【ITパスポート練習問題 6.3対応】32.内部統制、ITガバナンス、ITマネジメント

【解説】

正解: 3 競合他社の営業戦略分析

この問題は、内部統制の目的として何が含まれ、何が含まれないかという基本的な枠組みを理解しているかを確認するものです。特に、内部統制が企業内部の業務や報告、法令遵守を適切にコントロールする仕組みであることを押さえられているかがポイントです。

正解は3の「競合他社の営業戦略分析」です。競合他社の営業戦略を分析することは、主に経営戦略やマーケティングの領域に属する活動であり、内部統制の目的として定義されているものではありません。内部統制は、自社内部の統制環境や業務プロセスに焦点を当てるため、外部企業の戦略分析は目的から外れます。

選択肢1の「財務報告の信頼性確保」と選択肢2の「業務の有効性・効率性の向上」は、いずれも内部統制の代表的な目的です。財務報告の信頼性を高めることで利害関係者が安心して情報を利用できるようにし、業務の有効性・効率性を高めることでムダや誤りを減らすことは、内部統制の中核的な狙いであるため誤りではありません。

【解説】

正解: 2 リスク評価と対応策

この問題は、内部統制がどのような構成要素から成り立っているかという基本的な枠組みを理解しているかを確認するものです。特に、リスクを把握し、それに対してどのように対処するかという「リスク評価と対応」が内部統制の重要な柱であることを押さえられているかが問われています。

正解は2の「リスク評価と対応策」です。内部統制では、業務や財務報告、法令遵守に関するリスクを洗い出し、その発生可能性や影響度を評価したうえで、適切な統制手続を設計・運用します。このリスク評価と対応のプロセスが十分に機能することで、不正や誤謬の発生を未然に防ぐことができます。

選択肢1の「情報システムの運用方法」は、IT運用に関する具体的な手順やルールを指し、内部統制の一部に関連し得ますが、構成要素そのものとして一般的に挙げられる用語ではありません。選択肢3の「財務諸表の作成ルール」は会計基準などに関するものであり、どのように報告書を作るかという外枠のルールを示すもので、内部統制の構成要素というよりは、内部統制が準拠すべき基準の側に位置付けられます。

【解説】

正解: 2 職務の適正な分掌

この問題は、内部統制が実際の現場でどのような活動として現れるのか、具体例レベルでイメージできているかを確認するものです。内部統制は抽象的な概念だけでなく、日々の業務の分担やチェックの仕組みとして具体化される点が重要です。

正解は2の「職務の適正な分掌」です。職務分掌とは、業務を複数の担当者に分け、1人に権限や情報が集中しないようにすることです。例えば、取引の起案、承認、記録、支払といったプロセスを別々の担当者に割り当てることで、不正や誤りがあっても相互牽制により発見しやすくなり、内部統制の強化につながります。

選択肢1の「市場の競合状況の調査」は、マーケティングや経営企画の一環として行われる活動であり、内部統制の具体的な統制活動というよりは経営戦略上の情報収集です。選択肢3の「製品の品質検査の実施」は品質管理として重要な活動であり、広い意味では内部統制に関連しますが、ITパスポート試験で典型例として問われる内部統制の具体的活動は、職務分掌や承認手続などの組織的な牽制の仕組みであるため、ここでは2が最も適切です。

【解説】

正解: 2 企業のIT投資の効果最大化

この問題は、ITガバナンスが何を目的として設計されているのか、その全体像を理解しているかを確認するものです。特に、ITガバナンスが「ITそのものの技術管理」ではなく、「経営目標の達成に向けてITをどう活用するか」という視点に立っていることが問われています。

正解は2の「企業のIT投資の効果最大化」です。ITガバナンスは、限られた経営資源としてのIT投資を、企業戦略と整合させながら最も効果的に配分・活用するための枠組みです。ITプロジェクトの優先順位付けや、リスクとリターンのバランス、コンプライアンスの確保などを通じて、ITが企業価値向上に貢献するよう統制します。

選択肢1の「IT技術者のスキル向上」は、IT部門の人材育成としては重要な取り組みですが、ITガバナンスそのものの目的ではなく、人事・教育施策の一部です。選択肢3の「ITシステムの設計と実装」は、システム開発プロジェクトにおける実務的な活動であり、ITガバナンスが定めた方針やプロセスのもとで行われるものです。したがって、ガバナンスの目的として直接挙げられるのは2となります。

【解説】

正解: 3 ITシステムのハードウェア選定

この問題は、ITガバナンスが組織の中でどのレベルの役割を担うのかを理解しているかを確認するものです。特に、「戦略や方針」を定める上位レベルの仕組みと、「個別の技術的な判断」を行う現場レベルの活動との差を区別できているかがポイントです。

正解は3の「ITシステムのハードウェア選定」です。ハードウェア選定は、個々のシステム導入や更改プロジェクトの中で、要件や予算に合わせて技術担当者やベンダーが具体的に決定する事項です。これはITガバナンスが定めた方針や基準に従って行われる「実務レベルの判断」であり、ガバナンスの役割そのものとは言えません。

選択肢1の「ITシステムに関するコンプライアンス遵守」は、情報セキュリティや個人情報保護、各種法令への適合を確保するうえで、ITガバナンスが重視する役割の一つです。選択肢2の「ステークホルダーのニーズを反映したIT戦略の策定」も、経営層や利用部門、顧客などの期待を踏まえたIT方針・ロードマップを作るという意味で、ITガバナンスの中核的な役割に当たります。そのため、1と2は適切であり、誤りではありません。

【解説】

正解: 1 ITの価値提供のための評価とモニタリング

この問題は、ITガバナンスを実現するうえでどのような仕組みや活動が必要になるのかを理解しているかを確認するものです。単に方針を決めるだけでなく、その実行状況や成果を継続的に把握・改善するプロセスが重要である点が問われています。

正解は1の「ITの価値提供のための評価とモニタリング」です。ITガバナンスでは、IT投資が計画どおりに成果を生み出しているか、リスクは適切に管理されているかを継続的に評価し、その結果をもとに改善策を講じます。このような評価とモニタリングのサイクルが機能することで、ITの価値提供を最大化し、経営目標と整合した運用が可能になります。

選択肢2の「IT機器のトラブルシューティング」は、障害対応など運用現場での技術的な活動であり、ITサービスマネジメントの範囲に近い内容です。選択肢3の「サーバーの設置場所の最適化」も、データセンター設計や設備運用上の検討事項であり、重要ではあるものの、ITガバナンスの実現に必要な中核要素として問われるものではありません。

【解説】

正解: 3 IT機器の製造計画の立案

この問題は、ITマネジメントが担う範囲と、IT機器メーカーなどが行う生産活動との違いを理解しているかを確認するものです。ITマネジメントは「ITを使う側」の組織での管理活動であり、「IT製品を作る側」の製造計画とは役割が異なる点がポイントです。

正解は3の「IT機器の製造計画の立案」です。IT機器の製造計画は、ハードウェアメーカーや生産部門が自社の製品をどのような数量・スケジュールで生産するかを決める活動であり、ユーザー企業におけるITマネジメントの役割には含まれません。

選択肢1の「ITシステムの運用と監視」は、システムが安定して動作し続けるよう日々の運用状況を確認し、障害時には迅速に対応するという、ITマネジメントの基本的な役割です。選択肢2の「経営層へのIT活用状況の報告」も、IT投資の効果やリスク状況を経営層に伝え、意思決定を支援する重要な活動であり、ITマネジメントの役割に含まれます。そのため、不適切なのは3のみです。

【解説】

正解: 1 組織のIT戦略目標の達成

この問題は、ITマネジメントが何を最終的な目的として活動しているのか、そのゴールイメージを理解しているかを確認するものです。単なる運用の維持ではなく、組織のIT戦略と結び付いた目標を達成することが重視されている点が問われています。

正解は1の「組織のIT戦略目標の達成」です。ITマネジメントは、経営戦略からブレイクダウンされたIT戦略に基づき、システムやサービスの導入・運用・改善を計画的に行うことで、業務改革やコスト削減、サービス向上といった目標の実現を支援します。つまり、ITを「戦略を実現する手段」として管理することが目的です。

選択肢2の「新しい技術の導入促進」は、場合によってはITマネジメントの一部として行われる活動ですが、それ自体が目的ではなく、戦略目標を達成するための手段です。選択肢3の「ITの全社的な利用禁止」は、業務の効率や競争力を大きく損なう行為であり、ITマネジメントの目的とは明らかに逆方向の内容であるため、不適切です。

【解説】

正解: 2 システム運用結果の報告

この問題は、ITマネジメントの具体的な活動としてどのようなものが重視されるかを理解しているかを確認するものです。特に、システム運用の状況を経営層や関係者に可視化し、意思決定に役立てる役割をイメージできているかがポイントです。

正解は2の「システム運用結果の報告」です。ITマネジメントでは、システムの稼働状況、障害発生件数、サービスレベルの達成度、コストなどの情報を定期的にまとめ、経営層や利用部門に報告します。これにより、IT投資の妥当性検証や改善方針の検討が可能となり、IT戦略の見直しにもつながります。

選択肢1の「IT技術者の採用面接」は、組織にとって重要な活動ではありますが、人事・採用の領域に属するもので、ITマネジメントの中心的な活動とは言えません。選択肢3の「社員研修の計画」も、教育・人材開発の観点では重要ですが、ITマネジメントの本来の目的であるシステムやサービスの管理・改善とは別の領域に位置付けられます。

【解説】

正解: 2 システムの異常を早期に検知すること

この問題は、モニタリングという活動が何を目的として行われるのか、その本質的な役割を理解しているかを確認するものです。特に、モニタリングが「状況を見守り、問題の早期発見・早期対応につなげる仕組み」であることを押さえられているかがポイントです。

正解は2の「システムの異常を早期に検知すること」です。モニタリングでは、ログやメトリクス、アラートなどを通じてシステムや業務プロセスの状態を継続的に監視し、性能低下や障害の兆候をいち早く捉えることを目指します。異常を早期に把握できれば、影響範囲が広がる前に対処でき、サービス停止やデータ損失などの被害を最小限に抑えることができます。

選択肢1の「予算管理の効率化」は、管理会計や経営管理の領域に属する目的であり、モニタリングの直接的な目的とは異なります。選択肢3の「サーバー設置の最適化」は、インフラ設計や設備計画の段階で検討される内容であり、モニタリングのような運用時の監視活動の目的としては不適切です。

【解説】

正解: 3 人事評価のフィードバック

この問題は、モニタリングの対象として典型的に挙げられるものが何かを理解しているかを確認するものです。特に、システムやサービスの状態と、人事制度に関わる情報との違いを区別できているかがポイントです。

正解は3の「人事評価のフィードバック」です。モニタリングは、システムやサービスが期待どおりの性能・品質で動作しているか、または業務プロセスが適切に実行されているかを監視する活動です。一方、人事評価のフィードバックは、従業員の成果や行動を評価しフィードバックする人事管理のプロセスであり、モニタリングの典型的な対象とはなりません。

選択肢1の「システムのパフォーマンス」は、CPU使用率やレスポンスタイムなどを継続的にチェックすることで、性能低下や障害の兆候を把握するモニタリングの代表的な対象です。選択肢2の「サービスの品質」も、エラー率や応答時間、顧客満足度などの指標を通じて監視される対象であり、サービスレベルの維持・向上に向けたモニタリングの重要な範囲に含まれます。

【解説】

正解: 2 サーバーの稼働状況の確認

この問題は、モニタリングがどのような場面で特に重要になるかを理解しているかを確認するものです。モニタリングは、単に「見ているだけ」の活動ではなく、障害や性能問題を未然に防ぐための継続的な監視である点が問われています。

正解は2の「サーバーの稼働状況の確認」です。サーバーの稼働状況を常にチェックし、CPU負荷、メモリ使用量、ディスク容量、ネットワーク状況などを監視することで、システム停止やレスポンス低下などの問題が起きる前に対策を打つことができます。このようなインフラの常時監視は、モニタリングが最も重要となる典型的なシーンです。

選択肢1の「新製品の開発時」は、開発プロセス自体を管理・評価する必要はありますが、ここで問われている「モニタリング」の中心的な文脈であるシステム稼働監視とは異なります。選択肢3の「IT機器の購入計画」は、調達や予算編成の範囲で検討される内容であり、リアルタイム・継続的な監視活動であるモニタリングの文脈には当てはまりません。

【解説】

正解: 1 製品の品質トラブル

この問題は、レピュテーションリスク（風評リスク）がどのような要因によって引き起こされるかを理解しているかを確認するものです。企業の「評判」や「信頼」が、品質や不祥事、顧客対応などの出来事によって大きく左右される点をイメージできているかがポイントです。

正解は1の「製品の品質トラブル」です。重大な欠陥製品の市場流出や、繰り返される品質問題が発生すると、メディア報道やSNSなどを通じて企業イメージが一気に悪化し、売上の減少や株価の下落、取引先との関係悪化など、さまざまな負の影響が波及します。こうした「評判の悪化」そのものがレピュテーションリスクです。

選択肢2の「資本調達の失敗」は、資金繰りや財務リスクに関連するものであり、必ずしも評判の問題とは限りません。選択肢3の「法人税の節税対策」も、適法な範囲で行われる限りはレピュテーションリスクの要因とは言えませんが、過度な節税や違法な租税回避が問題になった場合にはレピュテーションリスクに発展し得る、という文脈で理解するとよいでしょう。

【解説】

正解: 1 メディアとの良好な関係

この問題は、レピュテーションリスクを管理・低減するうえでどのような取り組みが重要になるかを理解しているかを確認するものです。特に、問題発生時の情報発信や平時からの信頼関係づくりが、評判のダメージコントロールに直結することがポイントです。

正解は1の「メディアとの良好な関係」です。レピュテーションリスクは、製品トラブルや不祥事が発生した際に、メディア報道やSNSを通じて急速に拡大します。平時からメディアや社会との信頼関係を築き、適切かつ迅速な情報開示や説明責任を果たす体制を整えておくことで、万一の際にも過度な誤解や風評被害を抑え、信頼回復を図りやすくなります。

選択肢2の「税金の支払方法」は、税務上の手続きや資金管理に関するものであり、レピュテーションリスク管理の中心的な要素とは言えません。選択肢3の「ITインフラの安定化」は、システム停止などのオペレーショナルリスクを低減するうえで重要ですが、ここで問われている「評判」に焦点を当てたリスク管理とは別の観点になります。

【解説】

正解: 3 製品不良による大量の顧客クレーム

この問題は、レピュテーションリスクが具体的にどのような事象として現れるか、イメージできているかを確認するものです。特に、顧客からの信頼が失われる出来事が、企業の評判にどのような影響を与えるかを理解しているかがポイントです。

正解は3の「製品不良による大量の顧客クレーム」です。重大な不良品が市場に出回り、多数のクレームや返品、事故報道などが発生すると、その企業は「品質の低い会社」「信頼できない会社」といったイメージを持たれやすくなります。このように、品質問題をきっかけとして企業の評判が大きく損なわれる状況が、典型的なレピュテーションリスクの具体例です。

選択肢1の「サーバーダウンによるシステム停止」は、業務の継続性やサービス提供に影響するオペレーショナルリスクの例です。長期化・多発すれば結果として評判に影響する場合もありますが、ここではまず「システム障害リスク」として捉えられます。選択肢2の「社内での技術研修の実施遅延」は、従業員のスキル向上の機会が遅れるという内部的な問題であり、通常は社外の評判に直接大きな影響を与えるものではないため、レピュテーションリスクの具体例としては不適切です。