情報処理安全確保支援士令和4年春期 午前Ⅱ 問25

問25

金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)"におけるアクセス管理に関して,内部統制のうちのITに係る業務処理統制に該当するものはどれか。
  • 組織としてアクセス管理規程を定め,統一的なアクセス管理を行う。
  • 組織としてアクセス権限の設定方針を定め,周知徹底を図る。
  • 組織内のアプリケーションシステムに,業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。
  • 組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う。

分類

マネジメント系 » システム監査 » 内部統制

正解

解説

金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)"によると、ITを取り入れた情報システムに関する統制は「全般統制」と「業務処理統制」の2つから構成されています。
全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。
業務処理統制
業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。
本基準では、業務処理統制の具体例として、①入力情報の完全性、正確性、正当性等を確保する統制、②例外処理の修正と再処理、③マスタ・データの維持管理、④システムの利用に関する認証、操作範囲の限定などアクセスの管理を挙げています。
一方、全般統制の具体例として、①システムの開発、保守に係る管理、②システムの運用・管理、③内外からのアクセス管理などシステムの安全性の確保、④外部委託に関する契約の管理を挙げています。

つまり、全般統制は組織や集団全体としての統制環境整備を目的として行われるものであるのに対し、業務処理統制は個々の業務の正確性を保証するための手続きという位置付けになります。
  • 規程類を整備するのは、全般統制に含まれます。
  • 組織としてアクセス権限の設定方針を定めその周知徹底を図ることは、全般統制に含まれます。
  • 正しい。個々のシステムに組み込まれた認証機構は、業務処理統制の一例となります。
  • 組織内の利用者に対してアクセス管理に関する教育を行うことは、全般統制に含まれます。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop