秋の情報処理技術者試験が近づいているが、昨年秋の午前問題で内部統制に関する出題を見つけたので考察する。

ソフトウェア開発技術者【問77】

内部統制が有する固有の限界を示すものはどれか。

ア 経営者による不正を発見する機能をもっていない。
イ 担当者の権限逸脱を発見できない。
ウ 特定者への権限集中に起因した不正を防止できない。
エ リスク認識に基づく合理的な安全対策がなされない。

ＩＰＡが公表した正解は、「ア」である。
ところで、内部統制の「限界」とは何か。

内部統制の限界とは、適切に整備され、運用されている内部統制であっても、内部統制が本来有する制約のため有効に機能しなくなることがあり、内部統制の目的を常に完全に達成するものとはならない場合があることをいう。
（金融庁「財務報告に係る内部統制の評価及び監査の基準」より）

すなわち、ある事象を捉えて、それを「内部統制の限界」であるというためには、内部統制が「適切に整備、運用されて」いることが前提になると（金融庁は）言っているのである*1。
しかるに、選択肢「ア」は、経営者による不正を発見する「機能をもっていない。」というのであるから、そもそも内部統制自体が存在していないことになる。これは、内部統制の「限界」ではなく、「不備」である。
次に、「経営者による不正を発見する機能」とは、何か。最も基本的なものは、言うまでもなく、取締役会である。会社法上、取締役会には、取締役および経営者（執行役・執行役員、事業部長など）の職務執行が法令・定款に適合しているかを監視・監督する義務があり、また各取締役には、他の取締役の職務執行が法令・定款に適合しているかを相互に監視する義務がある。
「経営者による不正を発見する機能」がないとなると、内部統制の最も基本的な要素である取締役（会）が機能（または存在？）していないことになる*2。これは、もはや内部統制の「不備」にとどまらず、「重要な欠陥」にさえ、該当する可能性がある（下記参照）。

内部統制の重要な欠陥となる全社的な内部統制の不備として、例えば、以下のものが挙げられる。
・・・・
ｂ．取締役会又は監査役若しくは監査委員会が財務報告の信頼性を確保するための内部統制の整備及び運用を監督、監視、検証していない。
・・・・
（金融庁「財務報告に係る内部統制の評価及び監査の基準」より）

したがって、選択肢「ア」は、「内部統制が有する固有の限界」を示すものとしては不適当であることは明らかである。

続いて、ほかの選択肢についても考察する。

イ 担当者の権限逸脱を発見できない。
ウ 特定者への権限集中に起因した不正を防止できない。

この２つの選択肢は、「結果」だけを示しており、そうなった「原因」については何も述べていない。一定の内部統制が整備・運用されていても（たとえば上司による承認や内部監査部門による抜き取りチェックなど）、担当者の権限逸脱を発見できなかったり、権限集中に起因した不正を防止できない場合があるので、内部統制の限界である可能性もあるが、そのような内部統制がなかったのかもしれないし、あっても不十分だったのかもしれない。かんじんの前提が提示されていないので、「不備」なのか「限界」なのかについては、どちらともいえない。

エ リスク認識に基づく合理的な安全対策がなされない。

「リスク認識に基づく合理的な安全対策」という内部統制が「なされない」というのであるから、これは内部統制の「不備」というべきであり、「限界」ではない。しかし、「リスク認識」「安全対策」のいずれもなされなかったのか、どちらかはなされていたのかは判然としない。「合理的」という文言も多義的に解釈できよう。何らかの内部統制が存在していたとすれば、「不備」「限界」のいずれかとなるが、この選択肢だけではどちらとも言えない、としか言いようがないと言わざるを得ない。
以上のことから、H19秋ソフトウェア開発技術者【問77】の正解は「ア」、ではなく「どれともいえないが、少なくともアではない。」が正解となる（マークシートには、イとウとエを薄く塗る？）。
出題者は、もっと勉強するなり、専門家の意見を聞くなりして、出題を吟味してもらいたい。以上。