Contents
  1. テーマ:「リミッター」を設定せよ ~権限の階層と統制~
  2. 【練習問題】パート1 セクションD-4-c

テーマ:「リミッター」を設定せよ ~権限の階層と統制~

セクションD-4-cは、組織内の「権限(Authority)」をどのように設計・制限すれば、不正を効果的に予防できるかを学ぶパートです。

従業員に与える権限が大きすぎれば、不正の「機会」は無限大になります。逆に小さすぎれば、業務は回りません。

内部監査人は、この権限設定が「必要最小限(Least Privilege)」の原則に基づき、適切にコントロールされているかを評価します。

1. 導入:権限と不正の関係

不正を行うには、「実行する権限」が必要です。 1億円の送金をするには、1億円を送金できるIDや承認権限を持っていなければなりません。

権限レベルの設定(Authorize Limits)は、物理的な鍵と同じです。 平社員に金庫の鍵(全額引き出せる権限)を渡してしまうことは、不正を誘発しているのと同じです。

2. 権限レベル(Authority Levels)の設計原則

不正予防のための権限設定には、以下の原則があります。

  1. 段階的な金額制限(Tiered Monetary Limits): 役職や職責に応じて、承認できる金額に上限を設けます。
    • 係長:10万円まで
    • 課長:100万円まで
    • 部長:1,000万円まで
    • それ以上:役員会の承認が必要
  2. デュアル・オーソリゼーション(Dual Authorization): 一定額以上の取引や、重要なマスター変更(振込先口座の変更など)には、必ず2名以上の承認を必須とします。
  3. システムによる強制(System Enforcement): マニュアル(紙のルール)だけでなく、ITシステム上で物理的に操作できないように制限をかけます。

3. 具体的な適用例

① 購買・支払プロセス

  • リスク: 担当者が高額な架空発注を行う。
  • 対策: 担当者は「起案(入力)」のみ可能とし、「承認(決裁)」権限を与えない。さらに、金額に応じた承認ルートをシステムで自動分岐させる。

② 情報システム・アクセス権限

  • リスク: データを改ざんする。
  • 対策: 「最小権限の原則(Least Privilege)」を適用する。
    • 業務に必要な「読み取り」権限だけを与え、「書き込み」「削除」権限は与えない。
    • 特権ID(Administrator)の使用は厳格に制限し、ログを監視する。

4. 権限委譲(Delegation)のリスク

上司が出張などで不在の際、権限を部下に委譲することがあります。ここは不正の温床になりやすいポイントです。

  • リスク: 委譲された部下が、その権限を悪用して自分の不正取引を承認する。
  • 対策:
    • 委譲は期間限定とする。
    • 委譲期間中の承認ログを、後で必ず本来の権限者がレビューする。
    • 「自己承認の禁止」:委譲されていても、自分自身の経費精算などを承認できないようにシステム制御する。

5. GIASにおける評価視点

内部監査人は、権限規定(テーブル)が現状の組織構造やリスクに見合っているかを定期的にレビューする必要があります。

  • 陳腐化のチェック: 退職者や異動者の権限が削除されずに残っていないか?(ゴーストID)
  • 例外の監視: 権限を超えた取引が「緊急対応」として処理されていないか?

まとめ

セクションD-4-cのポイントは、「権限のキャップ(蓋)」です。

権限には必ず上限(Limit)と監視(Monitor)が必要です。 「誰が、いくらまで、何をできるか」を明確に定義し、システムで縛ることが、善良な従業員を魔が差すことから守る(予防する)ことにつながります。

【練習問題】パート1 セクションD-4-c

Q1. 組織の購買システムにおいて、不正な高額発注を予防するために最も効果的な「権限レベル」の設定はどれか。

A. すべての従業員に対し、一律に100万円までの発注権限を与え、それ以上はシステムでロックする。

B. 職位(係長、課長、部長など)に応じた段階的な金額上限を設定し、上限を超える取引については自動的に上位者の承認を要求するワークフローを構築する。

C. 購買担当者には金額制限を設けず、事後的に内部監査人がすべての取引をチェックする。

D. 購買部長にのみ無制限の権限を与え、それ以外の従業員には一切の発注権限を与えない。

【解答・解説】

正解と解説を表示

正解(B): 職責に応じた段階的な金額制限(Tiered Authority Limits)と、システムによる承認ワークフローの強制は、権限の濫用を防ぎつつ業務効率を維持する最も合理的かつ効果的な予防コントロールです。

不正解(A): 職責を考慮しない一律の制限は、業務実態に合わず、かつリスク管理として大雑把すぎます。

不正解(C): 事後チェック(発見的コントロール)だけでは、不正な資金流出を未然に防ぐ(予防的コントロール)ことはできません。

不正解(D): 部長に権限が集中しすぎてボトルネックになる上、部長自身による不正リスク(無制限の権限)が高まります。

Q2. 経費精算システムにおいて、課長が長期休暇を取るため、自身の承認権限を部下である係長に一時的に委譲(Delegation)することになった。この状況下で発生しうる不正リスクを予防するためのコントロールとして、最も適切なものはどれか。

A. 係長が、自分自身の経費精算申請を、委譲された課長の権限を使って承認できないようにシステム制御する(自己承認の禁止)。

B. 係長に対して、課長のIDとパスワードを共有し、課長のアカウントでログインして承認作業を行わせる。

C. 委譲期間中は、係長が承認したすべての取引について、即時に経理部長へメール通知が届くようにするが、経理部長による確認は任意とする。

D. 信頼できる係長であるため、特に追加のコントロールは設けず、口頭で注意喚起を行うに留める。

【解答・解説】

正解と解説を表示

正解(A): 権限委譲時の最大のリスクは、被委譲者がその権限を悪用して「自分の利益になる取引(自己の経費精算など)」を承認してしまうことです。システム上で「申請者と承認者が同一人物であってはならない」というルール(自己承認の禁止)を強制することが不可欠です。

不正解(B): ID/パスワードの共有はセキュリティ上の重大な違反であり、絶対に行ってはいけません。

不正解(C): 確認が任意であれば統制として機能しません。

不正解(D): 信頼に依存した管理は内部統制ではありません。

Q3. 内部監査人がアクセス権限の棚卸(Review)を行っている。次の発見事項のうち、不正リスクの観点から最も懸念すべき状況はどれか。

A. 新入社員に対して、研修期間中は閲覧権限のみが付与され、入力権限が付与されていない。

B. 経理部門から営業部門へ異動した従業員のIDに、経理システムの「承認権限」が削除されずに残ったままになっている。

C. システム管理者が、特権ID(スーパーユーザー権限)を使用する際、事前の申請と事後のログ記録が義務付けられている。

D. 購買担当者の発注限度額が、物価上昇に伴い、取締役会の承認を得て10%引き上げられた。

【解答・解説】

正解と解説を表示

正解(B): 異動や退職に伴う権限変更の遅れ(残留権限)は、職務分掌を無効化する重大なリスクです。営業担当者が経理承認権限を持っていれば、自分の作った架空売上の入金処理などを自作自演できる可能性があり、極めて危険です。

不正解(A): 最小権限の原則に従った適切な対応です。

不正解(C): 特権IDの管理として適切なコントロールです。

不正解(D): 適切な手続き(取締役会承認)を経た変更であり、問題ありません。