« 厚生労働省 電子申請システムで個人情報が流出する恐れのある欠陥を放置? | Main | 経済産業省 「企業ポイントのさらなる発展と活用に向けて」(企業ポイント研究会取りまとめ)を公表 »

2007.07.06

金融庁 「金融検査指摘事例集」等の公表

 こんにちは、丸山満彦です。金融庁が「金融検査指摘事例集(平成18検査事務年度)」を公表していますね。。。金融機関に対するものですが、内部統制の有効性を考える際に非常に役立つ内容だと思います。。。

 
【金融庁】
・2007.07.05 「金融検査指摘事例集」等の公表について

・・金融検査指摘事例集(PDF:716K)
・・意見申出事例集(PDF:432K)

指摘事項等は例えば、こんな感じ・・・

■Ⅰ.経営管理(ガバナンス)態勢-基本的要素-
=====
ⅰ.代表取締役、取締役及び取締役会による経営管理態勢の整備・確立状況
(1) 経営方針・経営計画等の整備・周知

・ 経営計画について、重要事項であるにもかかわらず、設置根拠規程の存在しない全部長等で構成される非公式の会議において審議し実質的に決定しており、取締役会・経営会議においてはほとんど議論することなく形式的に追認するのみとなっている事例。[主要行等及び外国銀行支店]
(2) 代表取締役に対する牽制
・ 取締役会は債権放棄を伴う多額の金融支援等の決定など重要な議案に対し、実質的な議論を行っておらず、代表取締役等に対する牽制機能の発揮が不十分な事例。[地域銀行]
(3) 社外取締役の役割・責任
・ 取締役会への付議基準が不明確であり、期初利益計画及び年間業務計画等の重要案件が常勤役員のみで構成する常務会において決定されているため、社外取締役及び社外監査役の牽制機能の発揮が不十分な事例。[地域銀行]

ⅱ.内部監査態勢の整備・確立状況
(1) 内部監査実施要領の整備

・ 取締役会等は、新規業務の開始に当たり、内部監査部門に対して業務の内容に見合った監査実施要領の見直しを指示していないため、監査項目や監査手法の見直しが適切に行われておらず、当局検査において新規業務に係る種々の問題点が認められる事例。[地域銀行]
(2) 内部監査部門の態勢整備
・ 内部監査について、内部監査部門の担当役員がリスク管理統括部門の担当役員を兼務していることなどから、リスク管理の状況等について客観的な立場から検証する態勢が不十分な事例。[主要行等及び外国銀行支店]
(3) 内部監査の実施
・ 内部監査部門は、内部監査計画において抜き打ち監査を原則としているにもかかわらず、本部各部を担当する理事等で構成される常勤役員会において、監査対象部門、時期及び具体的な監査項目を決定しており、内部監査の実効性が不十分なものとなっている事例。[信用金庫及び信用組合]
・ 内部監査部門が、監査結果の分析を行っておらず、各業務部門や営業店に対して還元していないことから、同様の問題点が多数の営業店で繰り返し発生している事例。[信用金庫及び信用組合]
(4) フォローアップ態勢
・ 監査成績不良店に対するフォローアップが不十分であることから、監査で指摘を受けて間がないにもかかわらず、同一営業店で同種の問題が再発している事例。[地域銀行]

ⅲ.監査役・監査役会による監査態勢の整備・確立状況
(1) 独立性の確保

・ 常務会において、融資増強を目的とした営業店への臨店指導を常勤監事に対しても割り当てており、当該監事が担当営業店と融資推進に向けた今後の方策を協議しているなど、監事の業務遂行上の独立性が確保されていない事例。[信用金庫及び信用組合]
(2) 子会社に対する調査
・ 監査役監査については、取締役会へ営業店往査結果を報告していないほか、子会社への調査を実施していないなど監査役の機能発揮が不十分な事例。[地域銀行]
(3) 取締役会等への出席等
・ 監査役については、内部規程において、常務会等重要会議に出席して必要に応じ意見を述べる旨規定されているものの、監査役がその職責を理解していないことから、常務会等重要会議に出席しておらず、議事録の閲覧も行っていない事例が認められるなど、経営陣に対する牽制機能の発揮が不十分な事例。[地域銀行]

ⅳ.外部監査態勢の整備・確立
(1) 改善及びフォローアップ

・ 外部監査の指摘事項に対する対応状況については、指摘を受けた担当部署による個別対応となっているほか、担当部署から常務会等に対し対応状況等に係る報告が行われていないなど、経営陣が外部監査の活用状況を確認する態勢が構築されていない事例。[地域銀行]
=====


システムリスク管理態勢
=====
ⅰ.経営陣によるシステムリスク管理態勢の整備・確立状況
(1) 取締役の役割・責任

・ 経営陣は、システム障害の発生を受けて原因究明を指示したものの、事務面やコンティンジェンシープランの十分性等の管理態勢の検証も行わないまま、拙速に原因不明を理由に指示を取り下げており、何ら再発防止策が講じられておらず、重大なシステムリスクを放置している事例。[主要行等及び外国銀行支店]
(2) システムリスク管理方針の整備・周知
・ 経営陣は、セキュリティポリシーに規定すべき内容に係る理解が不足していることから、保護されるべき情報資産や保護すべき理由等を定めていないなど、不適切なものとなっている事例。[地域銀行]

ⅱ.管理者によるシステムリスク管理態勢の整備・確立状況
(1) システムリスク管理規程の内容

・ 管理者は、システムリスク管理規程においてシステムリスク管理の状況の評価方法等を定めていないほか、システムリスクに係る安全対策基準を具体化していないことから、各システムのリスク評価が不十分なものとなっている事例。[地域銀行]
(2) システムリスクの状況等のモニタリング
・ システムリスク管理部門は、各部が運用する部門サーバーの管理について適切なモニタリングや指導を行っていないことから、データファイルの管理やバックアップの確保、監視体制の整備が行われていない事例。[地域銀行]

ⅲ.個別の問題点
(1) 情報セキュリティ管理

・ 情報セキュリティ管理者は、情報資産の管理状況の点検結果を踏まえた対応策や計画を策定していないほか、コンピュータセンターに設置している顧客情報等の照会が可能な営業店端末に対してアクセス制限等によるセキュリティ対策を講じていない事例。[地域銀行]
(2) データ管理者の役割・責任
・ 前回検査においてシステムにおけるユーザーID及びパスワードの管理が不十分である旨の指摘を受けているにもかかわらず、依然として長期間未使用のユーザーID及び長期間変更されていないパスワードが認められる事例。[主要行等及び外国銀行支店]
(3) ネットワーク管理者の役割・責任
・ ネットワーク管理者は、サーバー内の顧客データを登録している共有ファイルについて、アクセス権限の設定等による管理をしていないことから、全職員のパソコンから閲覧可能となっており、情報管理に徹底を欠いている事例。[信用金庫及び信用組合]
(4) 不正使用防止
・ 端末機の外部接続に係る制限事項等が職員に周知されていないことから、職員によるインターネットサイトへの不適切なアクセスにより金銭の支払請求を受けている事例。[信用金庫及び信用組合]
(5) コンピュータウィルス等
・ 営業店において、本部サーバーを通じ外部との接続が可能になったにもかかわらず、コンピュータウィルスの侵入を防止するための方策が講じられなかったことから、営業店のパソコンにスパイウェアが侵入している事例。[信用金庫及び信用組合]
(6) 偽造・盗難キャッシュカード対策
・ 偽造・盗難キャッシュカード事件発生時の対応について、カードのスキミングによる不正引出事件への対応措置が速やかに行われていない事例。[地域銀行]
(7) システム企画・開発態勢
・ システム開発の進捗状況に係る経営陣への報告については、年1回にとどまっているほか、直近の報告時には、開発項目の一部に1ヶ月超の遅れがあるにもかかわらず、「概ね計画どおり進捗」と報告するなど正確に報告されておらず、経営陣が進捗状況を適切に把握できない事例。[主要行等及び外国銀行支店]
(8) システム障害の管理
・ システム障害への対応については、システムリスク管理部門が障害報告書を作成することとしているが、明確な作成基準がないことから、部門長が軽微と判断した障害や営業店で復旧した障害については、ATMの停止など顧客に影響を及ぼす障害であっても報告書は作成されず、取締役会にも報告されないなど、障害の原因分析や再発防止策の検討が適切に行われる態勢となっていない事例。[地域銀行]
(9) コンピュータ犯罪防止策
・ インターネットを経由した不正プログラム侵入の防止策については、セキュリティスタンダードに反し、ファイアウォール等のセキュリティ対策を講じることなく、インターネットに接続しているパソコンを行内ネットワークに接続している事例。[地域銀行]
(10)コンティンジェンシープランの策定
・ コンティンジェンシープランについては、オンライン稼働中など被災のタイミングに応じたシナリオが想定されていないうえ、消失した取引データの具体的な復元手順が定められていないなど、実効性のあるプランとなっていない事例。[地域銀行]
(11)防災対策・バックアップ
・ 災害発生時等に備えた対応については、バックアップセンターの使用に係る契約を正式に締結していないため、有事の際に確実に使用できるものとなっていないほか、事務センターのコンピュータ室に設置されている各種サーバーなど多数の重要機器が床面に固定されておらず不十分なものとなっている事例。[地域銀行]
=====

■過去分等もまとめて・・・

 

プレスリリース

金融検査指摘
事例集

意見申出
事例集

平成18検査事務年度

2007.07.05

PDF716K

PDF432K

平成17検査事務年度

2006.07.05

PDF454K

PDF335K

平成16検査事務年度

2005.07.27

PDF384K

PDF291K



【過去の今日】
・2006.07.06 JIPDEC 外部委託におけるISMS適合性評価制度の活用ガイド
・2005.07.06 セキュリティ投資を考える(4) セキュリティ対策の定石


|

« 厚生労働省 電子申請システムで個人情報が流出する恐れのある欠陥を放置? | Main | 経済産業省 「企業ポイントのさらなる発展と活用に向けて」(企業ポイント研究会取りまとめ)を公表 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 金融庁 「金融検査指摘事例集」等の公表:

« 厚生労働省 電子申請システムで個人情報が流出する恐れのある欠陥を放置? | Main | 経済産業省 「企業ポイントのさらなる発展と活用に向けて」(企業ポイント研究会取りまとめ)を公表 »