リスクコントロール

リスクの発生頻度や影響度を低減するための対策を講じること。リスク回避、リスク低減、リスク移転（転嫁）、リスク保有（受容）の4つの対応方法がある。

特定されたリスクに対する対応策。リスク回避（リスク要因の排除）、リスク低減（セキュリティ対策の実施）、リスク移転（保険やアウトソーシング）、リスク保有（許容範囲として受容）の4つの選択肢がある。

特定されたリスクの追跡、残存リスクの監視、新たなリスクの識別、リスク対応計画の有効性評価を行うプロセス。リスク再評価、リスク監査、差異分析・傾向分析などの技法を用いて、プロジェクト全期間を通じて継続的に実施する。

リスクを修正する対策を講じること。リスク低減の具体的手段として、技術的対策（暗号化、アクセス制御等）や運用的対策（手順の整備、教育等）を実施してリスクレベルを許容範囲内に抑える。

内部統制によって重大な問題が防止または検出・是正されないリスク。内部統制の設計上の有効性と運用上の有効性により決まり、統制テストの結果に基づいて評価する。

リスクの大きさに応じて監査資源を重点配分する監査手法。リスクの高い領域に重点を置くことで、限られた監査資源を効果的・効率的に活用する。リスク評価に基づく監査計画の策定が基本となる。

監査対象のリスクを特定・分析・評価するプロセス。リスクの発生可能性と影響度を基に、監査の優先順位や監査資源の配分を決定するための基礎情報を提供する。

リスクを許容可能な水準に低減するために組織が実施する方策。予防的コントロール、発見的コントロール、是正的コントロールに分類され、システム監査ではその整備状況と運用状況を評価する。

コントロールによって達成すべき目標。監査手続書の作成にあたり、監査対象ごとにコントロール目標を設定し、その達成状況を評価するための監査手続を設計する。

内部統制が存在しないと仮定した場合に、監査対象に重大な問題が発生する可能性。業務の複雑さ、IT環境の特性、取引の性質などにより影響され、統制リスクとは独立して評価する。