対象試験と出題頻度
「決算書の数字をごまかす不正」「経費の使い込み」。
こうした事件のニュースを見るたび、なぜ大企業ですら防げないのかと不思議に思った経験はありませんか。
その「組織のブレーキ役」を担うのが内部統制です。IPAの試験では、IT パスポートから応用情報技術者まで、システム監査やガバナンスの土台として全区分で問われ続けています。
とくに「4つの目的」と「6つの基本的要素」の語句を入れ替えたひっかけ、そしてシステム監査やITガバナンスとの関係性が定番の論点になります。
対象試験と頻度をひらく
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
勉強していると「内部統制とコンプライアンス、ガバナンスって何が違うの?」と頭がこんがらがりがちです。まずは内部統制そのものの意味から固めましょう。
内部統制(Internal Control)とは、一言で言うと
「業務を健全かつ効率的に回し、不正やミスを防ぐために組織自らが整える仕組み」
のことです。
イメージとしては、「学校のテストの監督ルール」です。
テストでは「机の上に教科書を置かない」「試験官が見回る」「答案は二重チェックする」といったルールがあります。
誰か一人を疑っているわけではなく、カンニングという不正が起きにくい環境を全員で作っているわけです。内部統制も同じで、特定の社員を信用しないのではなく、不正やミスが構造的に起きにくい状態を会社ぐるみで用意する取り組みです。
📊 内部統制の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Internal Control |
| 根拠基準 | 金融庁「財務報告に係る内部統制の評価及び監査の基準」(米国COSOフレームワークがベース) |
| 整備責任者 | 経営者(社長などの経営陣) |
| 関連制度 | 内部統制報告制度(J-SOX)/会社法・金融商品取引法 |
解説
2000年代前半、米国でエンロンやワールドコムといった巨大企業が粉飾決算で破綻し、投資家が大損害を被りました。
日本でも同種の不祥事が相次ぎ、「経営者任せでは決算の数字が信用できない」という危機感が高まります。
そこで金融商品取引法に基づき、上場企業に内部統制の整備と報告を義務づける制度(通称J-SOX)が導入されました。
つまり内部統制は、性善説でも性悪説でもなく「人はミスもするし誘惑にも負ける」という前提で、組織として歯止めを用意する考え方です。
4つの目的
内部統制が達成すべきゴールは、金融庁の基準で4つに定義されています。
| 目的 | ねらい |
|---|---|
| 業務の有効性 及び効率性 |
ムダなく目標どおりに仕事を進める |
| 報告の信頼性 | 財務報告など外部に出す数字を正確に保つ |
| 法令等の遵守 | 事業に関わる法律・ルールを守る |
| 資産の保全 | 会社の資産を不正取得や損失から守る |
6つの基本的要素
4つの目的を達成するための「手段」が、次の6要素です。
並びには意味があり、すべての土台が統制環境、それを縦に貫くのがIT(情報技術)への対応という関係になります。
内部統制の構造(積み上げ型)
▲ ①が下から全体を支え、⑥が縦に貫いて全要素に関わる
| 要素 | 中身(テストの監督ルールで例えると) |
|---|---|
| ① 統制環境 | 「不正は許さない」という組織の気風・土壌(学校全体の校風) |
| ② リスクの評価と対応 | どこでカンニングが起きやすいかを見極め手を打つ |
| ③ 統制活動 | 座席を離す・私物を片付けるなど具体的なルール・手続 |
| ④ 情報と伝達 | 注意事項を全員に正しく周知し、報告が上がる経路を確保 |
| ⑤ モニタリング | 試験官の見回り・後日の答案チェックで機能を継続監視 |
| ⑥ ITへの対応 | CBT試験システムのアクセス管理など、ITを前提に統制を組む |
IT統制(IT全般統制とIT業務処理統制)
6要素の⑥「ITへの対応」を具体化すると、IT統制は次の2層に分かれます。
受験生が最も取りこぼすのがこの区別です。
IT全般統制(ITGC)
システム全体の土台を支える統制。
例:開発・変更管理、アクセス権の管理、サーバ室への入退室管理、バックアップ運用
IT業務処理統制(ITAC)
個々の業務処理が正確に行われる統制。
例:入力データのチェック、エラーデータの自動検出、二重入力の防止、合計値の照合
「入退室の管理」は全般統制、「入力チェック」は業務処理統制・・・この振り分けが応用情報で実際に問われます。
混同しやすい隣接用語
| 用語 | 立ち位置 | 主体 |
|---|---|---|
| 内部統制 | 組織が自ら整える仕組みそのもの | 経営者 |
| コーポレートガバナンス | 経営者を監督・規律づける、より上位の枠組み | 株主・取締役会 |
| 内部監査 | 内部統制が機能しているかを内部の立場で点検する活動 | 内部監査部門 |
💡 覚えるのはここだけ(3行整理)
・内部統制=組織が自ら不正・ミスを防ぐ仕組み。整備するのは経営者
・目的は4つ(業務の有効性・効率性/報告の信頼性/法令遵守/資産の保全)
・要素は6つ。土台が統制環境、全体を貫くのがITへの対応
この6要素の語句を入れ替えるのが、出題側のお決まりの手口です。
試験ではこう出る!
内部統制は、IP・SG・FE・APの午前(科目A)で繰り返し出題される定番テーマです。
問われ方は「要素・目的の暗記確認」と「IT統制の振り分け」の2系統に集約されます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| FE R6 科目A 問45 |
内部統制の評価及び監査の基準における基本的要素を選ぶ問題。 | ・統制環境/リスクの評価と対応/統制活動などの6要素が論点 ・無関係な用語をまぜたひっかけ |
| IP R6 問54 |
6要素から構成され法令遵守等を目的とする取組はどれかを選ぶ問題。 | ・正解は「内部統制」 ・ITガバナンス等が選択肢に並ぶ |
| AP R6春 午前 問60 |
IT業務処理統制に該当するものを選ぶ問題。 | ・「サーバ室への入退室管理」は全般統制でひっかけ ・正解は入力データのエラーチェック系 |
📝 IPA試験での出題パターン
パターン1:「6要素・4目的の暗記確認」
正しい要素の組み合わせを選ばせる形式。ひっかけとして「業務の標準化」「品質管理」など似て非なる語が混ざる。6つの正式名称(とくに「リスクの評価と対応」「モニタリング」「ITへの対応」)を一字一句で押さえておけば取りこぼさない。
パターン2:「IT統制の振り分け」
AP R6春のように、選択肢を全般統制と業務処理統制に仕分けさせる形式。入退室・バックアップ・変更管理は全般統制、入力チェック・データ照合は業務処理統制、という対応で即答できる。
午前対策はここが得点ライン。J-SOXの細かな法律論まで踏み込む必要はありません。
【確認テスト】理解度チェック
Q. 内部統制の説明として、最も適切なものはどれでしょうか?
- A. 業務の有効性・効率性、報告の信頼性、法令等の遵守、資産の保全を目的とし、統制環境やリスク評価などの基本的要素から組織が自ら整備・運用する仕組みである。
- B. 株主の利益を守る観点から、経営者の活動を取締役会や監査役が監督・規律づける、経営の枠組みそのものである。
- C. 経営から独立した立場で監査人が情報システムを点検し、助言・勧告を行う一連の評価活動である。
正解と解説を見る
正解:A
解説:
選択肢Aは、4つの目的と基本的要素を挙げ、組織自身が整備・運用する点を正しく述べている。これが内部統制の定義そのものである。
選択肢Bはコーポレートガバナンスの説明である。経営者を監督する上位の枠組みであり、経営者が自ら整える内部統制とは主体と立ち位置が異なる。選択肢Cはシステム監査の説明である。独立した監査人が点検・助言する活動であって、組織が日常的に運用する統制の仕組みそのものではない。
よくある質問(FAQ)
Q. 内部統制はすべての会社に義務づけられているのですか?
法律で報告まで義務づけられるのは、金融商品取引法の対象となる上場企業などが中心です(内部統制報告制度=J-SOX)。中小の非上場企業に同じ報告義務はありませんが、会社法は大会社に体制整備を求めており、規模を問わず取り組み自体は推奨されます。試験では「上場企業に内部統制報告書の提出義務がある」という枠組みを押さえれば十分です。
Q. 6要素は2024年の基準改訂で変わったのですか?
要素の数(6つ)と名称は維持されたまま、「リスクの評価と対応」「情報と伝達」「ITへの対応」を中心に記述が加筆・強化されました。サイバーリスクやクラウド利用といった近年の環境変化が反映された形です。現時点のIPA過去問は従来どおり6要素の名称を問う出題が中心のため、まずは6つの名称を正確に覚えることを優先してください。
Q. 「職務分掌」は内部統制とどう関係しますか?
職務分掌(一人の担当者に権限を集中させず、申請者と承認者を分けるなど職務を分担すること)は、6要素のうち③統制活動を実現する代表的な手段です。たとえば「発注する人」と「支払う人」を分ければ、架空発注による横領が一人では成立しにくくなります。実務では内部統制の根幹をなす考え方で、午後問題の事例でも背景知識として役立ちます。
Q. 内部統制とITガバナンスは何が違うのですか?
ITガバナンスは「ITを経営戦略にどう活かし、その投資や活用を統治・方向づけするか」という攻めと守りの両面を含む経営側の概念です。一方の内部統制は、業務を健全に回し不正・ミスを防ぐ守りの仕組みが中心で、その一部(⑥ITへの対応)がITガバナンスと接点を持ちます。IPの選択肢では両者が並んで出るため、「経営戦略との整合=ITガバナンス」「業務の健全運営=内部統制」と切り分けると迷いません。
