対象試験と出題頻度
CSA(統制自己評価)は、応用情報技術者の午前・午後で出題実績のあるテーマです。
主にシステム監査技術者試験との共通領域として登場しますが、AP単体でも午後のシステム監査問題の選択肢に含まれることがあります。
対象試験・頻出度を確認する
応用情報技術者
★☆☆☆☆
ランクD(参考程度)
用語の定義
システム監査の学習を進めていると、「監査って監査部門がやるものでは?現場が自分で評価するってどういうこと?」と引っかかるポイントがあります。それがCSAです。
CSA(Control Self Assessment:統制自己評価)とは、
「監査部門ではなく、業務を行っている現場部門が自らリスクと統制(コントロール)の有効性を評価する内部監査手法」
です。
身近にたとえると、「健康診断ではなく、毎朝の自己体温チェック」に近い仕組みです。
健康診断(=従来の内部監査)は専門の医師が年に1回まとめて検査します。一方、毎朝の体温チェック(=CSA)は本人が日常的に自分の体調を把握し、異変を早期に発見します。
専門家の診察がなくなるわけではなく、「自分でもモニタリングする」層が1つ加わるイメージです。
📊 CSAの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Control Self Assessment(統制自己評価) |
| 分類 | 内部監査の手法(リスクマネジメント手法) |
| 発祥 | 1987年、カナダのガルフ・カナダ社が開発 |
| 権威ある定義元 | IIA(内部監査人協会)がCSAの定義・ガイドラインを公表 |
| 代表的な実施方法 | ワークショップ方式、アンケート方式 |
解説
なぜCSAが生まれたのか
従来の内部統制の評価は、内部監査部門が被監査部門を「外から検査する」方式で行われていました。
この方式は客観性が高い反面、2つの限界を抱えています。
1つ目は、監査リソースの不足です。監査部門の人数には限りがあり、組織のすべての業務プロセスを短期間で検証することは物理的に困難です。
2つ目は、現場固有のリスクの見落としです。業務を実際に回している担当者にしか分からないリスク(暗黙の手順、属人化した判断など)を、外部の監査人が限られた期間で把握しきるのは難しい構造になっています。
これらの課題を補完するために、「現場の人間にも評価プロセスへ参加してもらおう」という発想で1987年にCSAが考案されました。
従来型監査とCSAの役割分担
CSAは従来の内部監査を「置き換える」ものではなく、「補完する」位置づけです。
以下の図で両者の関係を整理します。
従来型の内部監査 vs. CSA導入後の役割分担
▼ 従来型の内部監査
↓ 計画・実施・評価・報告すべて担当
受け身で対応するのみ
▼ CSA導入後
支援・ファシリテーション・第三者確認
↕ 協力体制
リスク特定 → 統制評価 → 改善まで主体的に実施
実施方式は大きく2つ
CSAの代表的な実施方式はワークショップ方式とアンケート方式の2つです。それぞれ得意・不得意が明確に分かれます。
| 方式 | やり方 | 強み | 弱み |
|---|---|---|---|
| ワークショップ | 関係者が集まり、ファシリテーターの進行でリスクや統制について議論する | 本音を引き出しやすい。意識醸成につながる | 進行役のスキルが必要。職位差による発言の偏りが出やすい |
| アンケート | 監査部門が作成した質問票に現場担当者が回答する | 広範囲を一度にカバーできる。集計が容易 | 表面的な回答になりやすい。深掘りが難しい |
メリットとデメリットの整理
✅ メリット
・業務に精通した担当者が評価するため、現場固有のリスクを発見しやすい
・リスクマネジメントを”自分ごと”として捉える意識が組織に定着する
・内部監査部門の負荷が軽減され、重要領域にリソースを集中できる
・課題発見から改善までのスピードが速い
❌ デメリット
・自分たちで自分たちを評価するため、客観性が低下し評価が甘くなるリスクがある
・現場担当者にリスクマネジメントの知識が求められ、スキル不足だと形骸化する
・通常業務に加えて評価作業を行うため、短期的には現場の負荷が増大する
覚えるのはここだけ
・CSAは「現場部門が自らリスクと統制の有効性を評価する」内部監査手法
・従来の監査を置き換えるのではなく「補完」する位置づけ
・最大の強みは「業務に精通した担当者だからこそ発見できるリスクがある」こと
試験ではこう出る!
CSAは応用情報技術者の午前では単独で正面から問われることは少なく、システム監査の選択肢のひとつとして登場するパターンが中心です。
ただし、AP午後のシステム監査問題や、情報セキュリティマネジメント試験では正面から出題された実績があります。
📊 関連する出題実績
| 試験回 | 出題内容 | CSAの扱い |
|---|---|---|
| SG H28春 午前 問3 |
情報セキュリティに係るリスクマネジメントの効果的実施を検証・評価し、保証又は助言を与えるものを選ぶ問題 | 不正解の選択肢として登場。「被監査部門が自部門の活動を評価するもの」と説明され、「独立かつ専門的な立場が求められる」情報セキュリティ監査と区別された |
| AP H28秋 午後 問9 |
パッケージ選定に関するプロジェクトマネジメント問題の空欄補充 | 不正解の選択肢として「統制自己評価」が登場。正解は「発注先選定基準」 |
| AU H24春 午後Ⅱ 問1 |
「コントロールセルフアセスメントとシステム監査について」の論述問題 | CSAが論述テーマそのものとして出題。システム監査技術者試験ではメインテーマになり得る |
📝 出題パターンと対策のポイント
パターン1:「CSAの説明として正しいものを選べ」
CSAの本質は「被監査部門が自ら評価する」点にあります。「監査部門が独立した立場で評価する」という記述はCSAではなく通常の内部監査や情報セキュリティ監査の説明なので、ここで引っかからないことが得点のカギです。
パターン2:選択肢の一つとして登場
AP午後問題では、RFP・発注先選定基準・発注内示書といった用語と横並びで出題されることがあります。CSAの正確な意味を知っていれば消去法で正解にたどり着けるため、定義を押さえておくだけで十分に対応できます。
午前対策としてはここまでで十分です。CSAのワークショップ運営手法やファシリテーション技法まで深追いする必要はありません。
【確認テスト】理解度チェック
Q. CSA(Control Self Assessment:統制自己評価)の説明として、最も適切なものはどれでしょうか?
- A. 組織の情報セキュリティ対策の実施状況を、外部の専門家が独立した立場で検証し、保証意見を表明する活動である。
- B. システム監査人が監査計画に基づいて被監査部門に赴き、監査証拠を入手して評価・報告する一連の手続である。
- C. 監査部門の支援のもと、業務を行っている現場部門が自らリスクと統制の有効性を評価・改善する手法である。
正解と解説を見る
正解:C
解説:
CSAは、内部監査部門が一方的に検証するのではなく、業務部門の担当者自身が主体的にリスクと統制の有効性を評価する仕組みです。IIA(内部監査人協会)が定義するCSAの核心は「内部統制の有効性を被監査部門が自ら検証・評価するプロセス」にあります。
選択肢Aは情報セキュリティ監査(保証型)の説明です。「外部の専門家が独立した立場で検証」という点がCSAの「現場部門が自ら評価」と正反対の構造になっています。選択肢Bは通常のシステム監査における本調査の説明です。監査人が被監査部門に赴いて証拠を集める従来型のプロセスであり、現場主導のCSAとは異なります。
よくある質問(FAQ)
Q. CSAを導入すると、内部監査部門は不要になりますか?
不要にはなりません。CSAはあくまで内部監査を補完する手法です。現場が自己評価を行った結果に対して、内部監査部門が第三者の視点から「CSA自体が適切に機能しているか」を検証する役割が残ります。監査の客観性と独立性を担保するために、内部監査部門の存在は引き続き必要です。
Q. CSAと「情報セキュリティ対策ベンチマーク」はどう違いますか?
どちらも「自己評価」を含む仕組みですが、目的と対象範囲が異なります。CSAは組織全体のリスクと統制に対して現場部門がワークショップやアンケートで評価を行う内部監査手法です。一方、情報セキュリティ対策ベンチマークはIPAが提供するWebベースの自己診断ツールで、情報セキュリティ対策の成熟度を5段階でスコアリングするものです。SG H28春 午前問3ではこの両者がCSAと同じ選択肢群に並んで出題されており、区別が求められています。
Q. CSAのワークショップでは具体的に何をするのですか?
関係部署のメンバーが一堂に会し、ファシリテーター(進行役)のもとで「自部門にどんなリスクがあるか」「今の統制は有効に機能しているか」「改善すべき点は何か」を議論します。参加者がリスクの優先度を投票で決めたり、統制の有効性を段階評価したりする形式が一般的です。この過程で参加者自身がリスクを”自分ごと”として認識するようになる点が、アンケート方式にはない大きな効果とされています。
Q. J-SOX対応でCSAが使われることはありますか?
あります。J-SOX(金融商品取引法における内部統制報告制度)では、内部統制の評価を内部監査室が担うのが一般的ですが、CSAを導入すると業務部門自体が統制の有効性を日常的に評価する体制を構築できます。特にCOSO内部統制フレームワークの「モニタリング」の要素をCSAで運用するケースが実務では見られます。ただし、IPA試験の範囲ではJ-SOXとCSAの組み合わせまで問われることはないため、「CSAは内部統制評価にも活用できる」程度の認識で十分です。
