« システム監査小論文執筆の心構えについて | メイン | 2006年4月16日 2006(平成18)年度システム監査技術者試験
解答速報目次 »

2006年4月 2日

システム監査試験、直前対策は基本に返れ!

経営と内部統制

 意外にこんな問題が出題される可能性が強いと考えています。平凡ですが無視できない問題です。
朝日新聞記事から「監視責任者情報盗む」

 朝日新聞を読んでいたら次のようなことが書かれていました。NTTデータの派遣社員、田中守容疑者が 派遣先の仙台銀行の顧客17人分のローンカードの暗証番号を盗み、偽造カードを作成し3100万円をATMから 引き出したそうです。田中容疑者はNTTデータのコンピュータセンターに勤務していた監視責任者であり、 出力プログラムを改ざんして暗証番号を含むローンカードデータを印字しカード偽造を行ったようです。
上司には「プログラム改善作業中」と嘘の報告をした上で、入退室記録を指紋で行っていたようですが、 そのデータも改ざんしていました。
 NTTデータは地方銀行の勘定系システムでシェアが高く、銀行システムのアウトソーシング先として有名で その結果として業績を伸ばしてきた経緯があります。今回の事故でNTTデータに対する信頼が低下することが 予想されます。

問題点の整理

 この事件の問題点を整理すると次のとおりとなります。

  1. コンピュータのセキュリティシステムは機能していた(ITの不備ではない)
  2. 上司は十分キャリアのある人材の派遣を受けて、監視業務を担当させていた
  3. 上司は偽りの報告を信用して業務を任せていた
  4. 田中容疑者は会社や上司の信頼を裏切って犯罪行為を行った
  5. しかし、結果として会社も信用を失い、組織的に上司も責任を問われることになろう
  6. しかし、組織業務はもともと人を信用しなければ成り立たないものである

 ポイントは①ITではなく人の問題であること、②組織は人を信用しなければ仕事は進められないこと、 ③にもかかわらず、一端、事件が起こると組織も上司も責任が問われること。


コントロールの何が欠けていたのか

 恐らく、上司の不運を認めつつ、次のようなセキュリティコントロールが不足していたため、 今回の事件が発生したものと思われます。

コントロールの不備
  1. カード作成が権限者であっても1人で作成できるルール、仕組みだったことが問題
  2. 田中容疑者の報告を鵜呑みにしていて、定期的点検を怠ったのではないか
  3. オペレータとプログラム改定者が同一人物だったのが問題

 人材不足の中小企業ではよくあることですが、大企業でオペレータとプログラマが同一人物という点に 疑問をもちました。

内部統制コントロールのあるべき姿

 上記の教訓を踏まえて、本件のあるべき姿を申し述べます

  1. カードデータの作成、更新作業は複数の人間で実施すべき(内部統制 internal control)
  2. システムの定期的点検(本番データの改ざんの点検)
  3. オペレータとプログラム改定者が同一人物であってはならない(職務の分離)
重要なことは

 整理していて気がついたことは、当たり前のコントロールができていなかったということです。 繰り返して言います。以下の点は旧制度の試験前からいわれていた重要なコントロールです

  • 内部統制(あるいは、内部けん制)
  • 定期的点検
  • 職務の分離

 直前対策、奇をてらうより基本に返れ!です。

※参考:朝日新聞2006年3月29日号NTTデータ「監視責任者情報盗む」

※(c)(有)アイ・リンク・コンサルタント 加藤忠宏




投稿者 kato : 2006年4月 2日 16:53