平成22年度 秋期 ITパスポート試験 問35 解説 内部統制のモニタリング

「内部統制」という言葉が出てきたら、その構成要素を思い出すことが正解への近道です。設問にある「継続的に評価するプロセス」というキーワードは、内部統制の構成要素である「モニタリング」の定義そのものです。

内部統制の6つの構成要素

内部統制とは、企業が目標を達成するために設ける社内の仕組みのことです。ITパスポートでは、この仕組みを構成する6つの要素を理解しておく必要があります。

1. 統制環境：組織の気風や体制
2. リスクの評価と対応：事業上のリスクを特定・分析すること
3. 統制活動：業務が適切に行われるためのルールや手続き
4. 情報と伝達：必要な情報が正しく共有されること
5. モニタリング：仕組みが有効か継続的に監視・評価すること
6. ITへの対応：ITを活用して統制を強化すること

今回の問題は、この中の「モニタリング」が何を指すのかをダイレクトに問うています。「継続的」に「評価」するという言葉が出てきたら、迷わず「モニタリング」を選びましょう。

なぜ他の選択肢ではいけないのか

試験では正解以外の用語が何であるかを整理することも重要です。

・暗号化対策：データ漏えいを防ぐための技術的な手段であり、評価プロセスではありません。 ・災害復旧対策：地震や火災などの非常事態に備えた計画やバックアップのことです。 ・ベンチマーキング：競合他社と比較して自社の強みや弱みを分析する手法です。

このように、他の選択肢は内部統制の「仕組みそのもの」や「手法」を指していますが、「仕組みが正しく動いているかを評価するプロセス」という役割を持っているのはモニタリングだけです。

組織がモニタリングを行う理由

モニタリングは、なぜ必要なのか。それは、どれほど完璧なルールやシステムを作っても、現場では慣れによる手抜きや、環境の変化に伴うルールの形骸化が必ず発生するからです。

企業活動において、ルールを作って終わりにするのではなく、それが本当に機能しているかをチェックし、改善し続けるサイクル（PDCA）を回すことが、組織の健全性を保つ唯一の方法です。ITパスポート試験でこの知識が問われるのは、システム開発や情報セキュリティの現場においても、構築後の「運用監視」や「監査」が極めて重要であることを理解してほしいという意図があります。

実務においては、内部監査部門による定期的なチェックや、システムのログ分析などがモニタリングの具体的な活動にあたります。どのような組織でも「作りっぱなし」にせず、「見守り続ける」姿勢が求められているのです。

参考リンク

• 【ITパスポート】内部統制とは？構成要素や目的をわかりやすく解説
• 【実務解説】システム管理におけるログ監視とモニタリングの自動化
• 財務報告に係る内部統制の評価及び監査の基準（金融庁）