« Deloitte 2010 Financial industory Global Security study | Main | JICPA IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正 »

2010.06.12

権限者の不正には発見的統制が「超」重要(高槻市の事例:生活保護費1000万円不明)

 こんにちは、丸山満彦です。高槻市で生活保護費を管理する電算システムが不正に操作され、保護費1000万円が不正に受給されたようです。不正といっても、架空とみられる29世帯に対してシステム操作をして保護費を受給したようです。つまり、技術的に難しいことをしたというよりも、端末を操作して架空の世帯に保護費を受給したということだと思います。
 不正な端末操作をしたと思われる人は、生活福祉課の課長で、定年退職後に副主幹として再任用されたかtのようです。少なくとも2005年からシステム管理者だったようです。

で今回の話は2点

権限者の不正に関しては発見的統制が重要
性善説・性悪説の単純理論は無意味なので忘れることが重要(それよりも、不正のトライアングルが重要)

 いわゆるJ-SOX対応で特権ユーザーの管理を監査人に指摘されて閉口している人も多いと思いますが、特権ユーザーの管理は重要です。というか、管理権限のある人の不正な権限行使を監視することが重要なんです。
 特権ユーザーはその権限の範囲が非常に広範にわたり影響も大きいことからリスクが高いと判断され、監査人もいろいろというわけです。したがって、「特権ユーザーの管理だけをちゃんとしたらいいんですよね」、という単純な話ではありません。

 
 報道されていることが事実であれば、今回の事件のように一般的なユーザー権限の人であっても、お金に絡むところでは不正が起こりやすいことから、コントロールの強化が必要です。特に権限者の不正の防止には発見的な統制が重要です。
 保護費の受給プロセスでも事前の承認プロセスがあったと思います。でも、結局システム課長が受給システムの入力ができるという権限を利用して不正をしてしまうわけです。事前の承認プロセスは機能していません。
 なので、発見的統制が必要です。今回はたまたま見つかったのでしょう。システム課長が不正入力をしたことを発見できる仕組みはなかったわけです。
 なので、発見的コントロールは必須です。多数のプロセスがある中で効率かつ有効な発見的コントロールを実装するためには、ITの活用は不可欠です。ログ管理ツールやデータ監査的な仕組みが必要です。これは絶対に検討すべき問題だと思います。

 次に、性善説、性悪説という話をしている限り、適切な不正対策はできません。不正のトライアングルといわれるように、①不正を起こす動機、②不正を起こせる環境、③不正を実施することについての正当化の3つがそろえば不正が起こるといわれています。
 まずは、不正を起こせない環境を整備することが重要です。おもに予防的コントロールを実装することが重要となります。その上で、不正を起こしてもばれる、つまり発見的コントロールを実装して、不正を起こす動機を抑止します。。。

 理屈は実に単純なことです。理屈どおりにいかないのは、人間の問題ですかね。。。

●読売新聞
・2010.06.11 大阪・高槻市職員が生活保護費を不適切処理…数十万円が不明
=====
・・・
同市によると、副主幹は調査に対し、「緊急で必要とする生活保護対象者に窓口で手渡した。私的に使っていない」と説明。現金は自分で保管していたという。
 しかし、現金を渡したとされる人物は確認できず、同市は説明は不自然として、副主幹の処分を検討するとともに、告訴も視野に府警に相談している。同課の別の職員が5月下旬、保護費の支給手続き中に、実在しない市民に支給されていることに気づいた。
=====

●産経新聞
・2010.06.11 生活保護費で使途不明金 大阪・高槻
=====
・・・
市によると、副主幹は廃止された受給者番号に架空の情報を入力し、長期入院患者の生活保護受給者を捏造(ねつぞう)。退院時の新居のための敷金や布団代などの生活保護費を市に支出させたとみられる。
 今年5月、平成18年度からの4年間で少なくとも29世帯のデータが消されていたことを判明。当時、システム管理権限者だった副主幹に事情を聴いたところ、不正操作を認めた。
 市によると、副主幹は今年3月末で退職、再任用されていた。副主幹は「不適切な処理は認識していたが、重大とは考えていなかった。返済するつもりだ」と話しているという。
=====

●時事通信
・2010.06.11 高槻市職員、生活保護費着服か=データ改ざん、1000万円以上-大阪

●47NEWS
・2010.06.11 生活保護費を不正支出か 虚偽入力、大阪府高槻市
=====
・・・
 不正とみられる支出の多くは、「敷金等」「布団代」など長期入院から退院した受給者への住宅補助費の体裁をとっていた。少なくとも29世帯を対象にしており、受取人が架空のものもあった。
 受給者データの一部が電子システム上から消えているのを同課職員が見つけ、今年5月中旬に上司に報告し発覚した。
=====


|

« Deloitte 2010 Financial industory Global Security study | Main | JICPA IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正 »

Comments

ご無沙汰しております。内部監査人見習いです。
高槻市在住の私としては、とても気になる記事でした。

「不正のトライアングル」を踏まえた、”発見的統制”の重要性を強く感じたのですが、
「今回はたまたま見つかったのでしょう」とのこと。
たまたま見つかるとき、というのは、何か一定の条件のようなものがあるのでしょうか。
先日、協会資料「上場会社の不正調査に関する公表事例の分析」には、
①会計監査人等からの指摘
②社内監査等による発見
が、不正発覚の発端の主要なものとして記載されていたのですが…。

情報セキュリティ監査の実施を控え、本ブログがますます気になる今日この頃です。
今後とも、よろしくお願いいたします。

Posted by: 内部監査人見習い | 2010.06.14 at 10:07

内部監査人見習いさん、コメントありがとうございます。
 結局、やるべきことは、いろいろなところで言われ続けているのですが、それをしていない。つまり、怠慢なんですよ。
 組織内のもろもろが、、、とかあるんでしょうけれども、文句ばかりいって行動しないというのも結局、怠慢の一種でしょうね。問題が起こってからあわてても遅いんですよね。
 厳しい言い方かもしれませんが、放置している、つまり怠慢というのも同罪でしょうね。。。
 おそらく同じような話は別の部署でもあるかもしれないし、今後再発しないとも限りません。
 組織全体で改革しない限り、再発しますよ。。。

Posted by: 丸山満彦 | 2010.06.18 at 17:51

おはようございます。
返信コメント、ありがとうございました。

コメントを拝見し、自分の姿勢に不足している点を改めて気づかされました。
分析結果の資料を読んだり、他社事例を読み込んだり、という行為は、
あくまで「入り口」「きっかけ」で、
いかに当事者意識をもって目の前の課題に主体的に取り組んでいくか、が大切なのだ、と思い至りました。

今日からフンドシを締め直して取り組み直したいと思います。
今後とも、よろしくお願いいたします。

Posted by: 内部監査人見習い | 2010.06.21 at 10:00

内部監査人見習いさん、コメントありがとうございます。

ふっと力を抜いて、冷静に対応することが重要だと感じています。
会社の内部統制は政治的にゆがめられていることがあるのが通常で、ベストの状態ではないけども、なんとか回っている。
 ただ、抑えるべき「つぼ」は押さえておかないと今回のような事件につながります。
 「つぼ」というのが、まさに「キーコントロール」なんですが。。。

Posted by: 丸山満彦 | 2010.06.22 at 07:32

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/48606913

Listed below are links to weblogs that reference 権限者の不正には発見的統制が「超」重要(高槻市の事例:生活保護費1000万円不明):

« Deloitte 2010 Financial industory Global Security study | Main | JICPA IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正 »