熱中症対策として熱中症チェッカーなるものが外回りの社員配られていた。

詳しくは良く解らないが
卵形のアクセサリを外出時に一緒に持ち歩くとリアルタイムで危険を察知して
営業担当へ支給されているiPhoneへ危険を知らせるらしい。

もの自体はこれらしい

これで外回りの営業が熱中症に罹りづらくなると、人事部が嬉しそうに話していた。

別に水分補給無し、休憩無しで、しかも汗だくになって外回りしろと言っている訳ではないのだが、必要性がよくわからん。

しかも紛失や破損したら始末書ものだから営業からしたら余計な事するな、といった感じであると思う。


一個3,000円位らしいので
むしろ子供がいる社員へ配った方がよっぽ有意義な感じがする。

少なくても社会人が暑かったら休憩したり、水分補給する事ぐらいは出来ると思うのだが
しかも夏場限定の商品。
いまいち商品のターゲット層がわからん。


まあ、とはいうものの
面白そうだから、内緒で一個借りてみようかな？

参議院選挙の活動で政治家が被災地が、どうのこうの、といった寝ぼけたフレーズを連呼していた。


政治家が叫ぶと非常に胸糞悪い冗談にしか聞こえてこない。
非常に不快である。


多くの日本人にとって忘れられない「東日本大地震」から2年以上がたった。
日々の業務に追われ、淡々と生活を送っていると当時の出来事がまるでウソのようである。

現地では時が経つにつれ徐々にだが復興は進んでいる。
しかし、被災された方々にとっては、まだ何も解決されていない問題が数多く残されている。


2年前、様々なニュースが報道されたが、個人的にどうしても忘れられない映像がある。
それは、震災の直前まで街があったはずの場所に立ち尽くし、
「会社も家も、家族も流されてしまいました...」
とつぶやくように漏らす男性の姿である。


年齢的にも、恐らく私より少し上ぐらいではないかと思う。

だからこそ、彼が失ったものがどれほど大切なものだったかが、胸が痛くなるほど分かる気がする。
もし、自分が彼と同じ境遇に立たされたならば、
自分はこれから何のために生きていけばいいのか分からなくなるかも知れない。


震災を始め、世界中の問題に目を向けた時、自分に一体何ができるのか？
その無力感から、「俺には直接関係ない...」と目を背けたくなる自分が
心のどこかに居ることは偽らざる事実ではある。


私の会社のメンバーにも、ご家族が犠牲となった方がおり、決して他人事ではないが
メディアを通じ、大きな被害を受けた東北の方々、
続く原発事故により住む場所を失った方々の様子を見るにつけ
今なお震災被害は現在進行中であることを改めて認識させられる。


荀子によれば「人は生まれながらにして悪である」
自身の悪を偽り、人の為に行動するのはどこまで行っても偽りであり
災害が直接我が身に降りかからない限りどこまで行っても他人事なのであろう

まさしく今の政治家そのものである。

クラウドサービスを利用していると色々と法的な対応が必要となってくる。

現行の会社法では、一定の事件については株主総会や取締役会での決議が必要と定められている為、
クラウドの導入・利用に関しては内部統制体制の整備に関する事項として
会社法上の取締役決議が必要な「重要な業務執行の決定」となる。


実際の決定においては合理的な判断材料をもとに決断を下した事が
第３者に対して客観的に証明する必要がある。
その為、「事業報告書」、「内部統制報告書」、「有価証券報告書」への記載が必要となってくる。

過去の文章を流用して、適当にそれっぽい真面目な文章を書くだけなので
まあ、ここまではどうでも良い。


実務上の話としては運用が始まったらそっちの監査も必要となってくる。
クラウドと自社サーバを使用したコロケーションのハイブリット型だと
どうしてもシステム監査の関係でデータセンタに監査しに行く必要が出てくる。

都内のデータセンタならまだ良いが、
安いからと言って一部システムは九州のデータセンタを利用してる。
そのため、ワザワザそこまで実査しに行く必要がある。

電車に乗って、飛行機乗って、また電車に乗って最後にタクシー乗る。
合計で片道４時間半の旅である。

朝の6時か7時過ぎの便で行くとお昼前にデータセンタに着くので、
帰りは15時過ぎの便に乗って、夕方に東京に戻る事になる。



おまけに機器の一台あたりの単価が数百万単位の為、棚卸もついでに行ってくる事になる。

基本的に資産管理は総務部の仕事だが
こちらが行くのに、棚卸の為だけにもう一人来るのは非効率的である事から
結局はついでに棚卸をすることになる。

ただし、ラック単位で借りており借りた時期がバラバラなせいで、
借りているラックがセンター内の異なる階層をまたいでいる。

静脈認証や網膜認証がある為、階の移動が非常にメンドくさい。
（それでも２時間ちょっとで実査は終わるのだが）


大抵の場合、次の日に会議があるので、その日の便で会社に戻る。
（もっともどうでも良い会議であればweb会議で済ませるので一泊してから帰る）


乗り物に乗っている時間が約9時間、実稼働が約2時間の旅である。


まあ、この交通費と九州のデータセンタの利用料を足しても
都内で借りるよりは1割以上安い。
そのせいで都内のデータセンタに移設することは無いのだろうが正直、面倒である。

以前からクールビズが導入されており、服装に関しては
営業や接客業務が発生する従業員、あるいは管理職以外は基本的に自由としてきた。


もっとも常識の範囲内で自由という意味である。


役会に耳を疑うような報告が上がってきた。


「従業員の中に和服を着崩した格好や水着のような格好で出勤してくるものがいる。」
そのせいで一部の従業員からは「業務に支障をきたす」、「セクハラだ」との声が出ているとの事だ。


調べてみると案の定、ゲーム開発部門のバカ共だった。

一応、人事がヒアリングしたところ「服装は自由と言われたから、着てきた」と述べていたそうだ。


まあ、ある意味では間違っていないのかも知れないし
常識的な社会人は知っているだろう事も
素養も教養も無い従業員はしらないだろうし、
そうした輩向けにドレスコードを指定してあげる必要があったかも知れない。

そう言った意味では経営層側の落ち度がある。


例えどんなに一般常識が欠如していようと、
社会不適合者であっても
従業員として会社へ貢献している以上は、
ある程度の範囲内で彼らも理解出来るようフォローしてあげる必要があったかも知れない。


もっとも会社は情操教育や常識を学ばせる場所ではないので、限界はある
会社に貢献出来るうちはある程度許容するが
貢献出来ないと判断された時点で、サヨナラしてもらうしか無くなる。

当然、管理職はおろかマネージャにも昇格はあり得ない為、
彼らのキャリアプランは下から3番目のチームリーダ止りになる。
（どんなに長く勤めていようが、年収は約550万止まりになる）

同じ技術職であるシステム開発のＳＥ達より、余りにも総合的な地力が低いため
彼らとのバランスをとる為には当然の処遇となってしまう。


しかし此処までバカを見せつけられると、
色々な意味で考えを柔軟にもつ必要があるのかも知れない。


早く限定社員制度利用してみたいものだ。

タブレット端末を利用出来るように、社内の情報セキュリティ管理規程をそろそろ見直そうかと思う。
（個人的にいい加減利用したいのが動機ではある。）

前回の改定が2010年でまだタブレットやスマートフォンが
それほど企業で利用されていない時期であった。


そもそも規程はシステム監査や個人情報監査などセキュリティ絡みの規程であり
J-SOXの施行に対応出来るよう内部統制の用に調整している為、色々と要件が厳しい。

基本概念として情報統制を念頭に作成している事から「BYODなんぞ、もってのほか」という事になる。


通常、会社でコントロール出来ない情報端末を業務で使用禁止にする事は
情報漏洩、情報資産防衛の観点からは正しい事である。


ウイルス対策ソフトも入れず、その他のセキュリティ対策もしない端末を
アホな社員が持ち込み業務で使用されても正直、困る。

大抵の場合、自分が原因でウイルスが蔓延してもアホ社員は「知らなかった。ごめんなさい。」で済まそうとしする。
もっとも、企業に損害を与えた場合、クビ and そのアホ社員に対して損害賠償訴訟を起こす事になる。


燕雀安んぞ鴻鵠の志を知らんや

アホな社員はどんなに教育しても「便利だから業務で使用する」という短絡的思考だから困る。


とはいってもアホ社員対策の為だけに規定を厳しくするのは企業の生産性、柔軟性等を阻害しかねない。

基本的には必要要件を最低限でも満たせれば使用出来るように
規程の改正やソリューションの導入を行っていきたいと考えている。


ソリューションは導入して動作チェックして運用すれば良いだけだが、
規程などのフレームワークの方は規程関係の文言の修正や整合性の確認、
あとは統制上で問題無いように色々調整する事が多いのである。


形式知化出来ない部分が多い業務である為、下っ端に丸投げ出来ないのが厳しい。

どうしても知恵では無く、経験を伴った知識（暗黙知）で業務が動くため
業務の引継ぎや定量化が難しいのである。


その点業務の大半がマニュアル化されて、通り一遍の対応しか行わない某3大監査法人の監査業務は楽チンである。
（もっとも簿記2級程度で出来る業務なので、そんな業務を行っていても本人の成長性や将来性は皆無ではあるが…）



しばらくは情報収集と関係部署との根回し作業となりそうだ。

飛ばしすぎは良くない。


最近は上手く隠しているせいかあまり見かけない「飛ばし」といわれる行為
古くは連結決算概念のない時代に子会社へ含み損が生じている資産（たとえば有価証券）を簿価で売買し、
親会社の決算を良く見せようとする不正の一種である。

もっとも某Ｓ○Ｉの○尾氏は最近、FACTAの阿部重夫氏に目をつけられて、色々とスクープを取られているようだ。


まあ、どうでもよい。


飛ばしを行うためにはペーパーカンパニーが必要となるが
通常の内部監査の際、取引の合理性、取引の実在性、残高確認の実施等を行う為
ペーパーカンパニーであれば間抜けな監査人でない限り、まず見抜くことが可能である。
もっとも実体のある会社を間に挟まれて、複数のペーパーカンパニーを跨ぐと途端に判り辛くなる。

なかには本店所在地に表札をだし、受け付けも有り、電話も引いてあり、大手銀行の法人口座を持ち、
ＦＡＸまで引いて、挙句の果てにホームページまで立ち上げているペーパーカンパニーが存在する。

出向くとちゃんと来客の応対までしてくる始末だ。

ここまでやられると、マニュアル通りのヒアリングでは見抜き辛いだろう。


ある意味では素晴らしい。


もっとも、その事を監査人は見抜けない事の正当事由とすべきでない。


基本的に、この手のペーパーカンパニーは幾つか以下のチェックポイントがある

１）電話番号が050番号やskypeなどIP電話かどうか
２）法人用クレジットカードが楽天などの殆ど審査を行わない機関かどうか
３）本店所在地がレンタルオフィス会社の住所かどうか
４）銀行口座が楽天などの殆ど審査を行わない金融機関で開かれていないかどうか

この辺のチェックポイントに引っ掛かってきた場合、あとは面倒くさい抜打ち実地監査で実体をチェックする。


ちなみにこの手の話で対応に出てくるのは、ゴッツイ強面かひょろ長い専門学生のような奴らが多いが、
大抵の場合、1週間以内に会社ごといなくなる。


うちの会社に残った従業員は当然トカゲのシッポとなり、法的責任を徹底的に問われる事になる。

当たり前だが悪意を持って故意に行っている為、合法的に追い込みをかける事になる。


何事も程々が一番である。

「粉飾決算しても、刑務所に行かなくて良いらしい」
リフレッシュルームでコーヒーを啜りながらボーっとオフィスの外を眺めていると
横からから役員の一人がそんなことを言ってきた。

オリンパス元社長の粉飾決算事件を言ってるらしい
２、３日前に東京地裁が執行猶予付きの判決を言い渡し、実質無罪とした判決だ。

要約すると
前任者から粉飾していたけど、前任者には消滅時効が適用され無罪なので
その状態で元社長を有罪にすると不公平だから
判決は執行猶予付きの実質無罪判決にしてあげるよ。

といった内容である。


まあ、オリンパスを抜きにしても粉飾で実刑もらったのは余りいない。
（ホリエモンは単なる見せしめである。）

客観的資料に基づき、よっぽど悪質で広範囲に影響がない限り
実刑は無いと考えても良い。

そこそこ権力の中枢に近い人物が犯罪を犯しても
執行猶予付きであれば、日常生活に殆ど影響は無いし、
普通に会社の役員をやっていられる。
（もっとも公の文書に載らない役職に限られてくるが）

特に団塊世代は義理人情が厚く、例え犯罪を犯したとしても
古くからの付合いが有りその人への恩義があれば、ほかの役員連中が役員に返り咲くよう手配する。

探せば前歴者の役員なんぞいくらでも出てくる。


まあ、どうでも良い。


とりあえず
「執行猶予が付くからといっても、係争中とかは拘置所生活になるので
あまりお勧めしませんねぇ」　と返しを入れてみた。

意外そうな顔をしていたので、どうやら刑が確定しない限り日常生活を送れると勘違いしていたらしい。

もっとも地獄沙汰も政治家への献金次第である。

しょうがないので、経験で学んでもらえるよう拘置所の見学方法を教えてあげたが、
最後には社員のモラル教育として１泊２日の拘置所見学ツアーを行いたいと息巻いて帰っていた。

まあ、人生経験が乏しく基礎教養が無いゲーム開発者連中には色々な意味で効果覿面かもしれないが
それ以外の一般社員は堪ったもんでは無いだろうな。


ご愁傷様である。

アプリケーション統制のお話
（システム監査やセキュリティ監査の分野でもある）

コントロールが面倒なのでアジャイル開発は嫌いである。

監査人からすると開発は全部ウォータフォールモデルかＲＡＤかプロトタイピングにすれば良いのにと思う。

まあ、開発スピードが必要なものに関しては、キッチリとしたＲＦＰなんぞ望む事が出来ない。
その事はまあ、理解できるので仕方がないとは少し思う。

でも監査し難いうえに、大抵の場合、客体が無い。
さらに外注が絡んでいると発注、納品、検収が全く見えなくなる事も多々ある。
数百万～数千万単位の費用が出ているものに関しては
全て一から担当者にヒアリングしつつその流れを全て洗出し、後出しで証跡を作る事になる。


ひどい話である。


ちなみにうちの会社のウォーターフォールは次の開発工程を行う事になっている。

要件定義　→　基本設計　→　詳細設計　→　プログラム設計　→　プログラミング
　→　プログラムテスト　→　結合テスト　→　システムテスト　→　運用テスト　→　リリース

工程毎に必ず次工程へ進む為の承認手続きが必要なる為、結構めんどい。

アジャイルの場合は基本設計～運用テストまでの承認工程を
すべて吹っ飛ばして開発が出来る為、統制なんか知ったこっちゃない、という現場からは絶賛、好評中である。

基本的にゲーム開発はそもそも仕様書などは無く、アイデアの出たとこ勝負である為、
アジャイル開発が中心に行われてたりする。

ゲームが課金・決済システムに絡んでいるとゲーム開発者の首根っこ掴んで、強制的にヒアリングする必要が出てくる。


一応、ちゃんとした話なので
整理して真面目に書くと以下のようになる。


アジャイル開発は従来の伝統的開発と比べ、暗黙知（メンバー内の頭の中にある知識）に重点を置き、
プロジェクト文書、ＲＦＰなど「外部的」知識を重視しない。
基本的に各工程は、それぞれの担当者の暗黙知で作業工程が組まれており、
同一行程であっても作業担当者によってその内容（インプット～アウトプット）は大きく異なる。
そして、この事はドキュメンテーション不足というリスクを生む事となる。
そしてそのリスクは納品後の運用・保守フェーズにおいて顕著になり、場合によってはシステム監査に対応する事が出来ず
同一機能のアプリケーションを再開発し直すという不毛なコストが発生するリスクを内包している。
また、テストフェーズにおいて稼働テストが重視され、信頼性やセキュリティのテストなど軽視される傾向が強い事から
フェールセーフやフールプールのコントロールリスクも留意が必要となる。
よって本開発行為はアプリケーション開発規程、外部委託管理規程及びセキュリティ管理規程上、相当であると認められるものではない。


※フールプルーフ：ヒューマンエラーなどの対策
　 フェールセーフ：ハードウエア障害などの対策


ゲーム開発のリスク対策は色々あるので、気が向いたら
そのうちに載せてみようかな。

不正手口の発見方法　入門編

たまには、まじめな話


新米監査人にはまず、一通りのマニュアル監査が行えるように指導したりする
これが出来るようになって、やっとどんな業務なのか理解は出来なくても
業務の流れ自体を知る事が出来るようになる

次のフェーズとして不正手口の発見方法を見つけやすい順から指導する。
この点に関しては会計監査だろうが、システム監査やセキュリティ監査でも同じことである


もっとも不正行為の発見は複数の兆候から合わせ技で発見する事が大半なので
基本的にはこの兆候が見られたら関連項目を重点的にチェックをする必要がある、といった意味合いが強い。

【兆候】
　１）特定の取引先に対して同時期に他の取引先と比べ複数 or 多数の発注を行っている
　２）見積金額が0円
　３）検収日が納品日よりも先の場合
　４）同一金額で同一仕入先が続いている
　５）発注から納品までがやたら短時間
　６）仕入れ担当者への統制が行われていない
　７）複数の見積もりを取らず、見積が一度きり
　８）一度きりの見積もりで実績金額も同額

このチェックで引っ掛かってくるのは水増し請求によるキックバック、循環取引、カラ検収などである。

大抵の場合、3つ以上引っ掛かると何かやっている可能性が非常に高い。
ちなみに某大手の監査法人が行う会計監査のチェックもこれにプラスアルファする程度であるが、財務諸表への影響度が低ければ監査法人は、まず発見しない。
（発見出来ないのではなく、発見しない。この点は注意が必要で監査法人が信用出来ない理由の一つでもある）


もっともこの程度のチェックで引っ掛かるのは
金額としては数十万～数百万程度の少額で、たまたま上手くって味を占め
繰返しやっているバカな素人である。
（関連会社では毎年、必ず一人か二人は出てくる）

本気で隠蔽し、繰返しやっているものはこの程度では絶対に発見できない

それでも、何かしらの歪みは出てくるので
その兆候さえ見逃す事が無ければ発見自体は難しくはない


そのへんの話はその内に。


【蛇足】
不正行為はそれを知ってから、3年以上ほっとくと消滅時効が適用されるので注意が必要。

ＩＴ関連企業の内部監査方法その②


ゲーム開発部門に対する内部監査は一筋縄ではいかない。

ゲーム開発部門の平均年齢は２０代後半から３０代前半と基本的に低い
そして彼らはプログラマーであればプログラミングテクニック、サウンドやグラフィックスであれば、
それぞれの分野のテクニックを買われて会社にいる。

要はその技術力のみを評価され、雇われている。


彼ら全てがそうでは無いが、その分野の技術の身を磨いていたせいか社会常識が非常に乏しいのである。

何年も見てきているが、大抵はモラルやマナーに関しては小学生から中学生レベルである。特にビジネス関係の知識においては殆ど無い状態の人が多い。

そうした人たちに企業の社会的責任を説いて、協力を促したとしても糠に釘である。


ではどうすればよいか？

まずはその部門に関係する統制手続きを、殆ど知識の必要としないバイト君でも行える作業レベルまで落とし込んであげる必要がある。

その上で、記載方法や日々の運用に関して横に張り付いて、
その部門単独で行えるまで対応してあげる必要がある。

単純に言うと小学生に何か作業をさせる場合と同じである。
（まあ、３０前後の社会人がそこまでお膳立てされないとまともに仕事が出来ないというのもどうかと思うが）

そして作業が終わったら内容をチェックし、
統制上よほど問題がない限りは誉めたり、お礼を言って終了する。

相手の能力以上の事をさせようとしても、能力が無いのだから出来る訳が無い。
能力以上の事を相手に求め、出来ない事を責めることは決してしてはいけないし
それを行うこと自体、監査人として無能である。

出来ない事を、出来ない人間に求めてはいけない。
基本的に監査人は相手の力量に合わせて、社内コンサル的な対応を取らなければならない。
そうしなければ監査そのものが、業務を阻害し、企業活動へ悪影響を及ぼす事にもなりかねない。

理想として統制手続きはあくまで空気のように自然にあって、意識させず条件反射的にしてもらえるのが一番良い。

まあ、それが一番難しい事ではあるのだが・・・