令和4年春期試験午前問題 午前Ⅱ 問25

午前Ⅱ 問25解説へ
金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)"におけるアクセス管理に関して,内部統制のうちのITに係る業務処理統制に該当するものはどれか。

  • 組織としてアクセス管理規程を定め,統一的なアクセス管理を行う 。
  • 組織としてアクセス権限の設定方針を定め,周知徹底を図る。
  • 組織内のアプリケーションシステムに,業務内容に応じた権限を付与した利用者IDとパスワードによって認証する機能を設ける。
  • 組織内の全ての利用者に対して,アクセス管理の重要性についての教育を行う 。
正解 問題へ
分野:マネジメント系
中分類:システム監査
小分類:内部統制
金融庁"財務報告に係る内部統制の評価及び監査に関する実施基準(令和元年)"によると、ITの統制構築のうち、ITに対する構成活動は「全般統制」と「業務処理統制」の2つから構成されています。

このうち、ITに係る業務処理統制とは「業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制」としています。この具体例としては、入力情報の完全性、正確性、正当性等を確保する統制や、システムの利用に関する認証、操作範囲の限定などアクセスの管理等が紹介されています。
一方、全般統制とは「業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう」とされており、一部の業務プロセスだけでなく、組織や集団の全体として行われていることが全般統制に該当すると考えられます。
  • 統一的なアクセス管理を行うことは業務処理統制に含まれると解することが可能ですが、アクセス管理規定を定めることは全般統制に含まれると考えられます。
  • 組織としてアクセス権限の設定方針を定めること及び周知徹底を図ることは全般統制に含まれると考えられます。
  • 正しい。業務処理統制の1つの例であると考えることができます。
  • 組織内の利用者に対してアクセス管理に関する教育を行うことは、全般統制に含まれると考えられます。

Pagetop