メインコンテンツへ
システム監査監査・ガバナンス

内部統制における予防的統制・発見的統制・是正的統制の説明として、最も適切なものはどれか。

ア.予防的統制は事故後の損害賠償、発見的統制は警察への通報、是正的統制は裁判所での判決を指す。
イ.予防的統制と是正的統制はITに限定された概念で、発見的統制は人手の作業に限定される。
ウ.予防的統制は問題の発生を未然に防ぐ統制(アクセス権限制御、職務分離、入力チェックなど)、発見的統制は発生した問題を速やかに見つけ出す統制(ログ監視、定期監査、突合チェックなど)、是正的統制は発見された問題を回復・是正する統制(バックアップからの復旧、再処理、再発防止策実施など)である。正解
エ.3つの統制はすべて同じ意味で、組織が任意に呼び分けているだけである。

解説

統制の3兄弟は「家のセキュリティ」で覚えるとスッキリ。予防=鍵をかける、発見=防犯カメラで侵入を検知、是正=被害を片付けて鍵を強化。3つ揃って初めて家は守られるんです。

なぜ ウ が正解か

予防的統制(Preventive Control)は問題の発生自体を防ぐ事前統制で、アクセス権限制御・職務分離・承認手続き・入力バリデーション・物理セキュリティなどが含まれます。発見的統制(Detective Control)は発生した問題や異常を速やかに検知する事後統制で、ログ監視・定期監査・突合チェック・例外レポートなど。是正的統制(Corrective Control)は発見された問題からの回復・修復・再発防止を行う統制で、バックアップ復旧・再処理・原因分析と恒久対策実施などです。3つは時系列で連携し、多層防御を構成します。

なぜ ア は間違いか

法的手続きの話と取り違えた誤答です。内部統制は組織内部の業務統制であり、損害賠償や警察通報といった事後の法的アクションとは別の概念体系です。

なぜ イ は間違いか

IT統制と業務統制(マニュアル統制)の両方に予防・発見・是正のいずれも存在します。技術と人手の二分法ではありません。

なぜ エ は間違いか

3種類は明確に異なる役割を持ち、COSOフレームワークやJ-SOX等で区別して評価されます。同義と扱うのは統制設計上致命的です。

出典: AI生成問題(学習用)