不正防止!法人ネット支払業務チェックリスト

最近、法人向けインターネット・バンキングにおける、不正送金の不祥事・被害発生が報じられています。自社(グループ)でも十分な対策ができているか、確認しておくことが大切です。ここでは、監査人として知っておくべき不正送金対策について解説します。

不正送金の2つの分類

不正送金の実行者主 な 発 生 原 因 
① 会社内部システム内の権限設定やアクセス制御が不十分であったため
② 会社外部外部からの不正アクセスの防御が不十分であったため

ネット・バンキング支払業務を監査していますか?

例えば、現金預金監査が以下にとどまっていませんか?

(1)JSOXで重要3勘定に入っていないので、現金預金は監査していない

(2)銀行の残高証明書や通帳で、期末残高は確認している

(3)拠点にある、現金の実査は実施している(さほど重要な金額ではないけれど。。。)

ネット・バンキング支払業務は監査対象外となっている会社は、国内・海外に関係なく一度はチェックしておきたいところです。

何せ潜在的なリスク・ボリュームは、ネット・バンキングの預金全額なのですから。

 

少なくとも“権限設定”の妥当性は確認しておきましょう

権限設定の妥当性確認で、特に注意していただきたいのは次の2点です。

  1. 権限設定が適切であることをシステム画面で確認すること
  2. 管理者権限が適切な方に付与されていること

①権限設定が適切であることをシステム画面で確認すること

  • 職務分離(職務分担)とシステム内での権限設定(設定画面)は、合致していますか?

例えば、以下のようなケース。承認権限を有するBさんに、作成・修正権限も付与されていませんか?

この状況では、Bさんはネットバンキングで、(1)Bさん自ら振込票を作成・承認、(2)Aさんが作成した振込票を修正・承認することで自由に振込を行うことができてしまいます。

この他、共有ID・パスワードで設定・運用されているなど、危険な状況になっていないか、権限設定画面で確認することが監査上、大変重要です。(ヒアリングだけでは監査したことになりません!)

 

管理者権限が適切な方に付与されていること

「管理者権限」は、作成・修正権限及び承認権限をシステムで設定できる権限(オールマイティな権限)です。決して、管理者に与えられているからOKというような判断をしてはいけません!

例えば、上記で日常業務で承認を行っている管理者Bさんに管理者権限が与えられていた場合、権限の設定変更を行うことで、容易に不正を行うことが可能になります。

日常業務ではネット・バンキング支払業務に関与しない&預金に総括責任を負う方に管理者権限は付与されるべきです。(中小のグループ会社などでは社長でも構いません)

※管理者権限を職位の高い方に付与すると業務に支障がでる/異動等に伴う権限変更ができない、という意見があるかもしれません。しかし、権限の設定・変更は日常業務ではなく一時的な業務です。必要なときだけ、権限付与者の監督下で部下に管理者権限の貸出し・代理操作を行わせ、操作完了後にパスワードを変更しておけば、業務に支障なく安全な運用が可能です。

ネット・バンキングのセキュリティ対策チェック・リスト

上記で説明した「権限設定」の他、インターネット環境やPC利用状況を含めたチェック・リスト(27項目)を作成しましたので、ご関心ある方は末尾の<無料ダウンロード申込>からダウンロードください。

 

<参考>全国銀行協会:「法人向けインターネット・バンキングにおける不正送金にご注意!」のお知らせ

全国銀行協会のページ

 
(公認会計士・公認内部監査人 榎本成一)