ホーム > 情報処理安全確保支援士試験 > 2022年 春期
情報処理安全確保支援士試験 2022年 春期 午前2 問25
金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)”におけるアクセス管理に関して、内部統制のうちのITに係る業務処理統制に該当するものはどれか。
ア:組織としてアクセス管理規程を定め統一的なアクセス管理を行う。
イ:組織としてアクセス権限の設定方針を定め周知徹底を図る。
ウ:組織内のアプリケーションシステムに業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。(正解)
エ:組織内の全ての利用者に対してアクセス管理の重要性についての教育を行う。
解説
金融庁の内部統制におけるアクセス管理【午前2 解説】
要点まとめ
- 結論:ITに係る業務処理統制は、業務システム内での利用者認証機能の設置が該当します。
- 根拠:業務処理統制は実際の業務処理の正確性・適正性を確保する統制であり、システム内の権限付与や認証が該当します。
- 差がつくポイント:規程や方針の策定は統制環境やリスク評価に関わるが、業務処理統制は具体的なシステム機能の実装に注目すること。
正解の理由
選択肢ウは「組織内のアプリケーションシステムに業務内容に応じた権限を付与した利用者IDとパスワードによる認証機能を設ける」とあり、これは実際の業務処理を適正に行うためのシステム内部の制御であるため、ITに係る業務処理統制に該当します。
一方、他の選択肢は規程や教育、方針の策定に関するもので、統制環境やリスク評価の段階に位置づけられます。
一方、他の選択肢は規程や教育、方針の策定に関するもので、統制環境やリスク評価の段階に位置づけられます。
よくある誤解
アクセス管理規程の策定や教育は重要ですが、これらは業務処理統制ではなく統制環境の整備に該当します。
業務処理統制は実際の業務処理を直接制御する仕組みである点を押さえましょう。
業務処理統制は実際の業務処理を直接制御する仕組みである点を押さえましょう。
解法ステップ
- 問題文の「ITに係る業務処理統制」の意味を確認する。
- 業務処理統制は「実際の業務処理の正確性・適正性を確保する統制」であることを理解する。
- 選択肢の内容を「規程・方針・教育」と「システム機能」に分類する。
- システム機能で業務処理に直接関わるものを選ぶ。
- 「利用者IDとパスワードによる認証機能」が該当するため、選択肢ウを選ぶ。
選択肢別の誤答解説
- ア: アクセス管理規程の策定は統制環境の整備であり、業務処理統制ではない。
- イ: アクセス権限設定方針の周知はリスク評価や統制環境に関わる活動である。
- ウ: 業務内容に応じた権限付与と認証機能は業務処理統制に該当し正解。
- エ: アクセス管理の重要性教育は統制環境の強化であり、業務処理統制ではない。
補足コラム
内部統制は大きく「統制環境」「リスク評価」「統制活動」「情報と伝達」「モニタリング」の5要素に分かれます。
ITに係る業務処理統制は「統制活動」に該当し、具体的にはシステムのアクセス権限管理や認証機能の実装が含まれます。
規程や教育は統制環境の整備にあたり、直接的な業務処理の制御とは区別されます。
ITに係る業務処理統制は「統制活動」に該当し、具体的にはシステムのアクセス権限管理や認証機能の実装が含まれます。
規程や教育は統制環境の整備にあたり、直接的な業務処理の制御とは区別されます。
FAQ
Q: 業務処理統制と統制環境の違いは何ですか?
A: 業務処理統制は実際の業務処理の正確性を確保する具体的な制御で、統制環境は組織の統制の基盤となる規程や方針、教育などの整備を指します。
A: 業務処理統制は実際の業務処理の正確性を確保する具体的な制御で、統制環境は組織の統制の基盤となる規程や方針、教育などの整備を指します。
Q: なぜ認証機能が業務処理統制に該当するのですか?
A: 認証機能は業務システム内で適切な権限を持つ利用者だけが操作できるようにし、業務処理の正確性と安全性を直接確保するためです。
A: 認証機能は業務システム内で適切な権限を持つ利用者だけが操作できるようにし、業務処理の正確性と安全性を直接確保するためです。
関連キーワード: 内部統制, 業務処理統制, アクセス管理, 認証機能, IT統制, 金融庁実施基準