CISA(公認情報システム監査)試験対策 12.職務分掌(SoD)
本Noteでは職務分掌(Segregation of Duties)について説明します。
職務分掌
職務分掌とは、従業員が担当する業務の内容、範囲、責任と権限を明確化することです。職務権限を異なる担当者に割り当てることで、過失や不正行為のリスクを未然に回避、低減させる効果があります。
職務分掌実行のプロセス
1.会社全体の組織図の作成
まずは会社の全体像を把握するために、会社全体の組織図を作成します。組織図を作ることによって、会社の中にどのような部署や役職があるかを明確にします。
2.会社全体の職務リストの作成
次に、部署や役職を「職務ごと」に分けます。職務ごとにまとめることによって、責任の押し付け合いや冗長な業務の分担などを解消することにもつながります。
3.内部牽制を機能させる
内部牽制とは、会社や組織の中で業務に複数人が関わることで互いに不正やミスを未然に防ぐ仕組みのことです。
職務を明確に分けることによって、他の担当者の仕事の内容をチェックし合う仕組みが自然と出来上がります。
最近になって採用する企業も増えている内部通報制度も内部牽制を助ける仕組みの一つです。
企業での不正をマスメディア等に公表される内部告発に発展する前に、内部通報制度を活用することで、社内での不祥事の防止や早期発見に留める必要があります。
4.保管的統制の導入
事業を継続する上で、会社の活動を記録、保管することはとても重要です。
記録に残すことで、過去の意思決定の過程や事実関係が追跡可能になり、各担当者の責任範囲も明らかになります。万が一問題が起きた場合でも記録が残っていれば、責任のある担当者を追求することができます。
情報の記録と保管は、社員の不正抑止にも効果があります。
5.是正
職務分掌に反する事象が見つかった場合、直ちに事実確認と是正処置を行います。
ケーススタディ
あなたはとある金融機関のIT部門の監査を担当することになりました。
その機関ではCIOがIT戦略室とITステアリングコミッティの両方に参加しており、さらに彼はベンダー選定、調達、決済権を持っていることがわかりました。
そのCIOはその機関の創設メンバーの一人です。
あなたはこの事実を、職務分掌上の重大なリスクであるとしてマネジメントに報告すべきでしょうか?
回答
特定の重大な問題が見つかった場合、または緊急対応を要するリスクが見つかった場合のみマネジメントに報告すべきです。
報告の前にまずは不正を証明する記録があるか、不正を是正する対策があるかをさらに調査するべきです。
監査報告には不正、リスクについての詳細な証拠と改善案を記述する必要があります。
CIOは創設メンバーの一人であるため、マネジメントはあなたの報告内容を否定する可能性があります。そのために十分な説明ができるよう準備が必要です。最後までマネジメントが事象を否定する場合は、マネジメントからの反論内容を監査レポートに残します。