基本情報技術者試験「内部統制」の問題
内部統制の整備において、不正やミスを防ぐ目的で、一人の担当者が業務の開始から承認・記録までを単独で完結できないように、互いに牽制が働くよう役割を分ける統制はどれか。
アアクセスログの定期的なレビュー
イ職務の分離(職務分掌)
ウ二要素認証の導入
エデータの暗号化
正解
イ.職務の分離(職務分掌)
職務の分離(職務分掌)は、申請・実行・承認・記録といった業務の各段階を別々の担当者に割り当て、一人で不正を完結できない相互牽制の仕組みを作る統制である。設問の『単独完結を防ぎ牽制を働かせる』記述に正確に合致する。
?選択肢ごとの解説
ア ×アクセスログの定期レビューは事後に行為を検知する発見的統制であり、役割を分けて牽制する予防の仕組みそのものではない。
イ ○職務の分離(職務分掌)は、申請・実行・承認・記録といった業務の各段階を別々の担当者に割り当て、一人で不正を完結できない相互牽制の仕組みを作る統制である。設問の『単独完結を防ぎ牽制を働かせる』記述に正確に合致する。
ウ ×二要素認証は本人確認を強化し不正アクセスを防ぐ技術的統制であり、業務の役割分担による牽制とは目的が異なる。
エ ×データの暗号化は情報の機密性を守る技術的統制であり、職務を分けて相互牽制させる統制ではない。
✎くわしく
内部統制は予防的統制と発見的統制に大別される。職務の分離は『不正を起こさせない』予防的統制の代表で、特に申請者と承認者を分ける点が重要。一方アクセスログレビューは『起きた不正を見つける』発見的統制。二要素認証や暗号化は技術的アクセス制御や機密保護で、役割分担という組織的統制とは観点が異なる。
✓本番での押さえどころ
試験のコツ
『一人で完結させない』『申請と承認を分ける』『相互牽制』とあれば職務の分離と即断する。
覚え方
職務分掌=『作る人とハンコを押す人を分ける』と申請者・承認者の分離で具体化して覚える。
よくある誤り
技術的な対策(認証・暗号化)も統制だが、設問が問う『役割を分けて牽制』という組織的統制とは別物である点を取り違えやすい。
システム監査の他の問題
システム監査人に求められる要件として、監査の客観性を確保するために最も重視されるものはどれか。システム監査を一般的な進め方の順序で並べたとき、本調査(本監査)の直前に位置し、監査対象の概要や統制状況を事前に把握して本調…システム監査において、監査人が実施した監査手続の内容、収集した監査証拠、及びそれらに基づく判断の過程を記録し、監査の結論を裏…システム監査基準とシステム管理基準の関係について、最も適切なものはどれか。コンピュータ支援監査技法(CAAT)を採用する主な狙いとして、最も適切なものはどれか。監査人が、あらかじめ正常データと誤りデータを意図的に用意し、それらを被監査システムの本来のプログラムに入力して、処理結果が想…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-a2-0012