不正(横領)と内部統制のシステム化
近年、企業における不正が増加しているそうです。
私も、ここ数年の間に、2件ですが、横領等の事案に関与致しました。
社内調査の初動対応を一部担当したり、上場企業の第三者調査委員会の委員を担当したりしました。
不正の原因としては、まず、実行者の特異性があります。
そして一方で、内部管理体制、内部統制が不十分であったことがあります。
それは、効率性を重視した少人数体制(という普遍的な体制)にも起因しています。
J-SOX法というものがありますが、やはり、これに対応しても、不正の防止や発見には役立ちません。
それで、事件が起こり、調査が一通り落ち着きますと、内部統制の見直しが始まります。
J-SOX法のようなことではなく、不正防止に実効性のある管理体制を構築しよう、となります。
職務分掌規程や承認規程を見直し、社員に熟読しておくように、そして、何より、これに従って行動せよ、と伝えます。
啓蒙です。
社員は、その時は読んでみます。
しかし、数か月もすれば、何が書いてあったか、忘れてしまいます。
誰しも忙しく、自分の仕事で手一杯なのです。
規程があるだけでは意味がない、規程に従った行動があって初めて内部統制が機能するんだ。
事件が起きた後、しばらくは、そんなムードが続きます。
しかし、事件のことも、生じた損害も、組織としての反省も、次第に風化して行きます。
それで、色々なことが元に戻ってゆきます。
上司には逆らえない、上司がルール、という空気も戻ってきます。
だから、上司に、「俺が全部やっとくよ」と言われれば、「ありがとうございます、お手数をお掛けして申し訳ないです」となり、職務分掌は、内部統制は、簡単に破壊されます。
ホットラインは、と言えば、「俺が全部やっとくよ」と言われた程度のことではとても使えません。
そんな訳で、「俺が仕訳も承認も振込もやっておくから」といって、会社のお金を俺の口座に振り込める状態に戻ってしまうわけです。
さて、どうしたらよいでしょうか?
一つの方向として、内部統制をシステム化する、PC等の操作に内部統制を組み込んでゆくことが考えられます。
例えば、
・起票担当者A:請求書を確認して「仕入/買掛金」を登録
↓
・経理部長B:Aの登録内容を承認
↓
・出納担当者C:買掛金をファーム(ネット)バンキングで支払
という職務分掌を定めている場合、システム(PC等)の操作上、
・Aしか仕訳を登録できない
・Bしか仕訳に対する承認済みフラグを登録できない
承認済みフラグがなければ仕訳は帳簿に反映されない
・Cしかファーム(ネット)バンキングは操作できない
としてしまえば、否応なく職務分掌に従わざるをえなくなります。
従わないと仕事が全く進まないので、従わざるを得ないのです。
しかし、ログインパスワードによりシステムがPCを操作している者を認識するのでは、BがパスワードをAとCから拝借すれば、Bが全ての操作を出来てしまいますよね。
そのリスクがありますから、ここは是非とも厳しくやらなければいけない。
PCを操作している人間は厳格に特定しないといけない。
そこで、生体認証です。
そして更に、AやCにログインさせてから、BがPCを奪い取った場合も想定しなければいけません。
Bなんて奴は何をするか分かったもんじゃない、何でも乗っ取ってくるかもしれない。
そこで、ログイン中はずっと生体認証を継続です。
指紋認証ではキーボードを打てないので、やはり、顔認証です。
それでも更に、AをPCのカメラの前に座らせて、その背中に隠れながら、Aの脇から手を伸ばして、BがPCを操作してくるかもしれない。
Bなんて奴はとうてい信用できたもんじゃない、脇の匂い位平気かもしれない。
そんなリスクがありますから、ここは是非とも厳しくしないといけない。
そこで、カメラを背後にも設置して、背中認証です。
もっともっと厳しく徹底していけば、鉄のような内部統制が構築できます。
内部統制をどこまで厳密に構築するかという議論をすると、「一日中社員を監視しておく訳にはいかないですから」という発言がしばしあります。
しかし、近い将来には、それも安価に行えてしまうのではないでしょうか。
しかし、これはこれで、嫌な世の中です。
システムが常に人間を常に監視しているという、昔のSF小説のような・・・・・。
小説では、その先には、価値観や倫理観が一変し、こういったシステムの排除を目指す、性善説による運動が起ったりするのですが・・・・・。