ブログ記事
職務分掌とは
職務分掌とは、タスクを2つ以上の項目に分割することで、不可逆的な影響が、エラーや不正行為に対する組織の許容範囲を超える場合に、1人の担当者が一方的にアクションを実行できないようにすることです。主要な職務に職務分掌を適用することで、不正行為、ヒューマン エラー、悪意のあるアクティビティのリスクから、組織の資金、インベントリ、機密情報を保護できます。
職務分掌により、ビジネス上の重要なタスクを4つの職務ベース カテゴリに分類できます。
認可取引やまたはオペレーション審査し、承認するロール(役割)
監督現金、小切手、機器、消耗品、機密情報などのあらゆる資産にアクセス、制御できるロールです。
記録管理取引の処理、記録を検証し、すべての取引が有効であり、適切に認可され、タイムリーかつ正確に記録されていることを確認するロール
調整特定された矛盾やエラーのフォロー アップなどを行うロールです。
職務分掌は、ワークフロー規則に適用され、1人の担当者が複数の責任を管理できないように監視する必要があります。
リスク管理における職務分掌
職務分離の程度は、組織がリスクに対する許容度によって決まります。すべての組織には特定のリスク許容度があり、その選好曲線があります。この曲線は、リスクの発生確率と、そのリスクを有益にするために得られる価値との関係を示しています。リスク管理の一環として職務分掌を適用するには、すべてのロールを徹底的に分析し、リスク選好曲線に基づいて、互換性がないと思われるロールを特定する必要があります。
組織は、リスクを効果的に管理するために、重要なビジネス プロセスの職務分掌マトリクスを作成します。職務分掌マトリクスでは、アクティビティと職務をロールにマッピングし、懸念領域を特定します。職務分掌マトリクスは、ソフトウェア システムを使用して作成、管理できます。
ワークフローのリスク管理に関連する、潜在的なロールと職務の競合を特定するために、職務分掌マトリクスに次の領域を含める必要があります。
プロセス(例:ITセキュリティ管理)
職務(例:ユーザー アクセス権限のプロビジョニング)
手順(例:特権の認可)
ロール(例:管理者)
ロールは、特定の手順を実行する際のリスクに応じて、低リスク、中リスク、高リスクのいずれかに評価されます。リスクを最小限に抑えるには、各ユーザーのロールを、プロセス ワークフロー内の1つの手順と組み合わせる必要があります。
相反する職務に関連するアクティビティが同じロールに関連付けられている場合、または1人の担当者が2つの相反するロールを引き受ける場合、高リスクの競合が発生します。その場合、プロセスやアクティビティを変更したり、職務を複数のロールに分割したりすることで、職務分掌を実装する必要があります。
職務分掌の実装が不可能、または現実的ではない場合、リスク管理戦術として補完的コントロールを使用できます。また、職務分掌の代わりに、定期的な監査やセカンダリ認可を導入することもできます。
不正行為の観点からリスク管理を検討する場合、不正のトライアングルと、それを阻止するうえで職務分掌がどのように役立つのかを理解することも重要です。リスク管理、不正防止の専門家は、横領につながる可能性のある条件を「不正のトライアングル」と呼んでいます。不正のトライアングルを構成する3つの要素は、次のとおりです。
個人に対する経済的圧力
犯罪行為の合理化
犯罪を犯す機会
職務分掌は、「機会」の段階で不正のトライアングルを効果的に阻止します。サード パーティによるレビューを実施することで、機会の実現可能性に対する個人の評価が揺らぎ、犯罪に至る可能性が低下します。
会計における職務分掌
職務分掌は、会計において資金やその他の資産を管理するために使用されます。ここでも、4つの職務ベース カテゴリ(認可、監督、記録管理、調整)が適用されます。会計における職務分掌の例は次のとおりです。
小切手の振り出しを承認する担当者と、簿記ソフトウェアを使用して小切手を記録したり、当座勘定を調整したりする担当者は、同一人物であってはならない
銀行口座やインベントリなどの資産にアクセスできる担当者が、記録管理や認可を処理できないようにする
経費の監督担当者が、経費を承認できないようにする
職務分掌を導入して監督を徹底し、1人の担当者が請求書を承認したり、システム内に新規ベンダーを作成したり、小切手を発行させないようにすることで、不正行為のリスクを軽減できます。これにより、不適切な職務分掌に起因する、次のような主な会計不正を阻止できます。
虚偽の請求書を作成し、自身が管理する口座に資金を送金する。
存在しない社員、顧客、ベンダーの架空口座を開設する。
ベンダーへの虚偽の返金を処理する。
自分自身に小切手を振り出し、ベンダーへの支払いとして記録する。
その他の職務における職務分掌
職務分掌の概念は、幅広い分野で効果的に適用できます。通常、職務分掌は会計、財務の観点から検討されることが多いですが、他の部門や業種のリスク管理においても重要な役割を果たします。たとえば、医療業界の次のような職務では、複数の社員で業務を分担する必要があります。
リスク管理における職務分掌のもう1つの一般的な適用例は、ガバナンス、リスク、コンプライアンス(GRC)です。GRCを実践すれば、IT目標とビジネス目標を両立し、リスク管理と法規制遵守を実現できます。ここでは、コンプライアンスのために職務分掌が使用される事例を2つ紹介します。
サーベンス、オクスリー(SOX)法の遵守SOX法では、上場企業に対して、財務報告の制御プロセスを文書化、認証することを義務付けています。制御プロセスにおいて証明しなければならない重要な要素は、職務分掌です。職務分掌を適用していることを証明できない、または関連する報告書を改ざんした場合は、罰則の対象となる可能性があります。
連邦規則集(CFR)第21編第11部アメリカ連邦規則集(CFR)第21編第11部では、コンプライアンスのための職務分掌が義務付けられています。職務分掌は、制御プロセスに関する記録、レポートの有効性を確保するために使用されます。制御プロセスは、認証済みの個人のみが作成、編集できるようにする必要があります。
職務分掌のユース ケースと例
資産保管、インベントリ管理
資産保管とインベントリ記録管理を、同一人物が行うことはできません。
現金の保管、売掛金の調整
現金預金の管理と請求書の調整は、分離する必要があります。
経費、承認
社員が自身の経費を承認できないようにする必要があります。
雇用、給与支払い
採用担当者は、給与支払いに関する推奨事項を提示できますが、給与を定義することはできません。このルールは、賞与にも適用する必要があります。
仕訳、承認
仕訳入力と仕訳承認を分離します。
支払い、銀行勘定調整
各種支払い(ベンダーへの支払い、給与の支払いなど)と銀行取引明細書の勘定調整を、異なる担当者に割り当てます。
発注
複数の担当者が発注を承認する必要があります。
販売、承認
販売取引の承認(マージンや顧客の与信枠の承認など)と販売プロセスを分離する必要があります。具体的には、営業担当者が単独でマージンを設定したり、与信期間を延長したりできないようにする必要があります。
ベンダー管理
システムでのベンダー設定と、請求書の転記、支払いを分離します。
職務分掌:実証済みの手法により、抑制と均衡を実現
職務分掌は、その優れた効果により、リスク管理戦略の一要素として広く採用されています。職務分掌を実践すれば、1人の担当者または一つのグループが制御権限を悪用し、不正なアクティビティを実行するのを阻止できることが、繰り返し証明されています。職務分掌は、重要な制御システムの一部として、あらゆる種類の組織における不正行為やエラーを防止、検出するのに役立ちます。
以下の職務分掌に関する動画で、管理者が不正行為リスクを軽減し、コンプライアンスを維持するためのポリシーをどのようにすばやく策定できるのかをご覧ください。
職務分掌は、組織の効果的なリスク管理と内部統制を実現するのに不可欠です。職務分掌により、権限を持ち過ぎて問題を引き起こすことを防止します。例えば、悪意のある目的や認められていない目的で問題をを引き起こすことを阻止できます。またヒューマン エラーによる単純ミスを回避するのにも役立ちます。
FAQ
よくある質問
職務分掌と業務分掌との違いは何ですか?
職務分掌は役職に基づく責任の分配であり、業務分掌は具体的なタスクや業務プロセスに基づく責任の分配です。
職務分掌と職務規定の違いは何ですか?
職務分掌は役職ごとの業務の責任を分けることに関するものであり、職務規定は例えば、伝票処理や、会計ソフトの操作等、その職位に求められる具体的な内容や要件を明記するものです。
クラウドプラットフォームを適切に制御します
SailPoint IDセキュリティの詳細をご覧ください。