給付金誤送金って、誰が考えても防げたのに。。。

　2022年4月8日、山口県阿武町にて日本中を席巻する大きな事件が発生しました。
　タイトルでも軽く触れている「新型コロナ給付金誤送金」です。
　事件の詳細については、最近までテレビやネットニュース等で報じられていたため、ここでは割愛をしますが、町役場の担当者（新人であったと報じられています）が1人で振り込みを実施したところ、463世帯分の給付金を1人の口座に全額振り込んでしまったというものでした。
　この騒ぎが報じられた当初は、この振り込まれた名義人が「使いきってしまったので返金できない」ということで、大きな反響を呼びましたが、しばらく経ってから、誤って振り込んでしまった阿武町役場の運用体制にフォーカスが当たりました。冒頭にも書いた通り、新人の振込担当者が1人で振込処理を行なったということで、「上司はダブルチェックしていなかったのか？」と総ツッコミが入りました。

上場企業だったら、あり得ないミス

　多額の給付金を振り込まれた名義人についてはマスコミやネットにて色々と言われているのでここでは言及を避けたいと思います。（IT業界の中の人である筆者の個人的な意見はここでは申し上げられません）
　しかし、給付金の振込を行なった町役場の運用体制については、イチ社会人としても首をかしげざるを得ません。多額の給付金の振込を、新人の振込担当者1名で行っていた事実は、役場という公的機関ではなく上場会社に置き換えた場合は「リスク管理不足」、「内部統制の不備」という重い言葉にて断罪されます。
　筆者は10年以上前に、アメリカの上場企業会計改革および投資家保護法、いわゆるSOX法の日本版『J-SOX法』が日本国内企業に適用される前に、J-SOX法コンサルティングのお手伝いをしたことがありました。
　J-SOX法の対応内容などを書き始めると膨大な論文になってしまうので、ここでは今回の「新型コロナ給付金誤送金」事件と照らし合わせて、問題点を2つ挙げてみます。

1.リスクの評価と対応が全くできていない（と、思われる）

 　内部統制において、6つの構成要素が定義されており、その中に「リスクの評価と対応」というものがあります。これはリスクを識別・分析・評価し、リスクへの適切な対応を行なう、というものです。
　弊社も上場企業であるためリスク識別、分析を適宜行ない、定期的なリスク評価を実施しています。またお客様にも上場企業様が多数いらっしゃるため、弊社にて開発したシステム、保守・運用を担っているシステムに関するリスク評価（識別と分析を含む）のご依頼もあります。
　今回の事件に関しては、「振込」という業務に対して以下のリスクが含まれていながらも、それを識別していなかったと思われます。

• 担当者1名であることで、不正な振込先への振込を予防することができない

• 担当者1名であることで、不正な振込金額指定を予防することができない

　今回は振込という業務にフォーカスを当てたため上記の内容としましたが、それぞれの業務には大小の差はあるものの必ずリスクは内在します。そのリスクを認識して、それが顕在化しないようにするのか、顕在化は許容しつつ、その時はどう対処するのかの行動方針をあらかじめ決めておくなどの対応が必要であったはずです。

2.統制活動を実施するための体制構築ができていない

　6つの内部統制の構成要素には「統制活動」というものもあります。統制活動を実施するため、経営者の指示、命令が適切に実行されることを確保するための方針と手続きが整備されていることです（権限、および職責の付与、職務分掌など）。
　先に申した通り、内部統制は上場企業に義務付けられているものですので、町役場には「経営者」は存在しませんが、各職員には権限、職責があり職務分掌もしっかりされているはずです。
　今回の事件においては、新人の担当者が1人で振込を行なったとのことですが、果たしてそれは「適切な権限」であったのか？、上長や他の職員の方が同席してダブルチェック行なうという職責を果たしていなかったのでは？という疑問を持たざるを得ません。

個人や家庭でもリスクに備えているのに、町役場はどうなの？

　私たちの日常生活において、個人や家庭においても様々なリスクが存在し、それに対しての予防策や対応策を備えているはずです。
　例えば地震に関して言えば、家具等の転倒防止対策をしていたり、避難しても困らないように避難グッズを備えている方は多いかと思います。また、保険などもリスクへの備えと言えます。
　では阿武町役場は日常業務に対してリスク把握をしていなかったのでしょうか？それは私が見聞きした情報からでは全く分かりませんでした。
　もしかしたらいくつかの業務についてはリスクをしっかり把握して対応策も考慮済であったかもしれません。今回の振込業務についても実はリスク分析ができていたかもしれませんが、「大丈夫だろう」の油断で発生したかもしれません。
　推測の域を出ることはありませんが、再発防止策を十分検討したうえで、今後も町民のために業務に邁進をしていただくことを、切に願うばかりです。

システム構築をするうえでリスク予見は欠かせない

　最後に、システム構築はリスクを予見し、対処策を講じておくことの繰り返し、ということを書かせていただきます。
　システムを構築する際、正常に稼働することだけで考えれば、スケジュールやコストは最小に抑えることができます。しかしそんなそんな訳にはいかず、あらゆる異常（＝リスク）に備えて対処をしています。
　例えば、サーバのハードトラブルが発生した場合を想定し、サーバは冗長化構成にしておく、数字のみ入力可能な項目に対して漢字が入力される可能性を考慮して、数字以外の入力ができないようにする（もし入力されたらエラーメッセージを出力する）といった対処です。
　いま皆さんの身の回りで稼働しているシステムは「リスク対応処理の塊」と言っても過言ではないかと思います。しかし、それでもリスクは完全に排除できません。さらなるリスク排除、低減のために、運用マニュアル等を用意することもあります。

　しかし時間の経過とともに慣れ、油断が生まれたり、外的要因により新たなリスクが発生したりします。それらを踏まえて、定期的なリスクの洗い出しと評価というのは欠かすことのできない時代であると感じております。