【CIA試験講義】パート1 セクションD-4-b: 職務分掌(SoD)の適切な適用
テーマ:権力を分割せよ ~絶対的な支配を防ぐ「三権分立」~
セクションD-4-bは、内部統制の中で最も基本的かつ強力な概念である「職務分掌(Segregation of Duties: SoD)」に関するパートです。
不正のトライアングルにおける「機会(Opportunity)」を潰す最強の武器がこの職務分掌です。
CIA試験では、「どの業務とどの業務を分けるべきか(兼務してはいけない組み合わせ)」を瞬時に判断するパズル的な思考が求められます。
1. 導入:職務分掌(SoD)の基本原則
職務分掌とは、一つの取引プロセスを一人で完結させないように、役割を複数の人間に分割することです。
もし、一人の従業員が「発注」も「検収」も「支払い」もできたらどうなるでしょうか? 架空の業者に発注し、モノが届いたことにして、自分の口座に振り込むことが誰にも気づかれずにできてしまいます。
2. 分離すべき「3つの機能(CAR)」
SoDを考える際は、業務を以下の3つの機能に分解し、これらを別々の担当者に行わせるのが鉄則です。 覚え方は「CAR(車)」です。
- 保管(Custody): 資産を物理的に扱う。
- 例:現金を受け取る、在庫を倉庫で管理する、小切手を郵送する。
- 承認(Authorization): 取引を許可する。
- 例:発注書にハンコを押す、貸倒れを承認する、支払いを認可する。
- 記録(Recording): 帳簿やシステムに入力する。
- 例:仕訳を切る、売掛金元帳を更新する。
★黄金ルール:「保管(C)」と「記録(R)」を兼務させてはならない。
理由:現金を盗んで(C)、帳簿を改ざんして隠す(R)ことができるから
「承認(A)」と「保管(C)」を兼務させてはならない。
理由:架空の支払いを自分で許可して(A)、自分で送金する(C)ことができるから
3. 具体的な「兼務NG」の組み合わせ
試験で頻出する危険な組み合わせ(レッドフラグ)を見てみましょう。
| 組み合わせ | リスクの内容 | なぜ危険か? |
|---|---|---|
| 現金受領 + 売掛金消込 | ラッピング(着服と穴埋め) | 顧客からの入金を着服し(保管)、帳簿上は「未収金のまま」あるいは「貸倒れ」として処理(記録・承認)できる。 |
| 発注 + 検収 | 架空発注・横領 | 必要なモノを発注せず、届いていないのに「届いた」として処理し、代金を着服または物品を横流しできる。 |
| 小切手振出 + 銀行勘定調整 | 不正送金の隠蔽 | 自分の口座へ不正送金し(保管)、銀行勘定調整表を改ざんして帳簿と銀行残高を無理やり一致させる(記録の照合)ことができる。 |
| 給与データ入力 + 給与支払 | ゴースト従業員 | 架空の従業員をシステムに登録し(記録)、その給与を受け取る(保管)ことができる。 |
4. 代替的統制(Compensating Controls)
小規模な組織や支店では、従業員が少なく、完全な職務分掌ができない場合があります。 その場合、諦めるのではなく「代替的統制」を導入してリスクを低減します。
- 経営者によるレビュー: 社長自らが全ての支払伝票と通帳をチェックする。
- 例外レポートの監視: システムで異常値を検知し、本部がモニタリングする。
- 強制的休暇(Job Rotation): 担当者を休ませ、その間に別の人が業務を行うことで不正を発見する。
5. GIASにおける評価視点
内部監査人は、単に「分かれているか」だけでなく、ITシステム上の「アクセス権限」も含めてSoDを評価する必要があります。
- 物理的には分かれていても、システム上でAさんがBさんのIDを使って承認できるなら、SoDは崩壊しています。
- 「スーパーユーザー権限(特権ID)」の管理状況も重要なチェックポイントです。
まとめ
セクションD-4-bのポイントは、「泥棒のシミュレーション」です。
問題文を読んだとき、「この人は資産を持っている(保管)。同時に帳簿も触れる(記録)。…ということは、盗んで隠せる!」と気づけるかどうかが勝負です。
【練習問題】パート1 セクションD-4-b
Q1. ある企業の経理担当者が、顧客からの「売掛金の回収(小切手の受領)」と、会計システムへの「売掛金元帳の更新(消込)」の両方の業務を行っている。この職務分掌(SoD)の不備が引き起こす可能性のある不正スキームとして、最も適切なものはどれか。
A. 架空バイダーへの不正支払(Shell Company Scheme)
B. ゴースト従業員スキーム(Ghost Employee Scheme)
C. ラッピング(Lapping)
D. キックバック(Kickback)
【解答・解説】
正解と解説を表示
正解(C): 資産の「保管(現金の受領)」と「記録(元帳の更新)」を同一人物が行うことは、最も典型的なSoD違反です。この担当者は、A社からの入金を着服し、後日入金されたB社からの入金をA社の入金として記録する「ラッピング(自転車操業的な着服と隠蔽)」を行うことが可能になります。
不正解(A): 架空ベンダーへの支払は、通常「発注」や「支払承認」の権限が必要です。
不正解(B): ゴースト従業員は人事・給与プロセスに関連する不正です。
不正解(D): キックバックは購買担当者と業者の癒着であり、売掛金回収プロセスとは直接関係ありません。
Q2. 従業員数がわずか4名の小規模な営業所において、完全な職務分掌(SoD)を導入することはリソースの制約上困難である。この状況において、不正リスクを許容可能なレベルに低減するための「代替的統制(Compensating Control)」として、内部監査人が推奨すべき最も適切な策はどれか。
A. 従業員同士の信頼関係が強いため、特に追加の統制は不要であると判断する。
B. 本社の管理部門や経営陣による、月次の詳細な取引レビューや抜き打ち監査を実施する。
C. 営業所の業務を停止し、すべての処理を本社に集約する。
D. 4名の従業員に対し、相互に監視し合うよう口頭で指示する。
【解答・解説】
正解と解説を表示
正解(B): 人員不足で物理的な分掌ができない場合、管理職や本部による「レビュー(事後チェック)」や「モニタリング」を強化することが、最も有効かつ現実的な代替的統制となります。
不正解(A): 「信頼」は内部統制ではありません。最も危険な判断です。
不正解(C): リスク回避策としては強力ですが、ビジネスの効率性を著しく損なうため、代替的統制の提案としては不適切です。
不正解(D): 口頭の指示や相互監視だけでは、共謀のリスクや責任の所在が不明確になるリスクがあり、統制としては弱すぎます。
Q3. 購買プロセスにおいて、次の職務の組み合わせのうち、同一人物が兼務しても内部統制上のリスク(SoD違反)が最も低いものはどれか。
A. 「発注書の作成」と「商品の検収(受入確認)」
B. 「ベンダーマスター(取引先情報)の登録・変更」と「請求書の支払承認」
C. 「発注書の作成」と「ベンダーへの支払小切手の署名」
D. 「発注書の作成」と「購買予算の策定(予算管理)」
【解答・解説】
正解と解説を表示
正解(D): 「発注(執行)」と「予算策定(計画)」の兼務は、他の選択肢に比べて直接的な資産横領のリスクは低いです。予算内で発注を行うことは通常の業務範囲です。
不正解(A): 自分で発注し、届いていないのに届いたことにすれば、物品の横領や架空発注が可能です(資産の保全と承認の兼務)。
不正解(B): 自分の作った架空の会社(シェルカンパニー)を登録し、そこへの支払いを自分で承認できます(記録と承認の兼務)。最も危険な組み合わせの一つです。
不正解(C): 自分で発注し、自分で支払うことができれば、会社の資金を自由に引き出せます(承認と資産保管の兼務)。
