最近、法人向けインターネット・バンキングにおける、不正送金の不祥事・被害発生が報じられています。自社(グループ)でも十分な対策ができているか、確認しておくことが大切です。ここでは、監査人として知っておくべき不正送金対策について解説します。
不正送金の2つの分類
| 不正送金の実行者 | 主 な 発 生 原 因 |
| ① 会社内部者 | システム内の権限設定やアクセス制御が不十分であったため |
| ② 会社外部者 | 外部からの不正アクセスの防御が不十分であったため |
ネット・バンキング支払業務を監査していますか?
例えば、現金預金監査が以下にとどまっていませんか?
(1)JSOXで重要3勘定に入っていないので、現金預金は監査していない
(2)銀行の残高証明書や通帳で、期末残高は確認している
(3)拠点にある、現金の実査は実施している(さほど重要な金額ではないけれど。。。)
「ネット・バンキング支払業務は監査対象外」となっている会社は、国内・海外に関係なく一度はチェックしておきたいところです。
少なくとも“権限設定”の妥当性は確認しておきましょう
権限設定の妥当性確認で、特に注意していただきたいのは次の2点です。
- 権限設定が適切であることをシステム画面で確認すること
- 管理者権限が適切な方に付与されていること
①権限設定が適切であることをシステム画面で確認すること
- 職務分離(職務分担)とシステム内での権限設定(設定画面)は、合致していますか?
例えば、以下のようなケース。承認権限を有するBさんに、作成・修正権限も付与されていませんか?
この状況では、Bさんはネットバンキングで、(1)Bさん自ら振込票を作成・承認、(2)Aさんが作成した振込票を修正・承認することで自由に振込を行うことができてしまいます。
この他、共有ID・パスワードで設定・運用されているなど、危険な状況になっていないか、権限設定画面で確認することが監査上、大変重要です。(ヒアリングだけでは監査したことになりません!)
②管理者権限が適切な方に付与されていること
「管理者権限」は、作成・修正権限及び承認権限をシステムで設定できる権限(オールマイティな権限)です。決して、管理者に与えられているからOKというような判断をしてはいけません!
例えば、上記で日常業務で承認を行っている管理者Bさんに管理者権限が与えられていた場合、権限の設定変更を行うことで、容易に不正を行うことが可能になります。
日常業務ではネット・バンキング支払業務に関与しない&預金に総括責任を負う方に管理者権限は付与されるべきです。(中小のグループ会社などでは社長でも構いません)
ネット・バンキングの業務チェック・リスト
上記で説明した「権限設定」の他、インターネット環境やPC利用状況を含めたチェック・リスト(27項目)を作成しましたので、末尾の<無料ダウンロード申込>からダウンロードください。
<参考>全国銀行協会:「法人向けインターネット・バンキングにおける不正送金にご注意!」のお知らせ
ツールダウンロードに関するお問合せ先(メール)
general_qa☆ibridge-jp.com(☆を@に変えてください。)
株式会社iBridge Japan(担当:木村)
⇓ 監査役監査・内部監査に関するツールや情報はコチラ ⇓