統制リスク

リスクを許容可能な水準まで低減するための対策の実施。技術的対策（暗号化、アクセス制御等）、管理的対策（規程の整備、教育等）、物理的対策（入退室管理等）に分類される。

リスクの大きさに応じて監査資源を重点配分する監査手法。リスクの高い領域に重点を置くことで、限られた監査資源を効果的・効率的に活用する。リスク評価に基づく監査計画の策定が基本となる。

監査対象のリスクを特定・分析・評価するプロセス。リスクの発生可能性と影響度を基に、監査の優先順位や監査資源の配分を決定するための基礎情報を提供する。

リスクを許容可能な水準に低減するために組織が実施する方策。予防的コントロール、発見的コントロール、是正的コントロールに分類され、システム監査ではその整備状況と運用状況を評価する。

コントロールによって達成すべき目標。監査手続書の作成にあたり、監査対象ごとにコントロール目標を設定し、その達成状況を評価するための監査手続を設計する。

内部統制が存在しないと仮定した場合に、監査対象に重大な問題が発生する可能性。業務の複雑さ、IT環境の特性、取引の性質などにより影響され、統制リスクとは独立して評価する。