対象試験と出題頻度
「申請と承認は別の人がやるべき」
社会人なら何となく知っているこのルール、きちんと名前を付けて説明できるでしょうか。
職務分掌は、内部統制の「統制活動」を支える具体的な手段として、ITパスポートから応用情報技術者まで繰り返し出題されています。
特にITパスポートでは令和7年度の公開問題(問43)でも出題されたばかりで、「どの選択肢が”組織間のけん制”に当たるか」を見抜く力が問われます。
対象試験と頻度をひらく
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
試験勉強をしていると、「職務分掌と業務分掌って違うの?」「相互牽制って結局なに?」と戸惑う場面が出てきます。まずは言葉の意味を固めましょう。
職務分掌(しょくむぶんしょう/Separation of Duties)とは、一言で言うと
「一連の業務を複数の人・部門に分けて担当させ、互いにチェックし合う仕組み」
のことです。
イメージとしては、「銀行の金庫を開ける鍵が2本に分かれていて、別々の人が1本ずつ持っている状態」です。
鍵を1人が2本とも持っていたら、その人だけで金庫を開けられてしまいます。
2本を別々の人に渡しておけば、1人では開けられず不正が成立しません。職務分掌はこの「鍵の分離」を、経費精算や発注承認といった日常業務に適用した考え方です。
📊 職務分掌の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Separation of Duties(SoD) |
| 別名 | 相互牽制(そうごけんせい) |
| 位置づけ | 内部統制6要素のうち「③統制活動」を実現する代表的手段 |
| 根拠フレームワーク | COSO内部統制フレームワーク/金融庁「内部統制の基準」 |
解説
企業で不正が起きる原因は「性格が悪い人がいたから」ではありません。
不正のトライアングル(動機・機会・正当化)が揃ったとき、誰でも不正に手を染めるリスクがあるというのが内部統制の前提です。
このうち「機会」を物理的につぶす最も基本的な方法が、権限の分離です。
一人で申請から承認、実行、記録まで完結できる環境は、不正を行う機会を与えているのと同じだからです。
分離すべき3つの権限
具体的にどの権限を分けるかは業務内容によりますが、代表的な分離パターンは次の3つです。
権限分離の3パターン
📝
申請
「〇〇を買いたい」と起案する人
✅
承認
内容を審査し許可する人
💰
実行(支払)
実際にお金を動かす人
▲ この3者がすべて異なる人(または部門)であることがポイント
たとえば出張旅費の精算であれば、「営業員が申請し、営業部長が承認し、経理部門が支払処理する」という流れにすると、営業員が架空の出張を精算しようとしても経理部門の審査で発覚します。
「業務分掌」との違い
紛らわしいのが「業務分掌」という用語です。
業務分掌は「営業部は販売を担当、経理部は会計を担当」のように部署ごとの守備範囲を決めること。
一方、職務分掌は同じ業務プロセスの中で権限を分けることを指します。目的が「効率化」なのか「牽制」なのかで区別できます。
| 比較項目 | 職務分掌 | 業務分掌 |
|---|---|---|
| 何を分けるか | 同一プロセス内の権限(申請/承認/実行) | 部門ごとの業務領域(営業/経理/人事) |
| 主な目的 | 相互チェックによる不正・ミス防止 | 責任範囲の明確化と業務効率化 |
| 内部統制の文脈 | 統制活動の代表的手段 | 組織設計の基本概念(統制環境寄り) |
IT分野での職務分掌:開発と運用の分離
IT統制の現場では「プログラムを書く人(開発)」と「本番環境を動かす人(運用)」を分けるのが職務分掌の典型です。開発者が本番データに直接触れると、データ改ざんのリスクが生まれます。
基本情報技術者の過去問(H22春 問60)では、まさにこの「情報システム部門と利用部門の独立」を正解に据えた問題が出題されました。
IT統制における職務分掌の例
開発チーム
コードを書く
テスト環境で検証
運用チーム
本番環境を管理
デプロイ・監視
▲ 開発者が本番環境に直接アクセスできない体制 = IT版の職務分掌
ポイント整理(3行で把握)
・職務分掌=一連の業務を「申請・承認・実行」に分け、別々の人に担当させる仕組み
・内部統制の「③統制活動」を実現する代表的な手段であり、不正の「機会」を構造的につぶす
・IT分野では「開発」と「運用」の分離がこれに当たる
試験ではこう出る!
職務分掌は、IPでは内部統制の具体策として、FE・APでは「相互牽制の体制として適切なものはどれか」という形式で出題されます。
ここだけは確実に押さえてください。正解を選ぶカギは「申請と承認(または実行)が別の人・別の部門になっているか」の一点です。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| IP R7 問43 |
出張旅費の手続で「組織間のけん制」が働いている状況を選ぶ問題。 | ・営業部門が提出→経理部門が審査・承認、が正解 ・同一部門内で完結する選択肢はすべて不正解 |
| IP H30春 問52 |
相互けん制を働かせるための職務分掌の例を選ぶ問題。 | ・「営業部門の申請書を経理部門が承認」が正解 ・「効率化のための分担」は職務分掌ではない、がひっかけ |
| AP H27秋 午前 問60 |
営業債権管理業務で内部統制として適切なものを選ぶ問題。 | ・「売掛金回収条件を審査部門が設定」が正解 ・営業部門が自ら与信や消込みを行う選択肢は不適切 |
| FE H22春 問60 |
データのインテグリティを確保できる相互牽制の体制を選ぶ問題。 | ・情報システム部門と利用部門の独立が正解 ・開発と運用を同一部門が担う選択肢は不正解 |
📝 ひっかけ選択肢の見破り方
ひっかけパターン①:「同一部門内の上長承認」
上長が承認していても、申請から承認まで同じ部門で完結していれば「組織間の牽制」にはならない。IP R7 問43の選択肢イ・ウがこのパターン。
ひっかけパターン②:「効率化目的の業務分担」
業務を複数人で分けていても、目的が効率化であれば牽制ではない。IP H30春 問52の選択肢エがこのパターン。「分担=分掌」と短絡しないこと。
ひっかけパターン③:「監査人のサンプリング」
監査は事後の点検活動であり、「日常的に」働く牽制ではない。この区別はIP R7 問43の選択肢エで実際に問われた。
【確認テスト】理解度チェック
Q. 内部統制における職務分掌(相互牽制)の説明として、最も適切なものはどれでしょうか?
- A. 申請・承認・実行などの権限を別々の担当者や部門に分けることで、一人では不正を完結できない体制をつくる仕組みである。
- B. 経営者の意思決定を取締役会や株主が監視・規律づけることで、企業統治の透明性を確保する仕組みである。
- C. 独立した監査人が情報システムの信頼性・安全性・効率性を評価し、改善のための助言を行う一連の活動である。
正解と解説を見る
正解:A
解説:
選択肢Aは、権限を分離して一人では不正が完結しない体制を作るという職務分掌の核心を正しく述べています。
選択肢Bはコーポレートガバナンス(企業統治)の説明です。経営者を「外から」監督する上位の枠組みであり、業務プロセス内で権限を分ける職務分掌とは対象が異なります。選択肢Cはシステム監査の説明です。独立した立場から事後的に評価する活動であり、日常業務の中で相互チェックを組み込む仕組みとは性質が異なります。
よくある質問(FAQ)
Q. 人数が少ない中小企業では職務分掌を実施できないのでは?
完全な分離が難しいのは事実です。そのため、COSO内部統制フレームワークでも「職務の分離が実務的でない場合は、代替的な統制活動を選択する」旨が明記されています。たとえば、上長によるダブルチェック、操作ログの第三者レビュー、定期的なローテーションなどが代替手段に当たります。試験では「職務分掌が不可能な場合の補完策」として選択肢に登場することがあるため、この考え方を知っておくと対応できます。
Q. IT系のアクセス権管理と職務分掌はどう関係しますか?
職務分掌のルールをシステム上で強制するのがアクセス権管理です。例えば、経理システムで「仕訳入力」と「仕訳承認」の権限を同一ユーザに付与しない設定(SoD制御)を入れれば、運用ルールだけに頼らず技術的に牽制を担保できます。ERP(統合基幹業務システム)では、このSoD違反を自動検出する機能が標準搭載されている製品も多く、実務ではIT全般統制の一部として運用されています。
Q. 「権限委譲」と「職務分掌」は矛盾しませんか?
矛盾しません。権限委譲は「上長の判断権限を部下に渡す」こと、職務分掌は「一連の業務を複数人に分ける」ことで、対象が異なります。ただし、権限委譲の結果として申請と承認が同一人物に集中してしまうと牽制が崩壊するため、委譲する際には「承認権限だけは別の人に残す」といった設計が必要です。IP H30春 問52では、課長不在時に課長補佐へ承認権限を委譲する選択肢が「職務分掌ではない」として不正解になっており、この違いが直接問われました。
Q. 職務分掌は「IT全般統制」と「IT業務処理統制」のどちらに該当しますか?
文脈により両方に該当し得ます。「開発者と運用者を分ける」「本番環境へのアクセス権を制限する」といったシステム全体の土台に関わる分離はIT全般統制に分類されます。一方、「入力担当者と承認担当者を分けて二重チェックする」といった個々の業務処理の正確性を担保する分離はIT業務処理統制に分類されます。試験で問われた際は、選択肢の具体的な業務内容を見て判断してください。
関連用語ネットワーク
【前提知識】 内部統制(4つの目的・6つの基本的要素)
【関連用語】 不正のトライアングル(機会) / システム監査基準 / 監査証拠
【発展】 IT全般統制(ITGC) / IT業務処理統制(ITAC) / J-SOX
