ITパスポート 令和5年度 問50：system_auditに関する問題

答えは a です。

職務分掌（しょくむぶんしょう）とは「一人に権限を集めすぎず、役割を分けて不正を防ぐ」ことです。たとえば、自分で出したお願い（申請）を自分で「OK」できてしまうと、好き放題できてしまいます。だから申請する人と承認する人を分けます。

👉 覚え方：「申請する人とOKを出す人は別人にする」。

ほかの選択肢：

• b 申請部署と承認部署の役員を兼務→同じ人が両方やれて危険。逆効果。
• c 一つの業務を複数人で手分け→ただの分担で、不正防止の役割分けではない。
• d 一つの業務を複数部署で分散→これも分担の話。

申請者が自分で承認できないようにする a が正解です。

なぜこれが正解か

正解は a。職務分掌（職務の分離）とは、不正やミスを防ぐために、相互に牽制が働くよう職務・権限を複数人に分けること。中でも「申請（実行）」と「承認（チェック）」を同一人物が兼ねないことが基本。aの「申請者が自身の申請を承認できないようにする」は、自己承認による不正を防ぐ典型的な職務分掌の事例。

各選択肢の解説

• a 正しい：申請と承認を分離＝相互牽制が働く。
• b 誤り：申請部署と承認部署の役員を兼務させると牽制が消え、むしろ不正の温床になる。
• c 誤り：一つの業務を複数人で手分けは単なる作業分担で、牽制の仕組みではない。
• d 誤り：複数部署で分散も同様に分担にすぎない。

覚え方・ひっかけ注意

ポイントは 「実行する人とチェック（承認）する人を分ける」。cdの「手分け・分散」は“作業を分けるだけ”で職務分掌ではない。職務分掌は“互いに監視・牽制できる分け方”である点が決め手。bの兼務は牽制を壊す引っかけ。

理論的背景

職務分掌（Segregation of Duties：SoD）は内部統制理論の最核心的コントロールの一つであり、相互牽制（Checks and Balances）の原理に基づく。一連の業務フローにおける相互に排他的な職務・権限を複数の人物・部門に分散させることで、不正行為・意図的でないミスの両方を抑止・検出しやすくする仕組みである。

最も基本的な分離パターンは「起票（申請・実行）」と「承認（確認・決裁）」の分離であり、本問の選択肢aがこれに直接対応する。自己承認を禁止することで、申請者が独断で不正な取引を完結させることを構造的に不可能にする。この原則は「4つの目の原則（Four-Eyes Principle）」とも呼ばれ、重要な意思決定に必ず2人以上が関与することを要求する。

内部統制のCOSOフレームワーク（Committee of Sponsoring Organizations・1992年・2013年改訂）では職務分掌を「統制活動（Control Activities）」の代表的手段として位置づけており、「権限の委任と承認」「業務の分離」「物理的管理（資産の保護）」「情報システムによる統制」「業績報告と評価」とともに内部統制の5構成要素の一つを形成している。

実務での使われ方

日本ではJ-SOX（金融商品取引法第24条の4の4等に基づく内部統制報告制度・2008年施行）において、上場企業に財務報告の信頼性確保のための内部統制整備・運用・評価・外部監査を義務付けており、職務分掌はその中核的な統制活動として位置づけられる。具体的には購買プロセス（発注→受領→検品→承認→支払）の各ステップを異なる担当者・部門が担当することで、不正な取引（架空発注・水増し請求）を防止する。

ITシステムにおけるSoD統制では、アクセス権管理が重要な実装手段となる。「購買申請権限」と「支払承認権限」を同一のユーザーIDに付与することはSoD違反となり、多くのERPシステム（SAP・Oracle ERP）にはSoD違反を自動検出する機能が内蔵されている。SaaS型のIDガバナンスツール（Saviynt・SailPoint・IBM IGI）はSoD違反を継続的に監視し、違反が発生した際にアラートを上げる機能を持つ。

職務分掌の限界として共謀（Collusion）がある。申請者と承認者が結託して不正を行う場合は、職務分掌のみでは防止できない。この限界を補う補完的統制として、定期的なジョブローテーション（長期同一担当者による馴れ合いの防止）・強制休暇制度（不在中の業務引き継ぎで不正の発覚を促す）・内部監査による定期的な取引サンプル検査が組み合わせて実施される。

試験での位置づけ

ITパスポートのシステム監査・内部統制分野では、職務分掌の概念と具体事例の正誤判断が安定して出題される。「申請と承認の分離」という核心を押さえた上で、各選択肢が「相互牽制の仕組みになっているか」を判断することが正答の鍵となる。特に「作業を複数人・複数部署で分担する」（選択肢c・d）は「分業」であって「牽制」ではないという区別が重要な引っかけポイントである。

内部統制の4目的（業務の有効性・効率性、財務報告の信頼性、法令・規程の遵守、資産の保全）とSoDの関係も押さえておきたい。職務分掌は主に「財務報告の信頼性」と「資産の保全」を目的とした統制であるが、不正防止という観点で他の目的とも関連する。基本情報技術者・システム監査技術者試験では、予防的統制（問題発生を未然に防ぐ）と発見的統制（問題発生後に検出する）の分類と職務分掌の位置づけ、統制の設計有効性と運用有効性の区別まで問われる。

選択肢の発展補足

選択肢b（申請部署と承認部署の役員を兼務）が誤りである理由：兼務によって「申請する権限」と「承認する権限」が同一人物に集まるため、SoDの牽制機能が完全に失われる。むしろこれは職務分掌を破壊する典型的な誤った設計であり、内部統制上の重大な欠陥（Material Weakness）に相当する。

選択肢c（一つの業務を複数担当者が手分けして行う）が誤りの理由：作業の並列処理・分業であり、「誰かが他者の行為をチェック・牽制する仕組み」がない。例えば「データ入力を3人で分担する」のは分業だが、「入力した人と承認する人を別にする」のが職務分掌である。

選択肢d（一つの業務を複数部署で分散して行う）が誤りの理由：部署を分けた分散処理も、各部署内での牽制が設計されていなければ職務分掌にはならない。「分ける」こと自体が目的ではなく、「互いに牽制・チェックできる役割構造を作る」ことが職務分掌の本質である。作業量を分散させる「水平分業」ではなく、責任と権限を「垂直に分離する」ことが求められている。