平成28年度 春期 ITパスポート試験 問45 解説 IT統制の分類

業務処理統制と全般統制を見分けるポイント

この問題は、IT統制を「個別の業務単位」で見るか、「システム基盤全体」で見るかを判断できるかが鍵です。

業務処理統制は「特定の業務システムの中（入力・処理・出力）で完結するルール」を指し、全般統制は「システムが動くための土台や環境」に関するルールを指します。選択肢の中で、特定の業務（今回は購買業務）に対して直接的で、データの正確性を担保するための活動はどれか、という視点で絞り込みます。

業務処理統制とは何か

業務処理統制は、ある特定のアプリケーション（システム）において、情報の処理が正確かつ漏れなく行われることを保証するためのコントロールです。

具体的には、以下のような「業務データ」に直接関わるチェック機能が含まれます。 ・入力した金額に誤りがないか（入力チェック） ・同じ注文データを二重に入力していないか（重複排除） ・承認プロセスを経ていないデータが処理されていないか（権限チェック）

つまり、画面に入力される内容や、計算結果が正しいかを管理する仕組みです。

全般統制とは何か

一方で全般統制は、システムを支える「インフラ」や「運用ルール」全体に対する統制です。

選択肢のア、ウ、エに該当するものがこれにあたります。 ・アクセス管理：誰がシステムにログインできるかを制限する、システム全体の共通ルールです。 ・開発・保守：システムそのものを作るプロセスや、完成したシステムのバグ修正などの管理です。 ・運用管理：サーバのバックアップや稼働状況の監視など、業務処理の内容に関わらずシステムを止まらせないための対策です。

これらは、特定の業務が正しく動く以前に、システム環境そのものが安全でなければならないという、いわば「土台づくり」の活動です。

なぜこの知識が重要なのか

ITパスポート試験でこのテーマが問われる意図は、ITガバナンスの全体像を理解させることにあります。

実務の現場では、いくら高度なセキュリティ対策（全般統制）をしていても、現場の人間が入力ミスを放置したり、データを二重計上したりしていては、企業としての会計報告の信頼性は失われます。逆に、どれだけ業務処理のチェックが厳格でも、システムへのアクセス権限がずさんで誰でもデータを改ざんできる状態（全般統制の不備）では、業務処理統制そのものが機能しません。

両者は「基盤」と「中身」という関係性にあり、IT部門やDX推進担当者は、これら双方をバランスよく管理していく視点が求められます。

参考リンク

• ITガバナンスと内部統制の基礎（ITパスポート学習サイト）
• システム監査における統制活動の分類（Zennの解説記事）
• システム管理基準（経済産業省・アカデミックな定義）