« 天皇皇后両陛下のご結婚50年を祝う | トップページ | NHKトップランナー 綾瀬はるかさん »

2009年4月10日 (金)

権限者による不正行為をいかに防止するか

三菱UFJ証券のシステム部門の担当者、というより責任者が
個人情報を持ち出して不動産等の業者に名簿を売っていた事件が
発覚した。
「総売上」は40万円にも満たない段階での逮捕、懲戒解雇という
エンディングを想定したら、その「犯人」は実行していたのか
どうかは判らないが、この問題は、企業や役所といった、
およそ、お金や利権が絡む組織体においては「ひとごと」では
無いことは言うまでもない。

特に上場企業においては、この3月で締め切った(正確には
08年2月決算会社から)事業年度を対象に、初めて導入
された内部統制システム、いわゆるJ-SOXという、
財務諸表の信頼性を確保するための仕組み、要するに
不正や組織としての大きな欠陥、誤謬等を排除して真実を開示し、
また、そのためにも合理的で正確な結果を集計し得る体制を
整えて運用し、それが間違い無く実施されていることを監査して
「合否」を出し、求める、という要求が導入されたことにより、
その関連する諸部門の実務担当者の皆さんは、この1年、
暗中模索、四苦八苦して来たはずである。

これは、アメリカのエンロン事件等に発した同国内の法制化を
受けて、それの日本版として導入されたため、わが国内に
おいては平等に「初体験」であり、少なくとも上場企業においては
大企業とか歴史のある「老舗(しにせ)」会社で有る無しに
関係なく、等しく一斉にスタートしたものだった。

いささか専門的な話になるし、にもかかわらず、関係者なら
判るので、敢えて詳細な説明は省くが、大きな4つの統制フェーズ
の中の、いわゆるIT統制において、特に重要とされるのが、
アクセスの正当性、健全性というべき点で、具体的には
「特権ID」に関しての部分と言い得るし、実際、日立製作所は、
それに対応するツールを販売していることからも、その大変さ、
重要さ、ということはうかがい知れる。

先日、外部監査人から、
「特権IDを使える人は、例えば、悪意があれば、売上等の
 データ(数字)を改ざんすることも可能ですよね?
 それを事前阻止する対応は策として実施されて
 いますか?」、と質問され、
「ウッ、そこまで聞くか?」と驚いた。

冒頭に引用した、最近の三菱UFJ証券での名簿流出事件の
ように、担当者、とわりけ、権限のある責任者等の
上級管理者が、「意図的、積極的に不正を実行した場合」、
事後の検証は、いろいろと方法可能であっても、それを
「事前に排除、防御、防止する」ということは、いかに困難か、
ということは容易に想像できる。

実はこの日、内部監査や内部統制に関するセミナーがあった
ので、某大手生保で内部監査に8年間関わっている人に、
「支社長のような一定ではあっても、最大レベルの立場に
 ある人が、例えば、顧客からの契約金をネコババすると
 したら、事前に確認可能ですか?」、と
質問してみた。

その人は、「事前の予防的監査は一番難しい課題ですね」、と
答えに窮していたが、でも、実はこの場合は、ある程度は
対応策が可能だと思う。

例えば、そういう権限者を一定期間完全に排して監査する期間
と権限を、会社として絶対条件として設定して実施すればよい
のだ。もっとも、これでは事後監査になるが、少なくとも、
抑止力的な効果はあるし、監査時期をこまめに設定できれば、
仮に事後であっても、それほど日時を置かずに監査可能だと
思える。

このように実際は難しい問題が多々在るとはいえ、
先述のIT関係の場合にも、答えは相当絞られるてくる。
いや、答えはほとんど1つしかない。
ただし、方法論としては複数ある。

まず、その要素を考えることとし、それらを、
①ヒトの問題、②権限フローの問題、③システム(機械対応)
の問題、とした場合、残念ながら①の選択は無い。
というのは、「企業はヒトなり」というし、その通りなのだろうが、
内部不正対応というのは、前提として「性悪説」に基づいている
ので、人を替えれば解決する、という回答の選択肢は自ずと無い
ことになる。
結論から言えば②だが、③においても、特権ID、例えば、
全社的に一般的なそれであるところの「SQL」に関して、
例えば「A-SQL」ではバグ排除の修正のみに対応するID、
Bは売上勘定データ修正用、Cは○○、等々、機能を限定した
対応が選択条件の大きな要因、候補の1つとして考慮される。
ただし、これだと、本来的には特権IDなど、極力認めないか、
数を減らしたほうが良い、という原則論と矛盾することになる
のが欠点ではある。

いずれにしても、そうした③における「助け」を得ることも含めて
最終的には②ということになる。
例えば、AのIDを使う場合は、B部門のシステムの「責任者」で
あっても、C部門の責任者への申請と承認という行程を必要とする
とか、管理部門の管理職に対しての申請と承認を必要とする
などの権限承認フローの厳格化で対応可能と思える。

また、それが「大変過ぎる」というなら、これは「事後」対応に
なってしまうが、(先述のIDの事前細分化も面倒な場合は)
「○月○日にA部門の管理者Bは「Z-ID」を使ったが、
 それは○○○というタスクで使用した」、とするログを残して
おき、それを後日とはなるが、監査部門等が定期的に監査して
不正の有無を確認する、というフローが必要とされるだろう。

このように、いずれにしても、現場の融通には反する場合も
想定できるとはいえ、内部統制システムの完徹には必然である
対策は、いやがうえでも整備されなくてはならず、
今回の場合は、有る程度、「現場に対しても厳格化を求める」
ことが必需と考えられる。

« 天皇皇后両陛下のご結婚50年を祝う | トップページ | NHKトップランナー 綾瀬はるかさん »

ブログ HomePage

Amazon DVD

Amazon 本

最近のコメント

最近のトラックバック