ITパスポート 令和6年度 問54：system_auditに関する問題

答えは c「内部統制」 です。

内部統制とは、会社が「ルールを守って、ちゃんと正しく回るように」自分たちで作る“社内の仕組み・しくみ”のこと。法令を守る、不正やミスを防ぐ、といった目的があります。

これを支える6つの柱が、問題文に並んだ「統制環境・リスク評価・統制活動・情報と伝達・モニタリング・ITへの対応」です。この6点セットが出てきたら内部統制だと思ってOK。

👉 覚え方：「6つの要素＝内部統制」。会社が自分でつくる“ちゃんとする仕組み”。

ほかの選択肢：a CMMI＝開発力の成熟度レベル／b ITIL＝ITサービス運用の手引き／d リスク管理＝危険への対応（内部統制の一部）。

なぜこれが正解か

正解は c「内部統制」。内部統制は、業務の有効性・効率性、財務報告の信頼性、事業活動に関わる法令の遵守（コンプライアンス）、資産の保全を目的として、組織が自ら整備・運用する仕組み。その構成要素が問題文の6つ——統制環境／リスクの評価と対応／統制活動／情報と伝達／モニタリング／ITへの対応——であり、これは内部統制の定義を特定する決め手。

各選択肢の解説

• a CMMI：ソフトウェア開発プロセスの成熟度を5段階で評価するモデル。
• b ITIL：ITサービスマネジメントのベストプラクティス集。
• d リスク管理：リスクの特定・分析・対応を行う活動。内部統制の構成要素の一つではあるが、6要素全体を包含する取組ではない。

覚え方・ひっかけ注意

「6つの基本的要素（統制環境・リスク評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応）」というキーワード群が出たら内部統制で即断。dのリスク管理は内部統制の“部分”である点が引っかけ。「法令遵守を目的の一つ」「6要素」が揃えば内部統制。

理論的背景

内部統制（Internal Control）は「組織の目標達成に向けて、業務プロセスの信頼性・合法性・効率性を保証するための組織内の仕組み」であり、正解cが明確である。COSOフレームワーク（Committee of Sponsoring Organizations of the Treadway Commission）が国際標準として確立しており、1992年のCOSO報告書と2013年の改訂版が基礎文書として機能する。

正解cの内部統制を識別する決め手は、選択肢の構成要素「統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応」がCOSOフレームワークの5要素（統制環境・リスク評価・統制活動・情報とコミュニケーション・モニタリング活動）に「ITへの対応」を加えた日本版内部統制（金融商品取引法に基づく財務報告に係る内部統制：J-SOX）の6要素に完全一致することにある。

日本では2006年の金融商品取引法改正（J-SOX：日本版SOX法）により、上場企業に対して「財務報告に係る内部統制の評価・報告書作成・監査」が義務付けられた（2009年施行）。米国SOX法（Sarbanes-Oxley Act：2002年）のエンロン・ワールドコムスキャンダルへの立法的対応を参照して設計された日本版制度である。内部統制報告書は有価証券報告書と同時に提出が義務付けられ、公認会計士による監査を受ける。

実務での使われ方

内部統制の実務実装では「業務記述書（Process Description）・リスクコントロールマトリックス（RCM）・フロー図」の3点セットが文書化の標準形態となっている。各業務プロセスにおけるリスクとそれに対応するコントロール（内部統制の仕組み）を対応付けて管理する。

IT全般統制（ITGC：IT General Controls）と業務処理統制（Application Controls）の2層で構成されるIT内部統制は、システム監査・内部監査の重要評価対象である。ITGCは「アクセス管理・変更管理・バックアップ管理・IT運用管理」を含み、アプリケーション統制は「入力統制・処理統制・出力統制」を含む。企業のERP（SAP・Oracle）のアクセス権管理・SOD（職務分離：Segregation of Duties）の設定が内部統制の主要な実装ポイントとなっている。

近年はIT内部統制の評価自動化（Continuous Controls Monitoring：CCM）がFinTech・RegTechの文脈で注目されており、AIによる異常取引検知・アクセスログの自動分析が内部統制の効率化・高度化に貢献している。

試験での位置づけ

内部統制は「CMMI・ITIL・内部統制・リスク管理」という4択識別問題の形式でITパスポートのシステム監査・経営法務分野に出題される。本問の識別キーは「法令遵守目的」「COSOの6要素（統制環境・リスク評価・統制活動・情報伝達・モニタリング・ITへの対応）」という2点が内部統制を一意に特定する情報として機能する。

ITILとの混同（cとbの選択肢間）が最多の誤答パターンであるが、「法令遵守・財務報告の信頼性（内部統制）」vs「ITサービスの品質管理・提供（ITIL）」という目的の差で区別できる。

基本情報技術者では「COSO ERM（Enterprise Risk Management）フレームワーク」「SOC報告書（Service Organization Control：外部委託先の内部統制評価）」「情報セキュリティ管理とITGCの関係」まで出題される。IT統治・企業倫理の上位資格試験では「ITガバナンスと内部統制の相互関係」「取締役会・監査委員会・内部監査の役割分担」が問われる。

選択肢の発展補足

aのCMMI（Capability Maturity Model Integration）との区別：CMMIはソフトウェア開発プロセスの成熟度モデル（Level 1-5）であり、開発組織のプロセス能力を評価・改善する枠組み。「法令遵守」「財務報告の信頼性」という内部統制の目的とは無関係で、技術的プロセス品質の向上が目的。SEI（Software Engineering Institute）が開発・管理し、ソフトウェア調達・開発の品質保証に使われる。

bのITIL（IT Infrastructure Library）との区別：ITILはITサービスのライフサイクル管理（設計・移行・運用・継続的改善）フレームワーク。統制環境・リスク評価・モニタリングという要素はITILのサービスマネジメントプロセスにも存在するが、ITILの目的は「ITサービスの品質確保」であり「法令遵守・財務報告信頼性」という内部統制の法的目的とは異なる。ただしITIL準拠はITGC（IT全般統制）の一部として内部統制評価で参照されることはある。

dのリスク管理との区別：リスク管理（Risk Management）は「潜在的な損害・機会を識別・評価・対処するプロセス」であり、内部統制の構成要素の一部（リスクの評価と対応）に相当するが、内部統制はリスク管理より広い概念（統制環境・統制活動・情報伝達・モニタリングを包含）。リスク管理単体では「内部統制の全体構造（特に統制活動・モニタリング）」を説明できない点が区別の根拠。