システム監査

基本情報技術者試験内部統制」の問題

マネジメント系システム監査難易度:normal
内部統制の整備において、不正やミスを防ぐ目的で、一人の担当者が業務の開始から承認・記録までを単独で完結できないように、互いに牽制が働くよう役割を分ける統制はどれか。
アクセスログの定期的なレビュー
職務の分離(職務分掌)
二要素認証の導入
データの暗号化
正解
職務の分離(職務分掌)

職務の分離(職務分掌)は、申請・実行・承認・記録といった業務の各段階を別々の担当者に割り当て、一人で不正を完結できない相互牽制の仕組みを作る統制である。設問の『単独完結を防ぎ牽制を働かせる』記述に正確に合致する。

?選択肢ごとの解説

ア ×アクセスログの定期レビューは事後に行為を検知する発見的統制であり、役割を分けて牽制する予防の仕組みそのものではない。
イ ○職務の分離(職務分掌)は、申請・実行・承認・記録といった業務の各段階を別々の担当者に割り当て、一人で不正を完結できない相互牽制の仕組みを作る統制である。設問の『単独完結を防ぎ牽制を働かせる』記述に正確に合致する。
ウ ×二要素認証は本人確認を強化し不正アクセスを防ぐ技術的統制であり、業務の役割分担による牽制とは目的が異なる。
エ ×データの暗号化は情報の機密性を守る技術的統制であり、職務を分けて相互牽制させる統制ではない。

くわしく

内部統制は予防的統制と発見的統制に大別される。職務の分離は『不正を起こさせない』予防的統制の代表で、特に申請者と承認者を分ける点が重要。一方アクセスログレビューは『起きた不正を見つける』発見的統制。二要素認証や暗号化は技術的アクセス制御や機密保護で、役割分担という組織的統制とは観点が異なる。

本番での押さえどころ

試験のコツ

『一人で完結させない』『申請と承認を分ける』『相互牽制』とあれば職務の分離と即断する。

覚え方

職務分掌=『作る人とハンコを押す人を分ける』と申請者・承認者の分離で具体化して覚える。

よくある誤り

技術的な対策(認証・暗号化)も統制だが、設問が問う『役割を分けて牽制』という組織的統制とは別物である点を取り違えやすい。

システム監査の他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-a2-0012

【基本情報技術者試験】内部統制の問題 — 解答・解説|ukamiru 過去問