ITパスポート 令和8年度 問40:system_auditに関する問題
企業の活動に関する記述のうち、内部統制の活動内容として、最も適切なものはどれか。
- a決算発表の内容に重大な誤りがあった場合は、速やかに外部に公表する。正答
- b支払伝票を起票した際は、起票者が責任をもって確認し最終承認を行う。
- c定期的にリスクを評価し、洗い出されたリスクの全てを「回避」で対応する。
- d内部通報は必ず直属の上司を通じて行うことを、ルールとして徹底する。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは a です。
内部統制とは「会社が不正やミスを防ぎ、正しく運営される仕組み」のこと。もし決算(会社の成績発表)に重大な誤りが見つかったら、隠さずすぐに外に公表する——これは正しく誠実に運営する内部統制の活動として適切です。
👉 覚え方:内部統制=「不正・ミスを防ぎ、正直に運営する仕組み」。
ほかの選択肢:b 起票した本人が承認=チェックが効かないのでダメ、c リスクを全部“回避”だけで対応=極端でダメ、d 通報は必ず直属の上司経由=その上司が悪い時に困るのでダメ。
なぜこれが正解か
正解は a。内部統制は、業務の有効性・効率性、財務報告の信頼性、法令遵守、資産の保全を確保するための仕組み。決算内容に重大な誤りがあった場合に速やかに外部公表することは、財務報告の信頼性確保に資する適切な活動。
各選択肢の解説
- b 起票者が自ら確認し最終承認→職務分掌(担当の分離)に反する。起票者と承認者は分けるのが原則で、自己承認は不正・誤りの温床。
- c 洗い出したリスクを全て「回避」で対応→リスク対応は回避・低減・移転・受容の使い分けが基本。全て回避は非現実的で不適切。
- d 内部通報を必ず直属の上司経由に限定→上司自身が不正に関与する場合に機能しない。通報窓口は複数・独立を確保すべき。
覚え方・ひっかけ注意
内部統制のキーワードは「職務分掌(分離)」「相互けん制」「複数のリスク対応」。「自分で起票し自分で承認」「全部回避」「通報は上司経由のみ」は典型的なNGパターン。極端・一本化された運用は疑う。
理論的背景
内部統制(Internal Control)はCOSO(Committee of Sponsoring Organizations of the Treadway Commission)フレームワークが国際標準で、「財務報告の信頼性・業務の有効性・効率性・法令遵守・資産の保全」という4目的に向けて組織が設計・運用する仕組みの総体と定義される。COSOキューブの3軸は「目的軸(4目的)」「コンポーネント軸(5要素)」「組織軸(全社・事業部・部門等)」で構成され、5要素は「統制環境・リスク評価・統制活動・情報と伝達・モニタリング」である。本問の選択肢aが正解となる理由:「決算発表の内容に重大な誤りがあった場合に速やかに外部公表する」は内部統制の目的「財務報告の信頼性」に対する「情報と伝達(内外への適時・適切な情報開示)」コンポーネントの実践例に合致する。
実務での使われ方
内部統制の実践的枠組みとして日本ではJ-SOX(金融商品取引法に基づく内部統制報告制度)が2008年から施行されており、上場企業(大会社)は財務報告に関わる内部統制の有効性を年次評価し、監査法人の監査を受けた「内部統制報告書」を有価証券報告書に添付して提出することが義務化されている。IT内部統制(IT General Controls・ITGC)はアクセス管理・変更管理・ITオペレーション管理・システム開発管理の4領域で評価され、J-SOX監査では財務システムのITGCが重点チェック項目となる。ITシステムを通じた内部統制の自動化(自動照合・自動承認ワークフロー・ログ分析による異常検知)が進んでおり、ERP(SAP・Oracle)の承認権限設定・SoD(職務分離:同一人物がデータ入力と承認を行うことを禁止)がITによる統制活動の代表例。
試験での位置づけ
内部統制はITパスポートのシステム監査・ガバナンス系カテゴリで頻出。本問の識別ポイントは4つの選択肢がそれぞれ内部統制の「正しい実践例」「誤った実践例」「無関係な活動」を含んでいる点にある。aが正解で他が誤りである理由の分析。bの「支払伝票の起票者が自ら最終承認する」は内部統制の根本原則「職務分離(Separation of Duties:SoD)」に違反する。同一人物が起票と承認の両方を担当することは不正・誤りの発見を困難にする典型的な内部統制上の弱点。cの「全リスクを回避で対応する」は非現実的で不適切なリスク対応。リスク対応策には「回避・低減(軽減)・移転(保険等)・受容(許容)」の4オプションがあり、コスト・効果を考慮して最適なオプションを選択するのが正しいリスクマネジメント。dの「内部通報は必ず直属の上司を通じて行う」は上司が不正当事者だった場合に通報が握り潰されるリスクがあり、公益通報者保護法の趣旨に反する。
選択肢の発展補足
選択肢bで示された職務分離(SoD:Segregation of Duties)はCOSOフレームワークの「統制活動」要素の中で最重要な統制の一つで、「記録・承認・保管の三機能を同一人物が担わない」という原則。実務例として「発注→受取→支払承認の三担当者分離」「システム開発者と本番環境へのアクセス権分離」「現金管理者と記帳担当者の分離」が挙げられる。選択肢cのリスク対応の4オプションを実務文脈で整理する。回避(Avoidance):リスクの原因となる活動自体を行わない。低減(Mitigation):リスクの発生可能性・影響度を下げる対策を実施。移転(Transfer):保険・契約によりリスクを第三者に移転。受容(Acceptance):リスクのコントロールコストが損失より大きい場合にリスクを許容する。選択肢dの公益通報者保護法(2006年施行・2022年改正)は内部通報制度の整備を義務化し、通報者への不利益取扱い禁止・通報窓口の設置義務(従業員300人超の大企業)・外部窓口の設置を規定している。直属の上司を通じた通報義務化は同法の趣旨に明確に違反する。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和8年度 問40/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。