アクセス管理に関する内部統制｜情報処理安全確保支援士試験令和4年春期午前Ⅱ 問25

出典：令和4年春期午前Ⅱ 問25 分野：システム監査（中分類）／内部統制

金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準（令和元年）"におけるアクセス管理に関して，内部統制のうちのITに係る業務処理統制に該当するものはどれか。

解説

ITに係る業務処理統制は、個々の業務処理を正しく行うために、アプリケーションシステムなどに組み込まれる統制です。

アクセス管理の中でも、業務内容に応じた権限を付与した利用者IDとパスワードで認証する機能をアプリケーションシステムに設けることは、業務処理に直接関係するIT統制に当たります。

したがって、ウが適切です。

❌他選択肢が誤りの理由
ア：組織としてアクセス管理規程を定め，統一的なアクセス管理を行う。
⇒アクセス管理規程を定めることは、組織全体のIT管理方針やルールに関する統制です。個々のアプリケーションの業務処理に組み込まれた統制ではないため、ITに係る業務処理統制ではなく、IT全般統制に近い内容です。

イ：組織としてアクセス権限の設定方針を定め，周知徹底を図る。
⇒アクセス権限の設定方針を定めて周知することは、組織全体のアクセス管理の枠組みを整える統制です。業務アプリケーション内で個別の取引や処理を制御するものではないため、ITに係る業務処理統制には該当しません。

エ：組織内の全ての利用者に対して，アクセス管理の重要性についての教育を行う。
⇒教育は、アクセス管理に関する意識向上やルール遵守を目的とした組織的な統制です。アプリケーションシステムの業務処理に直接組み込まれる統制ではないため、ITに係る業務処理統制とは異なります。

TSUNAGARU-ADVICE

ITに係る業務処理統制は、個別の業務アプリケーションに組み込まれた統制です。アクセス管理では、業務内容に応じた権限をもつ利用者IDとパスワードで認証する機能などが該当します。

アクセス管理規程の整備、権限設定方針の周知、教育は、組織全体に関わる統制です。一方で、アプリケーションシステム内に認証機能や権限制御を設けるものは、業務処理に直接組み込まれたIT統制として判断できます。

科目Bでは、IT全般統制とIT業務処理統制の違いを問われることがあります。全社的なルールや教育なのか、個別システムの処理に組み込まれた統制なのかを見分け、アプリケーション内の認証・権限チェックは業務処理統制として整理しておきましょう。

アクセス管理に関する内部統制｜情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問25