「リスク管理チェックリスト」(IV.事務・EDP部門)
1. 総論
・経営陣の事務・EDPリスクに対する認識
| チェックポイント | 着眼点( 例 ) | |
| ・経営陣の事務水準向上、不正事件・EDPトラブル発生防止への意欲 | 事務水準の向上、不正事件・EDPトラブルの未然防止を経営上の重要項目として位置付けているか | ・ 役員が事務処理水準の実態を把握 ・ 部店長引継時の現金、有価証券等重要物件の引継が的確 ・ オンライン障害防止策を徹底 ・ 毎期の方針、業績表彰、事務研修等に具体的に反映 ・ 同一ポストの長期勤務を回避するよう人事面に配慮 ・ 事務処理の機械化に意欲 |
2.事務
(1)組織・体制
| チェックポイント | 着眼点( 例 ) | |
| 1.規程、マニュアル類の整備 | 規程・マニュアル類を整備し、正確・迅速な事務処理体制としているか | ・ 現物・記録・検証主義の基本に則した規程・マニュアルが存在 ・ 本部通達の随時収録等事務処理実態に即応 |
| 2.本部による事務指導 | 本部指導により事務処理方式を統一しているか | ・ 事務指導の専担部署が存在 ・ 定期的な営業店指導を実施 ・ 検査部等との連携 |
| 3.防犯対策 | 十分な防犯対策をとっているか | ・ 店内ロビーへの防犯カメラの設置 ・ 防犯訓練の実施 ・ 現金搬送ルートを複数確保 |
(2) 現金・現物・重要鍵
| チェックポイント | 着眼点( 例 ) | |
| 1.現金、金券類の管理 | 現金、金券類の取扱いが厳格で、現金等事故の発生防止体制を敷いているか | ・ 現金、金券類の残高チェックと保管が厳重 ・ 不渡手形の取扱いが厳正 ・ 現金事故原因の徹底追求 ・ CD・ATMへの現金装填者に対する監視・牽制が厳格 ・ 現金自動鑑査機を導入 |
| 2.重要用紙類の管理 | 重要用紙類を厳格に取扱っているか | ・ 重要用紙類の厳重保管 ・ 役席者により小出し分は毎日、元出し分は月1回以上残高を照合 ・ 書損の処理をルール化 |
| 3.重要鍵・印章の管理 | 重要鍵・印章を厳格に管理しているか | ・ 部店長印等を厳格に管理 ・ 重要鍵を特定 ・ 重要鍵の保管責任者、取扱者を任命 ・ 鍵台帳と営業部店長事務引継簿が合致 |
| 4.金庫の管理 | 金庫は相互牽制のもとで開閉しているか | ・ ダイヤル・ナンバーを厳格に管理 ・ 金庫開閉記録簿の設置 ・ 営業時間中は内扉等を常時閉扉 ・ 金庫から現金庫まで単独で開閉できない体制 |
(3)異例事務
| チェックポイント | 着眼点( 例 ) | |
| 1.役席カードに関するシステム | 役席カード取引の範囲が適正で、かつ使用時および使用後のチェックを厳格に行っているか | ・ 重要取引は全て役席カードでガード ・ 役席カード使用者がシステム的に特定 ・ 1件毎に役席カード使用承認簿に記録し、権限者が承認 ・ 当日の役席カード使用取引を還元資料により権限者が再チェック |
| 2.過振りの取扱い | 過振りを例外的な取引と位置付け厳格に取扱っているか | ・ 過振り承認簿により役席者が全て事前承認 ・ 実質与信に該当する資金過振りは、やむを得ず承認する場合の利息徴求の有無を含め役席者が事前承認 ・ 他店券過振り容認先について定期的に業況を把握し、見直しを実施 |
| 3.便宜扱い | 便宜扱いは完全記録と早期補完の原則に則り厳格に行っているか | ・ 便宜扱いを記録し、役席者が事前承認 ・ 早期補完の励行 ・ 届け金や電話依頼による送金は事前口座引落しを原則とし、かつ当日中に補完 |
(4)その他事務
| チェックポイント | 着眼点( 例 ) | |
| 1.渉外部門の事務取扱い | 顧客あるいは出納部署との現金・現物の授受を厳格に行っているか | ・ 預り証の発行・回収を厳格に管理 ・ 渉外係の集金現金等は授受簿により出納部署へ確実に引渡し ・ 当日勘定締後の預り物件は、役席者が保管、かつ翌日処理 ・ 通帳・証書等の長期預りをチェック |
| 2.事故コード、CDカードの取扱い | 事故コード、CDカードの取扱いを厳格に行っているか | ・ 事故コードの設定・解除、通帳等再発行手続きを遅滞なく実施 ・ 営業店保管のCDカード現物を厳重に管理 ・ CDカード暗証番号を厳格に管理 |
| 3.別段預金、仮受・仮払金の取扱い | 別段預金や仮受・仮払金が事実上の与信行為や事件・事故の隠蔽に利用される恐れはないか | ・ 他勘定で処理可能な取引が頻繁に計上されていない ・ 他店券見合いの自己宛小切手発行等、事実上与信を伴う取扱いを厳格に制限 ・ 事実上与信の場合は営業部店長決裁または本部承認 ・ 長期未整理をチェック |
| 4.総合振込、給与振込等の取扱い | 立替払いが生じた際の信用リスクを考慮しているか | ・ 給振、総振契約書を漏れなく徴求 ・ 振込資金を別段預金にプールする等の方法により振込指定日の前営業日までに確保 ・ 振込契約先の適否を定期的に審査 |
3.EDP(重要度の高い分散システム、ネットワーク接続してない(スタンドアロン)PCシステムを含む)
(1) 組織・体制
| チェックポイント | 着眼点( 例 ) | |
| 1.規程・マニュアルの整備 | 企画・開発、運用に関する規程・マニュアルを整備しているか | ・ 企画・開発、運用に関する規程・マニュアルが存在 ・ 業務実態に即した見直しを実施 |
| 2.職務の明確化と分離 | 職務の分離と明確化を図っているか | ・ 職務、管理責任者を明定 ・ 企画・開発業務と運用業務を分離 ・ コンピュータ・オペレータ、データ受付・入力担当、プログラム・MT管理者(ライブラリアン)を分離 |
| 3.人材育成 | 計画的に要員教育を行うとともに、担当業務のローテーションにも配慮しているか | ・ 研修・訓練を定期的に実施 ・ 担当職務のローテーション(システム部門内外共) を一定の目途で実施 ・ 企画・開発部門とユーザー部門との人事交流を実施 |
| 4.委託先管理 | 委託先の管理がルーズで、機密情報の流出等の不正、その他のトラブルにつながる恐れはないか | ・ 基本契約書で守秘義務文言を明記 ・ 派遣要員のデータ・アクセスを制限 ・ 請負契約の場合、委託業務の進捗状況の把握、納入品の検収等を実施 |
| 5.監査体制の整備 | システム監査体制が整備され、かつ有効に機能しているか | ・ 被監査部門から独立した監査組織が存在 ・ 計画的に監査を実施 ・ 監査結果を経営陣に報告 |
(2) 防犯・防災・バックアップ対策
| チェックポイント | 着眼点( 例 ) | ||
| 1.防犯対策 | コンピュータ・センター やコンピュータ室への不法侵入、危険物持込等を防ぐための対策を講じているか | ・ 入退館・室の際の資格確認を実施 ・ 重要鍵の厳格な管理を実施 ・ コンピュータ室、データ保管庫の室名等を非表示 | |
| 2.防災対策 | 火災・地震等によるコンピュータ機器の損壊を最小限に止めるための対策を講じているか | a.防火対策 | ・ コンピュータ・センター、コンピュータ室等が耐火構造 ・ 自動火災報知設備、消火設備を設置 |
| b.地震対策 | ・ 建物が構造上の安全性を具備 ・ コンピュータ機器の移動・転倒防止策を実施 | ||
| c.出水対策 | ・ 漏水の危険性がある場合、防止策を実施 ・ 漏水検知器を設置 | ||
| 3.バックアップ対策 | システム障害時において、その影響を最小限に止めるための各種バックアップ措置を講じているか | a.システム・回線のバックアップ | ・ 重要な本体・周辺・通信・端末装置の予備または代替機能を確保 ・ 重要な回線を複数化 ・ ホット・スタンバイ方式を実現 |
| b.重要ソフト・ファイルのバックアップ | ・ 重要ソフトウエアとデータのバックアップ(フロントでのパソコン・ベース管理分を含む)を取得 | ||
| c.電源のバックアップ | ・ 自家発電設備を設置 ・ 定期点検を励行 | ||
| 4.障害時の体制整備 | 障害時の体制、手順を明確化しているか | ・ センター、営業店の障害規程・マニュアルを整備 ・ センター部門の障害訓練を定期的に実施 | |
(3) 企画・開発体制
| チェックポイント | 着眼点( 例 ) | |
| 1.機械化案件の企画・承認体制 | 経営方針に合致し、かつ全体的なコンセンサスが得られるような案件検討・承認体制を確立しているか | ・ 開発案件の検討・承認ルールが明確 ・ 本番システムの変更案件も承認のうえ実施 ・ 中長期の開発計画を策定 ・ 機械化委員会等の横断的な審議機関を設置 |
| 2.開発管理 | 開発プロジェクトの状況を十分に把握し適切に運営する体制ができているか | ・ プロジェクト毎に責任者、役割分担を明確化 ・ 進捗管理を実施 ・ 経営陣に開発状況を定期的に報告 |
| 3.標準化 | 開発作業の内容を開発マニュアル等の形で明確化し、関係者に徹底しているか | ・ 設計書等を完備 ・ 設計書等はドキュメント標準に準拠して作成 |
| 4.テスト等 | テストおよびレビューを計画的に行い システムの信頼性を十分確保しているか | ・ テストやレビュー不足が原因で、長時間顧客に影響が及ぶような障害や経営判断に利用されるリスク管理用資料等の重大な違算が発生していない ・ テスト計画を作成 ・ 総合テストにはユーザー部署も参加 |
(4) 運用体制
| チェックポイント | 着眼点( 例 ) | |
| 1.オペレーション管理 | 所定の作業スケジュール等に基づいてオペレーションを行っているか | ・ 承認を受けた作業スケジュール表、作業指示書に基づいてオペレーションを実施 ・ 作業日誌等のオペレーション記録を管理者が点検 ・ 複数名によるオペレーション体制を構築 |
| 2.トラブル管理 | トラブルを記録し、再発防止策を速やかに講じているか | ・ トラブル記録票を作成・報告 ・ 原因の特定・再発防止策を徹底 ・ トラブル内容の定期的な分析を実施 |
| 3.MT等の管理 | MT等の保管と授受を取扱手続に則り厳格に行っているか | ・ 保管庫の入退管理を実施 ・ MT等の管理台帳、受払記録を作成 ・ 残高を定期的にチェック |
| 4.ファイル・アクセス管理 | 磁気ディスク上の本番データや本番プログラム・ライブラリへのアクセスを制限し、機密情報の流出やデータの改竄等を防止しているか | ・ ファイル・アクセス制限措置を実施 ・ 本番プログラムの使用、登録は承認のうえ実施 ・ 重要ファイルを暗号化 |
| 5.機器管理 | 機器の点検や稼働状況の報告を励行する等、障害等を未然に防ぐ体制ができているか | ・ センター機器等の定期点検を励行 ・ 機器の稼働状況を管理者へ報告 ・ 勘定系システムや、重要な情報系システムにつき、メーカー等とサポート契約を締結 |
(5) 不正利用防止策
| チェックポイント | 着眼点( 例 ) | |
| 1.内部利用対策 | 重要度が高い内部利用オンライン・システムにおいて、端末機や伝送データに対し不正利用を防ぐための対策を講じているか | ・ 端末機使用の際の本人確認を実施 ・ 業務系端末機の取引操作範囲を制限、異例取引の承認制を導入 ・ 重要伝送データを暗号化 |
| 2.対顧接続サービス対策 | 顧客側の端末機やコンピュータと金融機関側のコンピュータを直接接続して行う資金移動取引において、不正利用防止策を徹底しているか | ・ 取引開始時に審査を実施 ・ 暗証番号等に基づく契約先確認を実施 ・ 暗証番号等の漏洩防止策を徹底 ・ 1回当りの振込金額の制限 |
| 3.新種サービス対策 | 新しい情報技術を活用するなどして新種サービスを行う場合、内在するリスクを十分検討し、必要に応じて対策を講じているか | ・ テレフォン・バンキング・サービスにおける本人確認の実施 ・ インターネットを利用した資金移動サービスにおけるセキュリティ確保策の完備等 |
| 4.コンピュータ・ウイルス対策 | 重要度が高いパソコン・システムにおいて、コンピュータ・ウイルス等の不正プログラムの侵入防止策を講じているか | ・ 出所不明プログラムの使用禁止等の運用ルールを明定 ・ ウイルス発見プログラムを利用 |
