金融機関のITガバナンスの構築は社会的な責任である
横浜銀行のATMから利用客のデータを取得し、カードを偽造したうえで40口座(最大132口座)から計2600万円余りを引き出した犯人が逮捕されたそうです。犯人は横浜銀行のシステム保守管理を再委託されていた上場会社の部長級幹部社員とのこと。外部からの侵入ではなく、管理を担当する内部者(管理受託者)がデータを不正取得した、ということは、まさに銀行の管理責任が問われるものであり、平成25事務年度の金融モニタリング基本方針の中で問われている「ITガバナンス」の課題です。
ところで、先週土曜日(2月1日)に、東証1部上場の情報システム会社の元社長さんから、システム開発に関するお話を、1時間ばかりお聞きする機会がありました。その方は、若いころに銀行のATM開発に自ら携わった経験をお持ちの方です。最近はSE(システムエンジニア)の高齢化が進み、製品の販売サイクルの短期化と過酷な労働条件の中で、若いエンジニアが育たないといったお話でした。
私が「そもそもSEの技術は若い方に伝承されないのですか?」とお聞きしたところ、今のSEの方々の中で伝承すべき技術というものはない、との返答でした。というのは、今のSEにとっては開発スキルは二の次で、大切なのは「選ぶ力」だそうです。ユーザーの希望を聞いて、どういったシステムを選ぶのか、どういった最先端の技術を選ぶのかということのほうが重要とのこと。また、分業化が大切だそうで、ユーザーに近いところの「事務系SE」と開発に近いところの「技術系SE」とで役割分担を進めなければユーザーの希望をうまくシステム開発につなげることが困難だそうです。つまり技術は「属人性」が強いものであるために、おそらくブラックボックス化してしまい、開発担当者それぞれの責任は希薄化するのかもしれません。
金融機関のITガバナンスについても、金融機関側だけに責任を求めるのではなく、委託先、再委託先との間で、できるだけ少しずつリスク回避のための責任を分担することが効果の面において現実的ではないでしょうか。今回の事件の再委託先企業は、すでに「再発防止策を講じている」とのことですが、委託先にダブルチェックや権限分掌などの万全の不正予防体制を求めるのは厳しすぎるるように思います。そこで、金融機関には「通訳」に近い立場のSEが存在し、ダブルチェックとまでは言えないかもしれませんが、再委託先による不正を監視する立場の方が必要かと。
銀行側としては、まさに「ITガバナンス」の構築であり、担当者任せにしないことです。システム開発担当の銀行員というのは、中途採用の方も多いと思うのですが、(前職との関係で)委託先もしくはコンサルタント会社と不適切な関係でシステム開発を進めてしまったり、そもそも不必要に高額な契約を締結していないかどうか、本当に銀行の利益を最優先で開発がすすめられているのかどうか、きちんと把握しておく必要があります。こういったことを銀行側が把握するためにも、信頼のおける「通訳」の役割を担う方が、銀行側に求められるのではないでしょうか。
とりわけATMはいくら銀行の所有物とはいえ、もはや社会インフラであり、機能不全はまさに金融の信用を毀損することになります。銀行の社会的責任として、真っ先に取り組むべき信用リスク管理のひとつです。経営者自身が取り組まなければならない理由は、そこにあると思っています。
もちろんブラックボックスがすべてクリアにできるわけではありません。しかし粉飾事件が、取引先詐欺や贈賄、脱税など、そもそも経営者の「制度会計軽視につながるような遵法精神の欠如」に由来する場合が多いのと同じように、委託先社員の不正というものも、委託先との信頼関係のどこかにその予兆が出ていることがあります。そういった予兆を発見するには、個別のシステム管理や開発契約を進める上での信頼関係が構築されているかどうか、平時から「通訳」を介してチェックを行い、少しでも違和感を覚えたら、深度ある調査に移行する・・・ということから、ブラックボックスを少しずつ埋めていくことが必要ではないでしょうか。
| 固定リンク
コメント
伝承すべきSEの技術は無い、という発言がどのようなニュアンスなのか、少しわからないところはありますが、直感的にはなんか違うような気がします。
組織体制を構築し、プロジェクトや開発の標準を定め、役割分担をしてその通り行動するよう教育して、それに従って粛々と進めればうまく行く、というかそうしないと大規模プロジェクトやシステム保守はうまく出来ないだろうというのは理解できますが、その中で人がどのように考え、どのように行動、判断するかなど、経験から伝承すべきものはあるんじゃないかと思いました。
そういうものがないと、評判の高い企業が集まって行った大規模マンション建設で穴を空け忘れるような大失態が起こる結果になるのではないかと、直感したのですが、いかがなものでしょうか。
投稿: 通りすがりの内部監査人 | 2014年2月 6日 (木) 10時26分
本件事案、金融機関に限らずすべての会社に関わる3つの論点を孕んでいると個人的には考えています。
①委託会社で発生した不正事案であること。
②(おそらく)特権ユーザーによる不正事案であること。
③IT関与部門で発生した不正事案であること。
①ITに限らず、給与計算、退職給付計算、場合によっては仕訳入力など業務委託(アウト・ソーシングやシェアード・サービス)を利用するケースは多いと思います。会計監査人に「退職給付計算は問題ないですか」と聞かれたとき「専門会社に委託していますので大丈夫です」と答えたところ、「専門業者だから問題ないと言い切れるのですか」と言われ、どないせいゆうねんとグーの音も出なかったことを思い出します。ましてや、委託の委託の…であることすら知らなかったのであれば、リスクをまったく感じていなかったのか!?とも思えてしまいます。委託業務が適切に行われていることをどう担保して対外的に説明できるか、再確認する必要があると考えます。
②システムは権限設定をして適切な人が適切なシステムしか使わないようにするものですが、システム部門の限られた人間には、メンテナンスやトラブル対応の必要からすべての権限を有するユーザー(特権ユーザー)を決めざるを得ないといいます。「機会」を有する特権ユーザーが「動機」「正当化」の誘惑に負ければ不正に走るという可能性は高いでしょうから(当然品位公正な方が95%なのでしょうが)コントロールやモニタリングを何もしない、というのは危険極まりないと思います(私は「ログを見る」という言葉をここで初めて知りました)。
③ITについては、プログラムの作成やシステムの対価の妥当性はSEさんのような方でないと難しいとは思いますが、システム監査自体は必ずしもプログラムや機械語を理解していないと監査ができないということではない、ようです。実際、国家資格(経産省)である情報処理資格者試験の1つ「システム監査技術者」試験でプログラム言語が出てくることはほぼない、ようです。「計算シートが適切に計算しているか」確かめるときに、「計算式が適切に設定されているか検証する」や「再計算を行う」ということはやりますが、Excelのプログラム言語自体を見てプログラムが妥当か検証するということは言われてみればやりません(できたら高い心象は得られるのでしょうが、労力を考えると…)。ITだから、って、食わず嫌いになっていないでしょうか。
…と、言ってしまえば一般的なことなのかもしれませんが、今回、一般的なことが「穴」となっていたことを「金融機関特有の事情」と考えず、自社はどうかを再検証するきっかけにしたいと考えています。
投稿: 会計利樹 | 2014年2月 6日 (木) 20時39分
>大規模マンション建設で穴を空け忘れるような大失態が起こる結果になるのではないかと、直感したのですが
+ この事例は、性質が少し違うと思います。すなわち、鹿島建設ー関電工などでは、この作業は「ルーチンワーク」であるので、今回の事件は、いわゆる「業界では想定外」である。ただし、業界の常識では、重大な潜在リスクとして、発見・手直しが大幅に遅れて、建造物がほぼ完成した時点では、解体など巨額の直接コストや販売機会ロスなどの間接コストが想定される。
投稿: snowbees | 2014年2月 8日 (土) 06時14分