平成25年度 秋期 ITパスポート試験 問28 解説 IT統制の分類

業務処理統制を見分けるポイントは、それが「全社共通の仕組み（全般統制）」か「特定の業務システムの中身（業務処理統制）」かを見極めることです。個別のアプリケーション（人事システムなど）に入力・処理・出力の正確性を担保する仕組みであれば、それが業務処理統制です。

IT統制を分類する境界線

IT統制とは、企業がITを安全かつ有効に活用するために設けるルールのことです。大きく2つに分かれます。

全般統制は、システムを取り巻く土台の部分を指します。開発、運用、保守、アクセス権限の管理など、特定のシステムだけでなく、組織内のIT環境全体を維持するために必要な活動です。これがないと、個別のシステムがいくら堅牢でも、その土台が崩れてしまいます。

業務処理統制は、個別の業務アプリケーションの内部で行われる統制です。入力されたデータが正しいかチェックする、計算結果が意図通りか確認する、出力データに漏れがないか確認するといった、特定の業務を遂行するシステムそのものを制御する活動です。

選択肢を振り分ける思考プロセス

この問題では、選択肢が全般統制なのか業務処理統制なのかを判定します。

選択肢ア：外部委託先のモニタリングは、企業がITを運用する体制そのものに関わることですので、全般統制です。

選択肢イ：基幹ネットワークの運用管理は、システムが動くためのインフラ基盤を指します。これは全社的なITの基盤維持ですので、全般統制です。

選択肢ウ：人事システムの機能ごとのアクセス制限は、人事システムという特定の業務アプリケーションに対する操作権限を定めています。誰がどのデータを見られるかという、業務の正確性と機密性を守るための仕組みであるため、業務処理統制に該当します。

選択肢エ：システム開発・保守規程は、会社全体のシステム導入やアップデートのルールです。これはIT環境全体を規律するものなので、全般統制です。

実務におけるIT統制の役割

ITパスポート試験でこの知識が問われる背景には、企業が適正な業務を行うために、システム開発のルール（全般統制）と、実際のデータ入力・処理のチェック（業務処理統制）の双方を組み合わせる必要があるという考え方があります。

例えば、銀行のシステムを想像してみてください。銀行全体として「サーバーのパスワードを定期的に変更する」「入社時には必ず研修を行う」といったルールを設けるのは全般統制です。一方で、「振込先口座番号が正しいかチェックする」「金額の桁数制限を設ける」「送金履歴をログとして確実に記録する」といった機能は、銀行の送金システムという個別の仕組みに対する業務処理統制です。このように、全般統制という「土台」と、業務処理統制という「実務上のチェック」の2段構えで、初めてITを活用した業務が信頼できるものになります。

参考リンク

• IT統制とは？全般統制と業務処理統制の違いをわかりやすく解説
• 【内部統制】IT全般統制と業務処理統制を実例でわかりやすく解説
• システム管理基準（経済産業省）