平成30年度 春期 ITパスポート試験 公開問題 問52 解説 内部統制と職務分掌

この問題は、内部統制における職務分掌の原則が理解できているかを問うものです。職務分掌とは、ひとつの業務プロセスを複数の担当者や部署に分割することで、不正やミスを防止する仕組みです。判断のポイントは、申請を行う担当者と、それを確認・承認する担当者が別々に分かれているかどうかを確認することです。

職務分掌の基本原則 職務分掌の目的は、ひとりの人間に権限を集中させないことにあります。もしひとりで申請から承認まで完結できてしまうと、架空の取引を捏造したり、不正に資金を流用したりすることが容易になります。これを防ぐために、業務を「申請」「承認」「実施」「記録」といったステップに分け、互いに独立した部署や人間が担当することで、自然とチェックが働く状態を作ります。選択肢アのように、営業部門（実行側）からの申請を、経理部門（監視・記録側）がチェックする仕組みは、まさにこの原則に基づいた典型的な相互けん制の姿です。

選択肢の分析 選択肢イの権限委譲は、不在時の業務継続のための手段であり、特定の業務におけるけん制機能とは直接関係ありません。選択肢ウの統合は、相互けん制の原則である「分離」と逆行する行為です。業務部門と監査部門を統合してしまえば、監視する側と監視される側が同じ組織になってしまい、チェック機能が形骸化します。選択肢エの複数部署での分担は、効率化が主目的であれば、必ずしも不正防止やけん制につながるとは限りません。単に業務を切り分けるだけでなく、権限と責任の所在が適切に分割されていることが重要です。

実務における考え方 ITパスポートの試験では、この問題のように「誰が実行し、誰が承認・確認するのか」という視点が頻出します。システム開発の現場であれば、プログラムを作成する担当者と、それをテストして本番環境へ移行する承認担当者は分ける必要があります。また、ネットワークの権限設定なども、特定の管理者ひとりに全権限を与えず、重要な操作には複数人の承認を必要とする「デュアルコントロール」という手法がとられることもあります。これらはすべて、ヒューマンエラーによるミスや、悪意ある操作を未然に防ぐための重要な考え方です。

https://www.soumu.go.jp/main_content/000282903.pdf https://www.jpx.co.jp/equities/listing/cg/01.html https://it-passport.biz/dictionary/internal-control/