ITパスポート 2017年 秋期 問54
問題文
内部統制を機能させるための方策として、適切なものはどれか。
選択肢
ア:業務範囲や役割分担を示す職務記述書を作成しない。
イ:後任者への引継ぎ書を作成しない。
ウ:購買と支払の業務を同一人に担当させない。(正解)
エ:システム開発と運用の担当を分離しない。
🔒 解説は解答すると表示されます
内部統制を機能させるための方策【ITパスポート 解説】
正解の理由
内部統制(組織の業務が適正かつ効率的に行われるようにする仕組み)を強くするには、業務の「分離(役割を分けること)」が重要です。購買と支払は、発注→受領→支払の流れで不正が起きやすい部分です。発注と支払を同一人物が担当すると、発注から支払まで一人で不正を行えるためリスクが高まります。したがって、購買と支払の業務を別々の人が担当すること、すなわち ウ のように「同一人に担当させない」ことが適切です。これにより不正やミスの抑止、誤りの発見がしやすくなります。
解法ステップ
- 「内部統制とは何か」を簡単に定義する(業務の適正・効率・法令遵守を守る仕組み)。
- 各選択肢がその仕組みを強めるか弱めるかを考える。
- 強める=業務の分離、記録の整備、監査可能性の確保など。
- 弱める=分担をなくす、記録を残さない、権限を集中させるなど。
- 選択肢を一つずつ当てはめ、内部統制の目的(不正防止・業務継続・正確性)に合致するものを選ぶ。
選択肢別の誤答解説
-
ア: 業務範囲や役割分担を示す職務記述書を作成しない。
職務記述書(業務内容・責任・権限を明示した文書)を作らないのは、誰が何をするか不明確にしてしまいます。責任の所在があいまいになり、内部統制が弱まります。よって不適切です。 -
イ: 後任者への引継ぎ書を作成しない。
引継ぎ書(業務の引き継ぎ手順や注意点を書いた文書)を残さないと、担当者交代時に業務の抜け・誤り・不正の見逃しが起きやすくなります。内部統制上、継続性と監査可能性の観点から作成が望ましいため不適切です。 -
ウ: 購買と支払の業務を同一人に担当させない。
(正解)購買と支払を分けることで、発注と支払の一連の操作を一人で行えなくなり、不正発生の可能性を低くできます。最も基本的で効果的な内部統制の一つです。 -
エ: システム開発と運用の担当を分離しない。
システム開発(ソフトウェア等を作る作業)と運用(稼働させ、日常管理する作業)を同一にすると、開発した不正な変更を自分で本番に反映できてしまいリスクが高まります。分離すべきなので、この選択肢は不適切です。
よくある誤解
-
「分けると効率が悪くなるので分離は不要」
分離は一見効率を落とすように見えますが、不正発覚や業務停止というリスクを避けることで、長期的には効率と信頼性を高めます。小規模組織では代替策(相互チェックや上長承認)で補うことが大事です。 -
「仕組みより人だけを信用すればいい」
個人の信頼は重要ですが、組織は人が入れ替わります。文書化や役割分担などの仕組みがないと、信頼が裏切られたときに取り返しがつきません。 -
「IT化すれば内部統制は自動でできる」
システムは助けになりますが、設定ミスや権限付与の甘さ、ログの監視不足があれば逆にリスクが増えます。人の役割や監査も必要です。
補足コラム
- 「職務分掌(しょくむぶんしょう)」は英語で役割を分けることを意味し、Segregation of Duties(分離の原則)とも呼ばれます。実務例としては、現金を受け取る人と記帳する人を分ける、発注する人と仕入先への支払を承認する人を分ける、などがあります。
- 小さい会社や部署では、物理的に人手が足りないことがあります。その場合は「相互監視」「定期的な第三者チェック」「上長の承認」といった代替コントロール(補償的管理策)でリスクを減らします。
- システム開発と運用の分離は、情報システムの安全性と信頼性を守るための重要な措置です。最近はDevOps(開発と運用の連携を強める手法)という考え方もありますが、内部統制上は「自動化とチェックの仕組み」を設け、不正や不具合が本番環境に入らないようにすることが前提です。
FAQ
Q1: なぜ購買と支払を分けるだけで不正が防げるのですか?
A1: 発注と支払を別人が行うことで、偽の請求書を作って発注→支払という一連の操作を一人で完結できなくなります。片方がチェックする役割を持つため、不正に気づきやすくなります。
A1: 発注と支払を別人が行うことで、偽の請求書を作って発注→支払という一連の操作を一人で完結できなくなります。片方がチェックする役割を持つため、不正に気づきやすくなります。
Q2: 小規模で人が少ない場合はどうすればよいですか?
A2: 完全な分離が難しければ、上長の承認、外部監査、一定金額以上は別の承認者が必要、定期的な突合(つきあわせ)など、補償的な対策を導入します。
A2: 完全な分離が難しければ、上長の承認、外部監査、一定金額以上は別の承認者が必要、定期的な突合(つきあわせ)など、補償的な対策を導入します。
Q3: 引継ぎ書や職務記述書はどの程度詳しく書けばよいですか?
A3: 主要な業務手順、権限(何を承認できるか)、重要な連絡先、チェックポイントや定期作業の期限など、業務が滞らず監査可能になる程度に書きます。長文化より「誰が見ても分かる」ことが大切です。
A3: 主要な業務手順、権限(何を承認できるか)、重要な連絡先、チェックポイントや定期作業の期限など、業務が滞らず監査可能になる程度に書きます。長文化より「誰が見ても分かる」ことが大切です。
Q4: システムでログを取れば十分ですか?
A4: ログは重要な証跡(しるし)ですが、ログを見て監視・確認する仕組みがないと意味が薄れます。ログの保存、定期確認、異常検知の仕組みを組み合わせる必要があります。
A4: ログは重要な証跡(しるし)ですが、ログを見て監視・確認する仕組みがないと意味が薄れます。ログの保存、定期確認、異常検知の仕組みを組み合わせる必要があります。
関連キーワード: 内部統制、職務分掌、業務分離、購買支払、職務記述書、引継ぎ書、不正防止、コンプライアンス、システム運用、補償的管理策

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

