情報セキュリティマネジメント試験 令和6年度 公開問題(過去問) 問8 について解説します。
問題
問8 内部統制の基本的要素の一つである “統制活動” に該当するものはどれか。
ア 経営目的を達成するための経営方針及び経営戦略
イ 個人情報保護に関する脅威と脆弱性の分析
ウ 受注から出荷に至る業務プロセスに組み込まれた処理結果の検証
エ 定期的に計画して実施する内部業務監査
解説・解答
内部統制と「統制活動」とは?
内部統制は、企業が健全に運営されるための仕組みです。代表的なフレームワークは COSOフレームワーク で、次の5要素があります。
- 統制環境: 企業文化・経営姿勢・組織体制(トップの姿勢)
- リスク評価: リスクを特定し、発生可能性や影響度を分析
- 統制活動: リスクを抑えるために日常業務に組み込む具体的手続
- 情報と伝達: 必要な情報を適切に収集・伝達
- 監視活動: 内部監査などによる継続的評価
この中で「統制活動」は リスク評価の結果を受けて、「ミスや不正を防ぐ・発見する仕組み」を業務フローに埋め込むことです。例えば以下のようなものが典型例です。
・入力データの検証(フォーマットチェック、桁数チェック)
・買掛金と請求書の突合
・権限に応じた承認フロー(ダブルチェック)
・在庫の実地棚卸と帳簿の照合
それぞれの選択肢について確認します。
ア: 経営目的を達成するための経営方針及び経営戦略
これは統制環境にあたります。統制環境は、内部統制の土台となる経営者の姿勢や倫理観を示す部分です。ここでは具体的な業務手続は出てきていないので統制活動ではありません。
イ: 個人情報保護に関する脅威と脆弱性の分析
これはリスク評価にあたります。「何が危険か、どこが弱いか」を洗い出す段階です。その結果に応じて、アクセス制御や暗号化などの統制活動を設計します。
ウ: 受注から出荷に至る業務プロセスに組み込まれた処理結果の検証
これが統制活動です。業務プロセスに自動チェックや二重確認を組み込み、誤りや不正を未然に防ぐ仕組みです。
(例)
・出荷数量と受注数量が一致しているかチェック
・売上データと請求データの突合
・在庫システムと実在庫の照合
エ: 定期的に計画して実施する内部業務監査
これは監視活動にあたります。内部統制がきちんと機能しているかどうかを独立した立場でチェックします。統制活動の有効性を点検するものなので、統制活動ではありません。
以上により、この問題の解答は「ウ」になります。
