CSA(Control Self-Assessment:統制自己評価)|情報処理安全確保支援士 シラバス準拠予想問題2 問25

出典:システム監査:小分類2|内部統制 分野:システム監査(中分類) / 内部統制
CSA(Control Self-Assessment:統制自己評価)の説明として,最も適切なものはどれか。
  • ア:組織外部の独立した監査人が,財務諸表や内部統制の状況について証拠を収集し,第三者の立場から意見を表明する活動である。
  • イ:一人の担当者に権限が集中しないように,申請,承認,実行,記録などの役割を分け,相互けん制を働かせる管理策である。
  • ウ:監査報告後に,指摘事項に対して被監査部門が実施した改善措置の状況を確認し,必要に応じて助言を行う活動である。
  • エ:業務プロセスの担当者や部門が,自らの内部統制の有効性を評価し,リスクや不備を把握して改善につなげる手法である。
解説

CSAは、Control Self-Assessmentの略で、統制自己評価と訳されます。業務プロセスの担当者や部門が、自らの内部統制の有効性を評価し、リスクや不備を把握して改善につなげる手法です。

内部統制は、監査人だけが評価するものではありません。実際に業務を行っている部門が、自部門の統制が有効に機能しているかを自ら点検することで、業務上のリスクや統制の弱点を早期に把握し、改善活動につなげやすくなります。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:組織外部の独立した監査人が,財務諸表や内部統制の状況について証拠を収集し,第三者の立場から意見を表明する活動である。
⇒外部監査の説明です。外部の独立した監査人が第三者の立場から評価する活動であり、業務担当者や部門が自ら内部統制を評価するCSAとは異なります。
イ:一人の担当者に権限が集中しないように,申請,承認,実行,記録などの役割を分け,相互けん制を働かせる管理策である。
⇒職務分離の説明です。職務分離は、不正や誤りを防ぐために権限を分散する内部統制上の管理策です。CSAは管理策そのものではなく、内部統制の有効性を自部門で評価する手法です。
ウ:監査報告後に,指摘事項に対して被監査部門が実施した改善措置の状況を確認し,必要に応じて助言を行う活動である。
⇒フォローアップの説明です。監査報告後に改善措置の実施状況を確認する活動であり、業務プロセスの担当者や部門が自ら統制を評価するCSAとは実施時点と目的が異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

CSA(統制自己評価)は、業務プロセスの担当者や部門が、自らの内部統制の有効性を評価し、リスクや不備を把握して改善につなげる手法です。監査人が一方的に評価するのではなく、現場自身が統制を点検し、改善に結び付ける点が重要です。

迷ったときの判断軸

外部の独立した監査人が第三者の立場で意見を表明するものは外部監査、申請・承認・実行・記録などの役割を分けるものは職務分離、監査後に改善措置を確認するものはフォローアップです。CSAは、業務部門が自ら統制を評価する手法と判断しましょう。

科目Bにつなげるために

科目Bでは、内部統制・リスク管理・監査指摘・改善活動の流れを読み取る問題が出ることがあります。CSAは、監査の代替というより、現場が日常的にリスクや統制不備に気付き、改善のサイクルを回すための仕組みとして整理しておきましょう。※監査関連試験向け。