【ネット時評 : 内田勝也(情報セキュリティ大学院大学)】
内部統制、過去の教訓は生きるか

uchida02.jpg
 
歴史は繰り返す
 
 米国の大手銀行では、80年代の始めに内部統制部門が発足した。米国銀行には監査部門(Audit Department)があり、監査を実施していたので、「さらに内部統制部門(Management Internal Control Department)を作るなんて屋上屋ではないか」との意見も一部にはあった。だが監査部門が主要支店の監査を実施するのは、1年に1回程度であり、業務監査を全ての部門に対して行うことは現実問題として不可能だ。内部統制部門により、支店の業務監査を隅々まで行うことができるのであれば望ましい、という考えがあった。

 もっとも後になって、こんな話も聞いた。日本で発生した「ロッキード事件」を契機に金融機関のあり方を考え、米国連銀の指導により大手銀行で内部統制部門が発足したというのが実情だと言うのだ。そういえば日本では、元首相や関係商社の役員等が逮捕されたりしたが、金融機関等の組織のあり方についてはなんら議論がなかった。

 2000年前後に発覚したエンロン、ワールドコムなどの会計不正事件により、2002年7月に米国では、企業改革法(SOX法:Sarbanes‐Oxley act)が成立した。

 日本でも企業の不正会計処理が公になり、2006年6月に金融商品取引法が成立。日本版SOX法ともいわれる条項に関しては2008年4月から適用されることになった。法律は制定されたものの、細則はこれからだが。

金融犯罪

 米国のSOX法も日本の金融商品取引法も、企業における不正会計処理が発端となった。不正といえば、米系銀行にいたこともある筆者としては、1995年に発覚した「大和銀行巨額損失事件」を思い出さずにはいられない。

 事件の詳細は米国司法当局に逮捕された本人が書いた「告白」(文春文庫)にあるが、内部統制ができていないことに尽きる。

 債券ディーラーが起こした事件であるが、取引では必ず相手がいる。監査を行う場合、取引先に銀行内の取引記録を送付し、正しいかを確認して貰い、署名した取引記録を必ず監査人に返送依頼をしている。

 当時の大和銀行では、債券ディーラーが取引とその事務処理も行っており、銀行内の取引記録を調査して監査も行っていた。犯人に「悪いことをしていないか?」と聞いているようなもので、不正を発見できないのは当然であろう。

 さすがに最近の国内の銀行ではディーリング部門などでの不祥事は減っているようだが、支店での不祥事として、大手行で約10億円の着服が2005年8月に発覚している。犯人は子会社からの派遣社員で、12年間にわたり着服を行っていた。

 支店の内部管理体制は、少し前までは行員の異動を中心に考えられていた。しかし派遣社員が多くなった今日、行員の異動では対応できないのはこの事件が示している。

監査以前?

 わが国では「監査」でなく、「検査」が行われてきたのではないだろうか。監査と検査の相違について、先端内部監査研究会著「これが金融機関の内部監査だ」(金融財政事情研究会)では下記のようにまとめている。
 
---------------------------------------------------
検査:決められた規則に基づいて事務手続きが行われている
    かどうかをチェックする
監査:規則自体がリスクを防ぎ、内部統制上、望ましい内容か
    どうかチェックする
---------------------------------------------------

 時間や環境の変化で、規則や基準は有効でなくなることがある。20年前に使っていたシリンダー錠は、現在では玄関の鍵としては不適切であろう。シリンダー錠の機能は、20年前と今と何等変わりがない。しかし、従来のシリンダー錠を10秒足らずで開け、犯行を行う者が増えている。環境が変われば、対応も変えざるを得ないのは当然だ。それなのに企業の内部統制では10年、いや、20年一日の如く対応しているケースが見受けられる。

 100%完全な仕組みを構築する前提での対応であれば、検査でも問題はない。だが100%完璧な仕組みを構築できない以上、監査を考える必要がある。

内部統制、これまでの事件・事故に学べ

 米国SOX法では、平均的な対応費用は毎年750万ドル(約8億円)程度必要であり、多額の収入を得ることができたとある米国のコンサルタントが言っていた。

 国内でも色々なことが言われているが、どのような内部統制を行う仕組みを考えるかが肝心である。少なくとも情報システムを導入すれば問題なし、とはならないはずだ。

 全ての役員・従業員を含めた仕組み作りが大切なことは言うまでもない。そのときに、過去の事件・事故から学ぶことが多いのではないかと考えるのは筆者だけだろうか。

参考文献
・ 井口俊英「告白」文春文庫
・ 先端内部監査研究会「これが金融機関の内部監査だ」金融財政事情研究会

<筆者紹介>内田勝也(うちだ・かつや)情報セキュリティ大学院大学助教授 兼 中央大学研究開発機構助教授
電気通信大学経営工学科卒。オフコンディーラーにてシステム開発、ユーザー支援等を担当、在日外国銀行でシステム監査、ファームバンキング技術支援などを担当後、大手損害保険会社にてコンピューター包括保険導入プロジェクト、情報セキュリティー調査研究等に従事。中央大学にて、「ネットワークセキュリティー」(修士課程)講師、情報セキュリティー人材育成プロジェクトの推進、21世紀COEにて事業推進担当等。情報セキュリティ大学院大学では、情報セキュリティマネジメントシステム、セキュアシステム実習を講義。 Computer Security Institute(CSI、本部:米国)会員、情報処理学会会員、ISMS審査登録機関 審査判定委員会委員長。

<関連リンク>
内田氏のホームページ
http://www2.gol.com/users/uchidak/
 

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/144

コメント一覧

メニュー