情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和元年度秋期 午前 問38: 金融庁“財務報告に係る内部統制の評価及び監査の基準（平成23年）”に基づいて，内部統制の基本的要素を，統制環境，リスクの評価と対応，統制活動，情報と伝達，モニタ

問題本文

金融庁“財務報告に係る内部統制の評価及び監査の基準（平成23年）”に基づいて，内部統制の基本的要素を，統制環境，リスクの評価と対応，統制活動，情報と伝達，モニタリング，ITへの対応の六つに分類したときに，統制活動に該当するものはどれか。

選択肢

• ア.経営者が自らの意思としての経営方針を全社的に明示していること
• イ.情報システムの故障・不具合に備えて保険契約に加入しておくこと
• ウ.内部監査部門が定期的に業務監査を実施すること
• エ.発注業務と検収業務をそれぞれ別の者に担当させること

正解

エ. 発注業務と検収業務をそれぞれ別の者に担当させること

解説

統制活動とは、経営者の指示が確実に実行されることを確保するために定める方針・手続のことで、職務分掌（権限の分離）などが典型例である。エの発注と検収を別の担当者に分けることは不正防止のための職務分掌であり統制活動に該当するため、正解はエである。

選択肢ごとの解説

• ア.経営方針を全社的に明示することは組織風土の基盤づくりであり、統制環境に該当するため誤り。
• イ.保険契約による備えはリスクを移転する対応であり、リスクの評価と対応に該当するため誤り。
• ウ.内部監査部門による定期的な業務監査は統制が有効に機能しているかを継続的に評価する活動であり、モニタリングに該当するため誤り。
• エ.発注と検収を別の者に担当させる職務分掌は、誤りや不正を防ぐための方針・手続であり統制活動に該当するため正しい。