問題本文
構築された内部統制の整備状況を評価するために、リスクコントロールマトリクスを利用する。リスクコントロールマトリクスの利用に関する次の記述中の、a, bに入れる字句の適切な組合せはどれか。 リスクと a を記述して、 b を評価する。
選択肢
- ア.a=候補となる統制項目, b=統制項目の経済性
- イ.a=候補となる統制項目, b=リスクの低減度
- ウ.a=実施している統制項目, b=統制項目の経済性
- エ.a=実施している統制項目, b=リスクの低減度
正解
エ. a=実施している統制項目, b=リスクの低減度
解説
リスクコントロールマトリクス(RCM)は内部統制で,洗い出した業務リスクと,それに対して実際に「実施している統制項目(コントロール)」を対応表にまとめたもの. リスクごとに統制が有効に機能してリスクを十分に低減できているかを評価する整備状況評価のツール. 評価対象は経済性ではなくリスクの低減度. 候補のままでは未実施で評価できず,整備状況評価の本来の趣旨を満たさない. 実施済み統制とリスク低減度の対応関係が核心となる. 統制活動の有効性評価という内部統制報告制度(J-SOX)の中核ツールとして活用される.
選択肢ごとの解説
- ア.誤り. 「候補」では未実施で実態評価ができず,評価対象が「統制項目の経済性」となるのも整備状況評価の本来目的とずれる. 整備状況は実施済みの統制を対象とし,評価軸はリスク低減度であるべきため,二重に誤った組合せ. . 用語の定義と区別を正確に理解することが本問題の核心となる
- イ.誤り. 「候補となる統制項目」が誤り. 整備状況評価は実際に実施している統制項目を対象とするため,候補段階のものを記述するのは不適切であり,評価対象としては実施済みコントロールに限定するのが原則. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- ウ.誤り. 評価対象が「統制項目の経済性」となっており,内部統制整備状況評価としては不適切. 整備状況評価ではリスクの低減度合いを評価対象とすべきで,コスト面の経済性評価は別の管理プロセスに属する事項である. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- エ.正しい. 実施している統制項目を記述しリスクの低減度を評価するのが整備状況評価のRCM利用法のため. 実施済みコントロールがリスクを十分に減らしているかを確認し,改善要否を判断する用途に最適な対応表である. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
ITパスポート 2014年 (平成26年 春期) の過去問一覧へ戻る・問39