不正（横領）と内部統制のシステム化

　近年、企業における不正が増加しているそうです。
　私も、ここ数年の間に、2件ですが、横領等の事案に関与致しました。
　社内調査の初動対応を一部担当したり、上場企業の第三者調査委員会の委員を担当したりしました。

　不正の原因としては、まず、実行者の特異性があります。
　そして一方で、内部管理体制、内部統制が不十分であったことがあります。
　それは、効率性を重視した少人数体制（という普遍的な体制）にも起因しています。
　J-SOX法というものがありますが、やはり、これに対応しても、不正の防止や発見には役立ちません。

　それで、事件が起こり、調査が一通り落ち着きますと、内部統制の見直しが始まります。
　J-SOX法のようなことではなく、不正防止に実効性のある管理体制を構築しよう、となります。
　職務分掌規程や承認規程を見直し、社員に熟読しておくように、そして、何より、これに従って行動せよ、と伝えます。
　啓蒙です。
　社員は、その時は読んでみます。
　しかし、数か月もすれば、何が書いてあったか、忘れてしまいます。
　誰しも忙しく、自分の仕事で手一杯なのです。

　規程があるだけでは意味がない、規程に従った行動があって初めて内部統制が機能するんだ。
　事件が起きた後、しばらくは、そんなムードが続きます。
　しかし、事件のことも、生じた損害も、組織としての反省も、次第に風化して行きます。

　それで、色々なことが元に戻ってゆきます。
　上司には逆らえない、上司がルール、という空気も戻ってきます。
　だから、上司に、「俺が全部やっとくよ」と言われれば、「ありがとうございます、お手数をお掛けして申し訳ないです」となり、職務分掌は、内部統制は、簡単に破壊されます。
　ホットラインは、と言えば、「俺が全部やっとくよ」と言われた程度のことではとても使えません。
　そんな訳で、「俺が仕訳も承認も振込もやっておくから」といって、会社のお金を俺の口座に振り込める状態に戻ってしまうわけです。

　さて、どうしたらよいでしょうか？
　一つの方向として、内部統制をシステム化する、PC等の操作に内部統制を組み込んでゆくことが考えられます。

　例えば、

・起票担当者A：請求書を確認して「仕入/買掛金」を登録
　　↓
・経理部長B：Aの登録内容を承認
　　↓
・出納担当者C：買掛金をファーム（ネット）バンキングで支払

という職務分掌を定めている場合、システム（PC等）の操作上、

・Aしか仕訳を登録できない
・Bしか仕訳に対する承認済みフラグを登録できない
　承認済みフラグがなければ仕訳は帳簿に反映されない
・Cしかファーム（ネット）バンキングは操作できない

　としてしまえば、否応なく職務分掌に従わざるをえなくなります。
　従わないと仕事が全く進まないので、従わざるを得ないのです。

　しかし、ログインパスワードによりシステムがPCを操作している者を認識するのでは、BがパスワードをAとCから拝借すれば、Bが全ての操作を出来てしまいますよね。
　そのリスクがありますから、ここは是非とも厳しくやらなければいけない。
　PCを操作している人間は厳格に特定しないといけない。

　そこで、生体認証です。
　そして更に、AやCにログインさせてから、BがPCを奪い取った場合も想定しなければいけません。
　Bなんて奴は何をするか分かったもんじゃない、何でも乗っ取ってくるかもしれない。
　そこで、ログイン中はずっと生体認証を継続です。
　指紋認証ではキーボードを打てないので、やはり、顔認証です。

　それでも更に、AをPCのカメラの前に座らせて、その背中に隠れながら、Aの脇から手を伸ばして、BがPCを操作してくるかもしれない。
　Bなんて奴はとうてい信用できたもんじゃない、脇の匂い位平気かもしれない。
　そんなリスクがありますから、ここは是非とも厳しくしないといけない。
　そこで、カメラを背後にも設置して、背中認証です。
　もっともっと厳しく徹底していけば、鉄のような内部統制が構築できます。

　内部統制をどこまで厳密に構築するかという議論をすると、「一日中社員を監視しておく訳にはいかないですから」という発言がしばしあります。
　しかし、近い将来には、それも安価に行えてしまうのではないでしょうか。

　しかし、これはこれで、嫌な世の中です。
　システムが常に人間を常に監視しているという、昔のSF小説のような・・・・・。
　小説では、その先には、価値観や倫理観が一変し、こういったシステムの排除を目指す、性善説による運動が起ったりするのですが・・・・・。