ITパスポート 令和6年度 公開問題(過去問) 問54について解説します。
問題
問54 事業活動に関わる法令の遵守などを目的の一つとして、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応から構成される取組はどれか。
ア CMMI
イ ITIL
ウ 内部統制
エ リスク管理
解説・解答
この問題文の内容は「内部統制」に関する記述となります。
内部統制とは、企業が業務の有効性・効率性、財務報告の信頼性、法令遵守などを確保するために行う組織的な仕組みです。内部統制の枠組みとしては、アメリカのCOSO(Committee of Sponsoring Organizations)モデルが代表的で、以下の6つの要素に分かれます。
| 要素名 | 内容の説明 |
|---|---|
| ① 統制環境 | 組織の統制に対する姿勢や文化、倫理観。 例:経営者の統制意識、組織の責任体系、職務分掌など |
| ② リスクの評価と対応 | 業務に伴うリスクを識別・分析し、適切に対応する仕組み。 例:経営計画に応じたリスクマップの作成など |
| ③ 統制活動 | リスクに対応するための具体的なルールや手続き。 例:職務の分離、承認手続、アクセス制御など |
| ④ 情報と伝達 | 必要な情報が適切な人に正しく届く仕組み。 例:社内通達、研修、システムによる通知など |
| ⑤ モニタリング | 内部統制が機能しているかどうかを評価・改善する活動。 例:内部監査や定期レビューなど |
| ⑥ ITへの対応 | ITシステムの統制リスクへの対応。 例:アクセス権管理、ログ監視、システム障害対応計画など |
それぞれの選択肢について確認します。
ア:CMMI
CMMIは、組織のプロセス成熟度を評価・改善するモデルです。開発プロセスの品質向上が目的です。ソフトウェアやシステム開発に特化していて、法令遵守は直接の目的ではありません。
イ:ITIL
ITILは、ITサービスマネジメントのベストプラクティス集です。サービスの品質と効率の向上が目的です。ITサービス運用の改善にフォーカスしていて、法令遵守とは異なります。
ウ:内部統制
上記で説明した通り、本問の記述と完全一致します。これが正解です。
エ:リスク管理
リスク管理は、リスクの特定・分析・対応を行うプロセスで、リスクへの対応に特化した活動です。内部統制の一部ですが、全体ではありません。
以上により、この問題の解答は「ウ」になります。
