令和7年度53マネジメント系

ITパスポート 令和7年度 問53:system_auditに関する問題

内部統制の基本的要素の一つである"ITへの対応"に関する記述として,最も適切なものはどれか。

  • aITを活用すると業務処理を迅速化でき,不注意によるミスを全て防止できる。
  • b既存のITの利用者の拡大や,使い方の変更などで組織目標を達成できるのであれば,新たなITシステムの導入やITシステムの更新を強いるものではない。正答
  • c全ての業務プロセスをITで自動化することによって,業務プロセスを大幅に修正することが容易になる。
  • d組織の業務がITに大きく依存すると,内部統制の目的を達成することが難しくなる。
正答:B既存のITの利用者の拡大や,使い方の変更などで組織目標を達成できるのであれば,新たなITシステムの導入やITシステムの更新を強いるものではない。

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b です。

会社のしくみを正しく回す工夫(内部統制)の一つに「ITとうまく付き合う」があります。ポイントは“とにかく新しいシステムを入れろ”ではないこと。

b は「今あるITで目的を達成できるなら、無理に新しく入れ替えなくてOK」と言っていて、これが正しい考え方。道具は目的に合えば今のままで十分、という発想です。

👉 覚え方:ITは“目的に合えばOK”。新しさより目的達成が先

ほかの選択肢:a「ミスを全部防げる」=言い過ぎ(ITでもミスは残る)/c「全部自動化すれば修正が楽」=逆に大変になることも/d「ITに頼ると統制が難しくなる」=決めつけ。

標準試験対策の基準レベル

なぜこれが正解か

正解は b。内部統制の基本的要素「ITへの対応」とは、組織目標達成のためにITを適切に活用・統制する方針。重要なのはITは目的達成の手段であり、目的が既存ITで達成できるなら新規導入・更新を強いるものではない、という考え方。b はこれを正しく述べている。

各選択肢の解説

  • a 「不注意によるミスを全て防止できる」:過大評価。ITで効率化はできてもミスをゼロにはできない。
  • c 「全て自動化すれば修正が容易」:自動化が進むほど変更の影響範囲は大きく、修正は容易にならない。
  • d 「ITに依存すると内部統制の目的達成が難しくなる」:誤り。適切に統制すれば依存自体は問題ではない。

覚え方・ひっかけ注意

「全て」「ゼロ」「必ず」など断定・極端な表現は誤りになりやすい(a・c)。「ITは目的のための手段」という穏当な記述が正解になりやすい鉄則。

上級誤答論破・背景理論まで深掘り

理論的背景

内部統制の「ITへの対応」は、会社法・金融商品取引法(J-SOX)における内部統制の6基本要素の一つとして位置づけられており、経済産業省「財務報告に係る内部統制の評価及び監査の基準(改訂版)」で定義されている。6要素とは「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」そして「ITへの対応」である。

「ITへの対応」が独立した要素として設けられた背景には、現代企業の業務処理がITに依存し、その依存度の高さ自体が新たなリスクを生む(システム障害・サイバー攻撃・データ改ざんなど)という認識がある。重要な原則は「ITを活用することは義務ではなく選択肢」という点であり、既存ITの利用範囲拡大や使い方の変更で組織目標が達成できるならば、新たなシステム導入・更新を強要するものではない(正解b)。これはコスト・リスク・効果のバランスを考慮した現実的なアプローチである。

実務での使われ方

J-SOX(金融商品取引法に基づく内部統制報告制度)では、上場企業が毎期「内部統制報告書」を作成し、独立した公認会計士・監査法人によるレビューを受ける義務がある。このプロセスで「ITへの対応」の評価は「IT全般統制」と「IT業務処理統制」の二つに分けて実施される。IT全般統制はシステム開発・変更管理・アクセス管理・運用管理の4領域について整備状況と運用状況を評価し、IT業務処理統制は各業務アプリケーションの入力・処理・出力の正確性・完全性を評価する。

選択肢aの「不注意によるミスを全て防止できる」という記述が誤りである理由は、ITが防止できるのはシステムに組み込まれたルール範囲内のエラーに限定されるからである。設計ミス、仕様の曖昧さに起因するエラー、あるいはシステムが想定していない操作によるミスは防止できない。選択肢cの「全業務プロセスをIT自動化することで業務プロセスの修正が容易になる」も誤りで、実際にはIT化が深いほどプロセス変更のコストと工数が増大する(システム改修コスト)。

試験での位置づけ

ITパスポートの内部統制関連問題は、6基本要素の名称と概念の理解が問われる頻出分野である。特に「ITへの対応」は他の5要素と性質が異なる「横断的要素」として試験でも独特の扱いを受けており、「必須ではなく組織目標達成の手段の一つ」という点が誤答を選ばせる引っかけとして機能する。

情報処理安全確保支援士・ITストラテジスト試験では、COSO(Committee of Sponsoring Organizations)フレームワーク、COBIT(Control Objectives for Information and Related Technologies)のプロセス体系、J-SOX評価手法(トップダウンアプローチ)まで問われる。また近年は内部統制とERM(Enterprise Risk Management)の統合的アプローチが実務・試験双方で重要度を増している。

選択肢の発展補足

選択肢dの「ITへの依存度が高まると内部統制の目的達成が難しくなる」は非常に紛らわしい選択肢である。確かにIT依存度の上昇は新たなリスク(サイバーリスク・システム停止リスク)を生むが、だからこそ「ITへの対応」という内部統制要素が機能するのであり、依存度が高いことそのものが「達成困難」を意味するわけではない。適切なITガバナンスと内部統制の整備により、高依存度のIT環境でも内部統制目的を達成できる。むしろIT活用により統制の自動化・ログ管理・アクセス制御が強化され、人手による統制よりも高精度の内部統制が実現できるケースも多い。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和7年度53/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

マネジメント系の他の過去問

35
system_audit
36
project_management
37
project_management
38
development_management
39
project_management

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。