ITに係る全般統制|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問25
出典:令和6年春期 午前Ⅱ 問25
分野:システム監査(中分類) / 内部統制
金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和5年)"における,ITに係る全般統制に該当するものとして,最も適切なものはどれか。
- ア:アプリケーションプログラムの例外処理(エラー)の修正と再処理
- イ:業務別マスタデータの維持管理
- ウ:システムの開発,保守に係る管理
- エ:入力情報の完全性,正確性,正当性等を確保する統制
TSUNAGARU-ADVICE
まず押さえたいこと
ITに係る全般統制は、個々の業務処理に直接組み込まれる統制ではなく、システム全体を適切に開発・運用・保守するための基盤となる統制です。
迷ったときの判断軸
入力チェック、例外処理、マスタデータ管理などは、個別の業務処理に関わる統制として捉えやすいです。一方で、システムの開発や保守に係る管理は、複数の業務システムに共通して影響するため、ITに係る全般統制と整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、内部統制を見たときに、業務アプリケーション内の処理を直接制御しているのか、システム全体を支える管理体制なのかを切り分ける力が問われます。全般統制は開発・保守・運用・アクセス管理などの土台、業務処理統制は入力・処理・出力の正確性を保つ仕組みとして理解しておきましょう。※監査関連試験向け
ITに係る全般統制は、業務処理統制が有効に機能するための環境を確保する統制です。具体例として、システムの開発や保守に係る管理・運用管理・アクセス管理・外部委託管理などが該当します。金融庁の実施基準でも、ITに係る統制は全般統制と業務処理統制に分けて評価するものとされています。
選択肢ウの「システムの開発,保守に係る管理」は、個別の業務処理ではなく、システム全体の信頼性を支える管理に関する統制です。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:アプリケーションプログラムの例外処理(エラー)の修正と再処理
⇒個別の業務処理に関する統制です。ITに係る全般統制ではなく、ITに係る業務処理統制に該当します。
イ:業務別マスタデータの維持管理
⇒業務処理に直接関わるデータ管理です。個別業務の正確性や完全性を確保する業務処理統制に該当します。
エ:入力情報の完全性,正確性,正当性等を確保する統制
⇒入力データに対する業務処理統制の説明です。ITに係る全般統制ではありません。