メインコンテンツへ
システム監査

内部統制における「発見的統制」の具体例として、最も適切なものはどれか。

ア.従業員の採用時に身元調査を実施して不正リスクを低減する。
イ.権限分掌を設けて一人の担当者が取引の全工程を単独で処理できないようにする。
ウ.システムの操作ログを分析して通常と異なるパターン(異常アクセス等)を検知する。正解
エ.障害発生時に備えてバックアップデータを定期的に取得しておく。

解説

発見的統制は「監視カメラ」のイメージ。事前に止めるのではなく、何かが起きたときに「あ、変だ」と気づく仕組み。ログ分析・異常検知・棚卸し・照合作業——これらは全て「後から気づく」ための仕掛けだ。

なぜ ウ が正解か

ウが正解。操作ログの分析と異常パターンの検知は「発見的統制」の典型例。問題の発生を事前には防がないが、発生した事実を検知してエスカレーションするための仕組み。セキュリティSIEMやIDS/IPSもこの発見的統制の文脈で機能する。

なぜ ア は間違いか

採用時の身元調査は「予防的統制」。問題のある人物を組織に入れないことで、そもそもリスクが生じないようにする事前対策。

なぜ イ は間違いか

権限分掌(職務分離)も「予防的統制」。一人では不正を完遂できない構造を作ることで、不正を未然に防ぐ。

なぜ エ は間違いか

バックアップ取得は「是正的統制」の準備。障害・不正発生後にデータを復旧させるための仕組みであり、発見ではなく回復のための統制。

出典: AI生成問題(学習用)