると、「監査計画はどうやって決めるの?全部を均等にチェックするの?」という疑問が出てきます。答えは「均等にはやらない」です。

リスクアプローチ(Risk-based Approach)とは、

 「リスクの大きさに応じて、監査の人員・時間・費用を重点配分する監査手法

です。

身近に例えるなら、期末テスト前の勉強時間の配分と同じ発想です。

5教科すべてに均等に3時間ずつ使うのではなく、「苦手な数学に5時間、得意な国語は1時間」と配分するのが賢い戦略です。リスクアプローチも同じで、問題が起きやすい領域・起きたときの影響が大きい領域に監査資源を集中させます。

📊 リスクアプローチの基本情報

項目 内容
英語名 Risk-based Approach
分野 システム監査(マネジメント系)
根拠基準 経済産業省「システム監査基準」(令和5年版)
対義的な考え方 精査(すべての項目を一律にチェックする方法)

解説

監査の人員・時間・費用といった監査資源は有限です。巨大な情報システムを隅から隅まで同じ密度でチェックすることは、現実には不可能です。

そこで「どこに力を入れるか」を決める判断基準として、リスクの大きさを使います。

経済産業省「システム監査基準」(令和5年版)は、リスクの大きさを次の2つの要素の組み合わせで評価すると定めています。

リスクの大きさを決める2軸

リスクの大きさ = 発生可能性 × 影響度

評価軸 決定要因 具体例
発生可能性 脅威と脆弱性の組み合わせ 外部攻撃の頻度が高い+パッチ未適用のサーバが存在する → 発生可能性は高い
影響度 リスクが顕在化した場合に組織が受ける損害の大きさ 顧客情報10万件の漏えい → 社会的信用の失墜、損害賠償 → 影響度は極めて大きい

この2軸で評価したリスクの大きさに応じて、監査対象の選定や優先度を決めるのがリスクアプローチの本質です。

監査リスクモデル ― 3つの構成要素

リスクアプローチでは「監査リスク」という概念が土台になります。

監査リスクとは、監査対象に重大な問題があるのに、監査人がそれを見逃してしまう可能性のことです。この監査リスクは、次の3つの要素に分解されます。

監査リスク = 固有リスク × 統制リスク × 発見リスク

要素 意味 監査人がコントロールできるか
固有リスク 内部統制が存在しないと仮定した場合に、対象領域に問題が生じる可能性 できない(対象側の性質)
統制リスク 内部統制が整備・運用されていても、問題を防止・検出できない可能性 できない(対象側の統制の問題)
発見リスク 監査人が実施する監査手続によっても問題を発見できない可能性 できる(監査手続の質と量で調整)

ここだけは確実に押さえてください。監査人が直接コントロールできるのは発見リスクだけです。

固有リスクと統制リスクが高い領域では、発見リスクを下げる(=監査手続を厚くする)ことで全体の監査リスクを許容水準に抑えます。

リスクアプローチの流れ

リスクアプローチによる監査計画策定の流れ

STEP 1:監査対象のリスクを識別する
(脅威・脆弱性の洗い出し)
STEP 2:リスクの大きさを評価する
(発生可能性 × 影響度)
STEP 3:固有リスク・統制リスクを評価する
(内部統制の整備・運用状況の把握)
STEP 4:発見リスクの許容水準を決定する
(監査手続の種類・範囲・深さを設計)
STEP 5:監査計画に反映して実施する
(高リスク領域に多くの資源を配分)

▲ 固有リスク・統制リスクが高いほど発見リスクの許容水準は低くなり、監査手続が厚くなる

覚えるのはここだけ

・リスクの大きさは「発生可能性(脅威×脆弱性)× 影響度」で評価する
・監査リスク = 固有リスク × 統制リスク × 発見リスク
・監査人が調整できるのは発見リスクのみ。高リスク領域ほど監査手続を手厚くする

試験ではこう出る!

応用情報技術者の午前で直接「リスクアプローチ」を名指しする出題は多くありませんが、上位のシステム監査技術者試験(AU)午前IIでは定番です。

AP受験者は「監査計画の策定方法」を問う問題のなかでリスクアプローチの知識が要求されるため、概念の理解は欠かせません。

📊 関連する出題実績

試験回 出題内容 問われたポイント
AU R7秋
午前II 問3		 システム監査基準(令和5年版)におけるリスクアプローチの記述として適切なものを選ぶ問題。 ・「脅威と脆弱性による発生可能性 × 影響度」が正解
・「網羅性重視」「残存リスクだけで判断」がひっかけ
FE H24秋
午前 問58		 リスクアセスメントに基づく監査対象の選定として適切なものを選ぶ問題。 ・「リスクの大きさで優先度を決定」が正解
・運用開始時期順、前回指摘件数順はリスク評価と無関係で不正解
AP R4秋
午前 問60		 システム監査基準の「意義」を選ぶ問題(リスクアプローチに基づく監査計画の策定が基準の中核として言及)。 ・監査基準=監査人の行為規範が正解
・リスクアプローチは行為規範の一部として組み込まれている

📝 出題パターンの傾向

パターン1:「リスクアプローチの記述として正しいものを選べ」
「効率性よりも網羅性を重視する」は逆。リスクアプローチの狙いは網羅的な精査ではなく、メリハリのある資源配分で「効率性と有効性を両立」させることにある。この入れ替えが典型的なひっかけ選択肢になる。

パターン2:「監査対象の選定基準を問う」
「運用開始順」「前回の指摘件数順」ではなく、「リスク評価の結果に基づく」を選ばせる形式。リスクアプローチの根幹は”リスクの大きさ”が判断基準だという点が問われる。

AP午前対策としては、監査リスクモデルの3要素の名称と「監査人が調整できるのは発見リスクだけ」という関係を押さえておけば得点ラインに届きます。

受験生が混同しやすい「精査」との違い

リスクアプローチの対極にあるのが「精査」です。精査は監査対象のすべての項目を一つ残らずチェックする方法で、理論上は漏れがゼロになりますが、現実の企業規模では膨大なコストと時間がかかります。

比較項目 リスクアプローチ 精査
対象範囲 リスクの高い領域を重点的に監査 全項目を網羅的に監査
効率性 高い(限られた資源を有効活用) 低い(コスト・時間が膨大)
見逃しの可能性 ゼロではない(許容水準まで低減) 理論上はゼロ
実務での採用 現代の監査の主流 特殊な場面に限定

ひっかけ選択肢で「リスクアプローチは網羅性を重視する」と書かれていたら、それは精査の特徴です。この対比を知っていれば瞬時に除外できます。

【確認テスト】理解度チェック

Q. システム監査基準(令和5年版)におけるリスクアプローチの説明として、最も適切なものはどれでしょうか?

  • A. リスクの大きさは脅威と脆弱性が決定要因となるリスク発生可能性と、リスクが顕在化した場合に組織が受ける影響度の組み合わせで評価され、その評価結果に応じて監査資源を重点配分する手法である。
  • B. 監査の効率性よりも網羅性に重点を置くことで、監査対象の全領域を均等にチェックし、リスクの見落としをゼロにすることを目的とした手法である。
  • C. 監査対象先の選定や監査の優先度は残存リスクの評価のみに基づいて決定され、固有リスクや統制リスクの個別評価は不要とする手法である。

正解と解説を見る

正解:A

解説:
リスクアプローチは、ITシステムに係るリスクの大きさに応じて監査の人員や時間を重点配分し、監査を効果的かつ効率的に実施する手法です。リスクの大きさは「発生可能性(脅威×脆弱性)」と「影響度」の組み合わせで評価されます。

選択肢Bは「精査」の考え方に近い記述です。リスクアプローチの狙いは網羅性ではなく、メリハリのある資源配分による効率性と有効性の両立にあります。選択肢Cは「固有リスクや統制リスクの個別評価が不要」としている点が誤りです。監査計画の策定では固有リスク・統制リスク・残存リスクのそれぞれを評価する必要があります。

よくある質問(FAQ)

Q. リスクアプローチは会計監査のものですか?システム監査のものですか?

元々は財務諸表監査(会計監査)で確立された手法です。日本公認会計士協会の監査基準でも「監査リスク = 重要な虚偽表示リスク × 発見リスク」として定義されています。システム監査はこの考え方を情報システム分野に応用したもので、経済産業省「システム監査基準」が根拠です。IPA試験ではシステム監査の文脈で出題されるため、「システム監査基準に基づくリスクアプローチ」として整理しておくのが確実です。

Q. 「残存リスク」と「固有リスク」はどう違いますか?

固有リスクは「内部統制がまったく存在しないと仮定した場合のリスク」であり、対象領域が本来持つリスクの”素の大きさ”を表します。一方、残存リスクは「内部統制を適用した後にもなお残っているリスク」です。つまり、固有リスクから統制による低減分を差し引いた残りが残存リスクです。試験の選択肢では、この2つを入れ替えてひっかけるパターンがあるため、「統制前=固有リスク、統制後=残存リスク」と対比で覚えるのが有効です。

Q. リスクアプローチとベースラインアプローチの違いは何ですか?

ベースラインアプローチは、公開されているチェックリストやガイドラインに沿って一律にセキュリティ対策の充足度を確認する手法です。リスクの大きさに応じた優先度付けは行わず、「最低限のベースラインを満たしているか」に焦点を当てます。リスクアプローチは組織ごとのリスク評価に基づいて重点を変える柔軟性がある一方、ベースラインアプローチは簡易的に実施できる利点があります。試験では両者が別の選択肢として並ぶことがあるため、「個別評価か一律チェックか」で区別してください。

Q. 実務でリスクアプローチはどのように使われていますか?

内部監査部門が年間の監査計画を策定する際に使われます。例えば、全社で30のシステムがある場合、すべてを毎年監査するのは現実的ではありません。そこで各システムのリスク評価(取り扱うデータの機密度、過去のインシデント履歴、直近のシステム変更の有無など)をスコアリングし、高スコアのシステムから優先的に監査対象に入れます。限られた監査チームの工数を有効に使うための、実務上の必須フレームワークです。