研究ノート  

671   一 43・−  

研究ノート  

EDPS内部監査の若干の問題紅ついて   州・技術的発展および不正の問題に．関連して−−  

森  

Ⅰ はじめに  

アメリカ内部監査人協会ほ，内部監査を「内部監査人の資任紅関する意見書（State−  

ment of Responsibilities of theInternalAuditoI）」に．おいで，つぎのように定義し    ている。   

「内部監査は、経営管理者への奉仕を目的として，会計，財務およびそ・の他の諸業務を   検討する経営組織内部の独立的評定湾動である。・それは，その他の諸統制の有効性を評定   する機能をもつ経営統制の1つである。」   

この表現からも明らかなように，内部監査は，経営内部の諸統制の有効性を評定するも   のであるが，経営内部の諸統制は，究極的には，経営目的の達成に向けられている。ここ   で，経営目的とは，簡単に・いえば，企業に・投下された資本を，いかに保全し，さらにいか   に収益的に運用するかということに．ある。   

企業紅EDPSが導入されたことに．よって，上に・のぺたような内部監査の基本的機能が   変化させられたとは考えられない。むしろ，内部監査のこのような機能に対する要請は，  

増大している。しかしながら，EDPSは，これまでの経営の諸統制の具体的適用形態を   変化させ，あるいは新しい統制の問題をつけ加えたので，内部監査に∴おいても，そ・の領   域，方法およびその盈点を変化させることになった。   

これらのEDPSが提示した新しい問題紅対する内部監査の対応紅ついて，多くの議論  

（1）  

がなされている。われわれも，これまで紅，それらのいくつかにふれた。   

たとえば，ポークqは，EDPSに閲する諸統制を重視し，単にEDPSによって処理   された資料の正確性を確かめるために．，取引および記録の伝統的な監査を行なうことに目  

（1）拙稿「EDPSに関する内部監査の問題について」，香川大学経済論叢第41巻1号，   

昭和43年4月。   

第42巻 第6号  

・−44 −   67−2  

をうばわれることがあってほならないとし，組織討画，管理的統制，手続的統制およびシ  

（2）  

ステム立案の評定が，内部監査の藍要な領域であることを指摘している。   

また，ボーテルは，EDPSにおいて監査方法がどのように変化するかを諭して，ED   PSにおいて−より有効な監査方法として，コンビュ．一夕ーを監査手続に利用する方法をと   いている。すなわち，「コンピューター周辺の監査」あるいは「コンピューターなしの監   査」から，コンビユー・ターを横転的に利用する「コンピュータ一による監査」への移行を  

主張する。ここでの「コンビュ．一夕ー紅よる監査」は，コンビュー・ター・・オージット・プ   ログラムに．よって，統計的に正しいサンプルの選択，加算および減算の検乳 ファイルの  

（3）  

情報の合理性の検討および監査調書の作成などを含んでいる。   

さらに，レイノルズほ，EDPSの内部監査の領域を，「EDPS管理の監査」という   ように．大きく把握し，他の論者のように，内部監査を，単に，EDPSの情報処理の信頼   性の監査の領域だけに．限らないで，EDPSの導入および利用の問題をも雷重な監査領域   としで論じている。すなわち，データ処理業務管理監査に加えて，EDPS導入管理監査  

（4）  

およぴEDPSの十分性および有用性管理監査を・大きくとりあげている。   

このように．，EDPS内部監査確，これまでとほ違った多くの方向の問題を提起するも   のであり，本稿で紹介する2つの論文も，また，新しい方向の問題を示していると思われ   る。その1つほ．，ダイアモンドおよびクラリソガーの「リアル・タイム・システムの諸統   制および監査証跡」であり，より高皮のEDPSあ段階において要請される内部統制およ   び監査手続の変化を論じたものであるが，EDPSの技術の変化海よび発展は，今後も  

〉 このような方向の問題を常に・提起し，内部監査は，これ紅対処していかなければならない  

（る）  

であろう。   

もう1つの論文ほ，カ−マイケルの「EDPS〜こおける不正」である。不正の問題は，  

内部監査の生成の当初より，基本的職能として課せられてきた伝統的問題であるが，経営   管理の近代化紅伴って，業務監査の領域が拡大し，不正の問題は消極的なものとしてみら  

（2）W．T…Po【ter， Auditing andComputer ，77ie hdernalAudiioY ，FaII1969，   

pp，33〜39 

（3）W…S．Boutell， Computer Techniques Usefullto the Auditor ，772e ZnteYI−   

〝αJAz dよ加γ，Fall1967，pp．．27〜32  

（4）ALL，Reynolds， Evoluting EDP Management ，．The ZniernalAudiioYI，   

Summer1967，pp。26〜34 

（5）J．D．Diamond andJ小C．Kral1inger， ControIs and Audit Trai1s for Real   

Time SystemsO，772eInternalAuditoY・，November／つecembeI−1968 

EDPS内部監査の若干の問題紅ついて二   ^ー45 −  

673  

れがちであった。さらに，EDPSという高度軋近代的なイメージに．は．，不正という問題   はそぐわないような感じを与えがらである。これは，EDPSに対する過度の信敏感から   生じるものであるが，カーマイケルは，これに反省を求め，より積極的に，EDPSに・お   ける不正の問題の重要性を指摘し，EDPSにおける不正の類型化をこころみ，さらに．，  

（6）  

そこに・おける問題点を明らか紅して，内部監査人に役立たせようとしている。   

本稿ほ，EDPSに＝おける内部監査理論の構成を，値接に意図するものではなく，前稿   のrEDPS紅関する内部監査について−」と同じよう虹，EDPSに．おける内部監査の理   論体系の建設の準備として，また，財務諸表監査におけるEDPSに関する内部統制評定   の理論的研究の資料をえることを意図するものである。  

Ⅱ リアル・タイム・システムと内部監査  

ダイアモンドおよびクラリンガ1−・は，EDPSの企業への導入は，企業の経営管理組織   に大きな変化をもたらしたが，将来のEDPSの発展によって，リアル・タイム・システ   ムがより広範紅利用されるよう、になるとみられるので，経営者および内部監査人ほ，リア   ル。タイム・システムが，適当にコソナロ−・ルされていることを確かめることを要請され   るよう紅なる。そこで，ダイア・モンドおよびクラリンガ−は，リアル・タイム・システム  

（7）  

が，監査証跡および内部統制にどのような影響を与えるかを解明しようとするのである。   

ところで，ダイアモンドおよびクラリソガーは，EDPSの発展段階紅ついては，必ず   しも明確草していない。しかし，経営者および内部監査人は，自己の企業のEDPSがど   のような段階に．あり，あるいほ．，どの段階を目標としているかを，明確紅自覚することが  

（8）  

必要である。このばあい，ⅠIAが示したような，つぎの−・般的段階が有用であろう。  

（1）カ−ド・ペースのコンビュ．」−・ター・V．ステム（CaId Oriented Computer System）   

これは電動会計機から移行し窄もので，インプットは，バッチに−・括されて連続的紅処   理されるが，それぞれのシステムは，完全紅他のシステムから独立して，各種の報告審を   作成する。  

（2）サブ・システムの統合  

（6）D．L R Carmichael， Fraudin EDP Systems ，The ZnternalAudiior，   

May／June，1969 

（7＝．I）．Diamond andJ〟C．Kral1inger，OPlCiiい，pp．6〜12 

（8）ⅠIA，力由椚紘仁山β紘乃g q／EJβ（fγ〃乃オc伽f〃タグ・￠Cβざ5友一紹g5こyぶ才β机ざ．   

算42巻 第6号   ⁶⁷⁴  

一 −メ6 −  

l   

インプッ トデータを多目的に．利用するためには，従来ほ独立して．いたサブ・システム   を統合することが必要である。たとえば，製造指図書や在庫のデータは，製造報告書，余   裕在庫，発注書類および在庫報告番などから調整されるように，単一・のプログラムに組み 

こまれる。  

（3）統合的経営情報Vステム（Integrated MandgementInformationSystem）   

これは経営組織のトップから下位階層にいたるすべて−の経営管理者が必要とする情報の   すぺてが，一体的に調整された単一情報システムである。このようなシステムは，事実上   は，非常に困難ではあるが，理想として志向されているといわれる0  

（4）統合的リアル・タイム・Vステム（Real−timeIntegrated System）   

これは，現在におけるコンビ．ユ一夕ー化の最高の到達段階と考えられるものであって，  

統合的経営情報システムに，大容蓋のランダム・アクセスの外部記憶装置とリアル・タイ   ム処理をつけ加えたものである。  

lこのように，リアル・タイム処理自体は，統合システムとしてでなくても存在するので   あるが，すべてのサブ・システムに・おいて，リアル・タイム処理が，理想とされることは   疑いないところである。ところが，逆に，伝統的な監査の捌から為れば，リアル・タイム  

・レステムが，もっとも問題が多いシステムであることも事実であろう。ここに・，ダイア   モンドおよびクラリソガーが，リアル・タイム・レスデムにおける内部監査を問題にした   ことの理由がうかがわれるのである。   

1リアル・タイム・システムと内部統制   

まず，ダイアモンドおよびクラリンガーほ，リアル・タイム・システムを簡単に・定義   し，つぎに．，これを例に．よって示し，さらに，これに対してどのようなコントロ−ルおよ   び手段が必要であるかについてのべている。   

ダイアモンドおよびクラリソガ一に．よれば，リアル・タイム処理とは，外部事象紅直接   的に．反応する処理であり，したがって，・その処理の結果は，即時紅，モニタ」−あるいはコ  

ントロ−ルされつつある処理阻影響を与えることができることを意味するものである。   

かれらは，リアル・タイム処理の例として−，ガソリン・スタンドのぼあいの処理を示し  

ている。すなわち，顧客は，従業員に，身分証明書をだし，それをガソリン・ポンプの装  

置にさしこむと，・その装置と他の場所におかれて‥いるコンビュ−タ・一につながる○そこ  

で，コンビュ．一夕・−は，内部に．あるファイルに・よって，顧客の信用状態を判定し，かつそ  

の身分証明苔が正当なものであるかどうかを確かめる。ついで，ガソリンの供給を終えた   

EDPS内部監査の若干の問題について   一47・−  

675  

ときほ．，顧客の勘定にそれを記録し，その取引をプリントアクトすると同時に．，ガソリン  

・スタンドの在庫盟の減少を記録する。このように．，取引は，即時に処理され，取引の会   計が完成される。   

ここで，ダイアモンドおよびクラリンガーが，注意をうながしているのほ，このように   取引の会計が完成するためにほ，コントロールおよび予防手段を設計しておくことが必要   であるというととであり，その例として，上のばあいについては，つぎのような問題にこ   たえることができるような手段が必要であるとしている。すなわち，適正な勘定に記入さ   れたか，その金額が正しいものであるか，顧客が旋間をだしたときにそれ把こたえること   ができるか， 

再製する手段があるかなどといった問題である。   

そとで，ダイアモンドおよびクラリンガーほ，内部統制ほ，独立の会計士監査の限界を   補うものとして発展してきたとする。すなわち，独立の会計士藍査は，はじめは，非常に   精細な方法によって行なわれていたが，企業の大規模化および複雑化に．よって，それが困  

難紅なってきた。他方に．おいて，そのような監査ほ，事後的なものであるので，反復的な   不正または誤謬を摘発することができないという限界があった。・そして，これらの限界を  

補うものとして，内部統制があらわれた。このような内部統制は，資産の保全，正確性の   照合，能率の増進および政策の推進であるとしている。   

ところが，データ処理のため紅．コンピュータノーが使用されるよう紅なると，内部統制   は，より複雑なものへと発展することが要請されてきた。たとえば，従来の職務分割に・よ   るコントロ−ルが弱められたり，あるいは新しい報告者の正確性を確保するために・追加的  

コントロ−ルが必要とされるようになった。しかし，初期のコンビコ−タ−の時代のコン   トロL−ルの考え方は，パンチ・カ∬ド。システムのころと同じよう紅，取引を原始記録か   ら報告書にまでさかのぼってあとづけることができる監査証跡が存在したので，まだ，そ   れはど大きな変化を要求されていなかったといえる。   

ところが，コンビュ．一夕−の発展紅より，大患のデータが巨大なランダム・アクセス  

装置紅記憶させられるように．なると，これまであったような取引の参照記録（工ef占工・enCe  

listiug）を減少させる傾向があらわれる。そこでは，そのような記録を作成する紅．要す  

る費用と，それによる経営活動および監査紅おける効果との評虚が行なわれなければなら  

ないからである。また，EDPSにおいては，データに対する追加的コントロ−ル，たと  

えばインプット・データの確認およびその正確性のチ．エツクをシステムに潜みこんだプロ   

第42巻 算6号  

ーーJβ 【   676  

グラムFO・コントロールが発展してきている。   

このような状況において，ダイアモンドおよびクラリンガーは，内部監査人が，より積   極的にEDPSに接近すべきであることを強調する。すなわち，かれらは，EDPSにお   いてほ，とくに事前的なコントロ−ルが事後的なコントロ−ルに．比べて，非常に．のぞまし   いとする。事後的なコントロールは，経曹がかさみ，企業にとって負担が重く，また，不   能率であり，さらに．，非常に多くのばあいに，破局的になるまでコントロールの欠陥が判   明しないのである。   

このような理由から，かれらは，内部監査人とシステム設計およびプログラミング担当   者とが，密接紅協力することが有効な方法であるとする。すなわち，内部監査人のシステ   ム設計への参加に．よって，ジスデムがどのように腰たらき，どのような始果が生じ，また  

どのような装置が用いられているかをしることができるので，十分な予防手段をとること   ができる。   

さらに・，EDPS紅リアル・タイム・システムかとりいれられるように・なると，それは   内部統制に．も大きな影響をおよばす。リアル・タイム・レスデムでは．，そのシステム要件  

とコンtロ−ルとは．密接に．関連してこいる。すなわち，リアル・タイム・システムに．おいで   は，コントロール・システムは，全体としての処理システムの統合的部分として設計され   ることが必要である。このために・，システムの周辺を監査できる可能性は少なくなり，監   査人は，内部統制を検討するの紅コンビュ一夕ーをより多く利用しなければならなくな   る◇   

2 リアル・タイム・システムのコントロ−ル   

リアル・タイム・システム紅おけるコントロール・システムは，−・般紅．，レステムの種   類，端末械および主コンピュータ・一装置の型式紅よって相違するこ．とが考えられる。しか  

し，それでも，共通的なコントロ−ル領域およびコントロ−ル技術をみることができる。  

ダイアモンドおよぴクラリソガーは，これを，送受信コントロ−ル（Send−reCeive cont−  

roIs），記憶データのコントヲ−ル（controlling stored data），処理のコントロ−ル  

（processingcontroIs），ドキュメソf−Vヨソ・コントロ・−ル（documentationcotroIs）  

およびアウトプット・コントロ−ルに分けて説明している。  

（1）送受信コントロ・−ル   

リアル・タイム・システムでは，その性質上，単に．，計算機室内のコントロールばかり  

でなく，遠隔地の端末機のコントロ−ルも必要紅なる。すなわち，リアル・タイム・レス   

EDPS一内部監査の若干の問題庭ついて  −49−  

677  

テムでは，端末機のデータの送受信に．ついて優先順位が設定されているので，これに・対し   で糟功なコントロール・システムが設けられていなければならない。したがって，コンビ  

ユ−・クーは，端末機がどれであるかを確認し，ついでその優先的指令を検討しなければな   らない。   

つぎの問題ほ，インプットデータのコントロールである。理想的に・は，データは，バ   ッチに分けられ，ファイルを更新するまえに，コントロール・トー・クルが各バッチで−・致   させられるのがのぞましい。しかし，ランダム処理では，これとほ．異なる方法がとられる   ので，インプット・データを原始デー・タと十分に・比較して，システム内のデータの移動を   コントロ−ルする方法がとられなければならない。   

オン・ラインのファイルの利用を監視する方法ほ，毎日の利用を記録するために計静機   室の取引日誌をつけることである0そして，正当な権限のない利用ほ，計静機室とは別の   端末機紅印字されるようにしておくことが必要である。さらに・，理想的紅ほ，引好機室の  

端末機は，デー・タを作成したり，修正したりできないように設計して布くのがのぞまし   い。  

（2）記憶データのコントロ−ル   

もちろん，記憶データのコントロー・ル・システムは，端末機が利用できるデータの種類  

および記憶データ勾更新方法に・よって異なる。また，記憶装置の規模，種類および曹用に  よっても影響をうける。一般的方法として，つぎのようなものをあげることができる0フ   ァイルを，抜き打ら的に，あるいは定期的紅プリγトアクトする。ファイルの修正は，  

すべで，特定の端末機に・よって行なう。とくに・，率または定数の変更は，文書化しなけれ   ばならない。ファイル阻影響する取引は，更新されたファイルが印字されるまで保持され   ねばならない。   

さらに，記憶データが破壊されたばあレナに，再製を支持する方法として，ダイアモンド   およびクラリンガ」−ほ，つぎのことをあげている。  

1すべてのインプット取引は．，ファイルが印字されるまで，テ」−プまたはその他の安   価な記憶手段で保管する。   

2 ファイルのコントロ−ルは，システムに組みこまれ，あらゆる活動のため紅プリン   ト・アウトされる。   

3 アンバランスな状態は，海生時に．注意され，そのファイルは，ただちに引きだされ  

てオフ・ラインされる。   

第42巻 算6号。   ⁶⁷⁸   

ー5クー  

4 ファイルおよびファイルの状態の正しさを確保するために・，テストデックを用い   る。   

5 ファイルの修正は，すべて，特定の端末機に．よって行なわれ，かつその目的のため   にコソトロ、−ルされなければならない。  

（3）処理のコントロール   

処理のコントロールとほ．，コントロール・システムを強化するための日々の計静機室の   業務をいい，オぺレ−・ターへの十分な指示，コンビュ．−ターの運転の記録，停止・誤謬・  

再開始を記録する装置の使用，システムに・組みこまれたプログラムド・コントロ−ルの適   当な使用などが含まれる。ダイアモンドおよびクラリンガーほ．，これらのコントロ−・ル   は，すべてのコンピュータ−・・システムに・とって重要であるが，リアル・タイム・システ   ムに．おいてほ，とくに重要であるとしている。なぜならば，リアル・タイム・システムで   私人間の介在は非常に・少なくされるが，それに伴って：オぺレークーの判断が，与り重大   になるからである。   

また，ダイアモンドおよびタラリンガ−は，システムに．コントロールを組みこんだプロ   グラムド・コントロールに．，より多く依存することが必要であるとする。適当紅設計され   たコントローール・システムは，コンビュ．−・ターの不正な機能自休を減少させないけれど   も，それがアウトプットに影響す早まえ紅，処理過程の段階で問題を認識し，・それを訂正   するこ．とができる。  

（4）ドキュメシテr−ション・コントロ・−ル   

ー般に．，ドキュメソデー・ジョンの多くは，良好なシステム計画の結果である。したがっ   て，適当なドキュ．メンテーシュンがないということほ，システム全般における欠陥であ  

り，リアル・タイム・システムにおいては，この欠陥はとく紅明確に．なるとする。コント   ロ−ルを能率的紀行なうため紅は，標準化されたドキュメンテ∵−ジョンが里要である。し  

〆  

たがって，ドキュメンテ∵−ション・ポリシ−が設定され，そしてこれが守られていること  

を確かめるため紅コントロールを設けなければならない。とのことは，シスタネ設計およ   ぴプログラムミングのあいだに，適当な情報が失なわれていないことを確かめるために，  

厳格なフォロ・−・アップが必要である。   

ダイアモンドおよびタラリンガL−はすぐれたドキュ．メンテ∵−レヲンは，つぎのようなマ   ユニ．アルを含むであろうとしている。   

マスタ−・・アプリケ」−ジョン・マニュアル   

EDPS内部監査の若干の問題について   −・5J−   

679  

アナリスト・レファレンス・マニュアル    コントロ、−ル・プロセデュア・マニュアル    クラリカル・プロセヂ．ユア・マニュアル   プログラム・ラン・ブック    オぺレ−タ−・・インストヲクレヨソ   

また，上述のマニュアルは，つぎのような詳細な資料を含むであろうとしている。   

ソース・ドキュ．メソトのコピー    デザイン・ノ−ト   

レステム・アクトプットのレイアクトおよび内容   システム・フロー・・チヤ−ト   

データ・レイアクト    プログラム・ライトアップ   ブロック・ダイアグラム   コーディング・レート   

アセンブラ−またはコンパイラL−・  リスチング    テスト・データおよびアクトプット・レポ−ト  

コンソール・インストラクション    ノ、ルト・レ−トおよぴインヌトラクレヨン    変更のドキュメンテーション  

（5）アウトプット・コントロ−ル   

アクープット・コントロールの問題に．ついては，そのアウトプットがプリントされるば   あいは，リアル・タイム・システムでも，通常のコンピュータ小・・・・・システムのばあいと同  

じコントロ−ルを必要とする。しかし，ダイアモンドおよびクラリンガ・−・が，大きな変化   として指摘しているのほ，アウトプットがプリントされるのではなく，TVブラウン管の   ようなデータ表示紅よって行なわれることである。次算に．，と．のような速度の速い表示方   が選ばれる傾向がみられるよう紅思われる。そして，表示は，プリントされたデータと同  

じコントロ」−ル・チエツクをうけなけれぼならない。   

ところが，EDPSには，逆の方向に．はたらく要因も存在する。すなわち，レステムの   設計紅おいては，コントロL−ル・リズチソグ，レファリング・リスチングおよび従来のデ  

−・タ処理システムで設計された伝統的な監査証跡を減少させようという圧力が増大してい   

第42巻 第6号  

− 5ニヲーー   680  

る。貧弱なシステムのばあいには，監査証跡ほ，完全に子肖滅してこしまうが，すぐれたレス   チムの場合に．は．，監査証跡の形態は，非常に変化するけれども，その完全な消滅は考え．ら   れない。理想的には，コントロールほ∴レステムに．組みこまれ，エヲ−・が発見されたとき   に，例外報告書が，離れた場所の端末機からプリント・アクトされることがのぞましい。  

というのほ．，それが状況の適正な評価および訂正の唯一・の手続になるからである。   

また，ファイルの内容のプリント・アクトを要求するシステムに．は，コントロ−ル・ボ   インtがなけれはならない。いいかえれば，これらのプリント・アクトほ，アウトプット  

・コントロー㌦ノ・システムの部分でなければならない。   

さら紅，システム，内部統制およびファイルの正当性を検討するためのオー・汐ット・テ   スト・デックがより重要になる。   

最後匿，ダイアモンドおよびクラリソガ丁は，結論として．，リアル・タイム・システム   が発展する紅伴って二，コンビュ−・クー周辺の監査手続よりも，コンビニ．−・タ−の利用を藍   祝した監査手続把移行しなければならないとする。そして，内部監査人は，システムに組   みこまれたコント・ロールにより多く依存しなければならなくなり，そして逆紅，原始姦悪   畜類にほあまり依存しなくなる。現実に，原始証想書類は減少しつつあるので，内部監査   人は．，自らの資任に対応して適切な処置をとる必要がある。そこ／で，ダイアモンドおよび   クラリンガーは，内部監査人は，コンピューターのシステム紅通じることが，もっとも有   効な方法であることを主張するのである。  

Ⅲ EDPSにおける不正    1 EDPSにおける不正の可能性   

EDPSの内部監査把．関する文献紅おいては，不正の問題は，あまりとりあげられるこ   とがない。それほ．不正の問題は伝統的に内部監査に結びつけられているが，そのような消   極的役割は，EDPSのような近代的性格のものとはそぐわないような感じがするからで  

ある。カ−マイケルに．よれば，EDPSにおいて不正が問題にならない理由として，− 

般に．，つぎの3つの理由があげられる。第1は，コンピューター・自体が不誠実ではありえ   ないからである。第2ほ，EDPSにおける不正は非常紅複雑であるからである。第3は  

（9）  

内部統制手続に．よって記録と資産への接近とを分離することができるからである。   

しかし，これに対してこか−・マイケルは，EDPS紅おいても，不正は，なお可能であ  

ミ9）D．R．Carmichael，0？ Cit・，ppい28〜381 

EDPS内部監査の若干の問題について   −53−−  

681  

り，ただ，不正の方法が変化するにすぎないとする。また，内部統制手続としての職務分   割庭・よって資産への接近を制限しても，それほ必ずしも不正を防止することに・ほならな  

い。すなわち，カ−マイケルほ，データ処理担当者が資産に接近できるということは，あ   る種の不正紅必要な要素であるにすぎず，記録に．接近．することだけで不正を行なうことが   十分に可能であることを強調して：いる。   

ある種の勘定，通常のばあいに．は，受取勘定または支払勘定に虚偽の増加またほ減少を   記入することに．よって不正が行なわれる。このばあいに，従業員の会社に対する勘定，架   空の会社またほ関係者の勘定および従業員の共犯者の勘定が利周される。EDPSの記録   に．接近できる人びとにとって，このような不正を行なうことは可能であり，また，とのよ  

うな凝類の不正紅よる損害は，通常，巨額紅のぼる。   

カーマイグルは，EDPSにおけるこのよう．な不正の例としで，つぎのようなものをあ   げている。それは，ウォール街の大会社の場合であり，その犯行者牲，デー・タ処理レステ  

ムのスーパーノミイブー・担当の副社長であった。かれは，EDPSの設定を計画し，監督を   行なう職務上，会社のシステムに．精通し，かつ記録に近づくことができたので，自己の会  

社に対する取引の口座を通じて年5万ドル以上の不正を5年間続けてきた。その不正は，  

自己の口座を不正に増加させるために，虚偽のインプットをひそか紅パンチ・カ−・ドの束  

に入れることによって行なわれた。もちろん，そのばあいは，虚偽の増減紅よって目立た   ないように配慮されていた。   

カ−マイケルは，この例に・よって，資産への接近と記録への接近とを分離するこ卑でほ   不正を防止することができないことを示し，さらに，EDPSでは，デー＼タ処理が集中さ   れるので，手記システムにおけるよりも不正がより多く可能紅なるので， 

る不正の−・般的方法の研究が必要であるとする。   

2 EDPSにおける不正の方法   

れ−マイケルほ，EDPS払おける−・般的方法として，つぎの3つをあげている。  

（1）コンソ−ル・インタ−ベン1／≡rン  

（2）プログラムおよびマスター⊥・ファイルの不正な保管    唱）インプット・データの不正な操作  

（1）コシソール・インターベンション   

コソソ−ル・インタ−ベンショノンは，不正のうちでももっとも注意されているものであ  

る。というのは，コソソ−ル・インタ−ベ∴／ションほ，もっとも使いやすい方法であり，   

寛42巻 第6号  

−− 5J−   682   

また，いろいろな不正に使用することができるからである。すなわち，コンピュータ−の    コソソ−ルまたほ外部のコントロール・パネルは，コンビュ一夕−∴をスタートさせたり，   

ストップさせたり，内部記憶装置からデータをとりだしたり，手でデータを入れたり，入    出力の媒体を変更したり，エラーが生じてコンピューターが停止したときにコンピュータ   

ーをリセットしたりするため紅用いられる。コンビ．コ．一夕ーのコンソールのこのような機   能ほ，正常な処理に．おいても必要であるが，同時に．，不正な行為のために．も役立つのであ    る。   

たとえば，プログラムについての臨時的な不正な変吏は，コンソールをつうじて．行なわ   れる。処理前のプログラムが正常であって−も，コソソ−ルをつうじて二不正な処理手続が臨   時紅入れられるととがある。同じよう紅，マスター・・ファイルにおいても不正な変更が行  

なえる。さらに，コンソールほ，処理手続町架空の取引を入れたり，正当な取引を除いた    りするために．も用いられる。  

（2）プログラムおよびマスタ・−・ファイルの不正な保管   

不正なサブルーチソを，正規のプログラムの一部分としで永久に入れるととができる。   

というのは，コンピューター・プログラムは複雑なので，このような不正なルーチソがコ    ンビュ−ダー・・プログラムのなかにわからないようにかくされるからである。   

このようなプログラムの永久的な変更は多くの方法で行なわれる。たとえば，システム  

・スーノミ−バイザ−ほ十分な権限をもって．いるので，かれはこ．の正規の権限を行使するだ   けでプログラムを不正紅変更することができる。正規の権限をもっていない人のばあいに   ほ，プログラムの変更の承認を偽造したり，あるいは正当に承認されたプログラムの変更   の指示を不正に変更して，プログラムの変更を行なう。   

上紅のぺたような，すで紅あるプログラム紅不正なル岬チソが入れられる可能性ばかり   でなく，不正なプログラマ−・紅よって1最初のプログラムを作成するときに，不正なル几チ   ソが含められる可能性もある。そのばあい紅，不正な手続はコ−ディソグ・レ・−トにほあ    らわれないであろう。   

この不正に関連して，九−マイケルは，生じうる不正の形態の例を，マックレ一によっ  

てあげている。それは，給料計静でほ，通常ほ，支給額はぺニーの単位までに四捨五入さ  

れるが，不正なプログラム紅よって端数をすべて切り捨てるよう紅計算し，切り捨てられ  

たすぺての端数をあつめて，プログラマーまたはその共犯者の給料紅加えるようにする例  

である。このような不正は，個々の人にとって端数の切り捨ては藍要な金額ではないの   

EDi，S内部監査の若干の問題庭．ついで   −β5−  

683  

で，大きな疑惑を招かないであろう。   

つぎに，カー・マイケルは，プ甲グラミソグの不正において内部統制がやぶられる例をあ   げている。それは，銀行のオぺレーダーのばあいの不正であった。組織計画では，不正を予   防するために，オぺレークーのプログラミソグについての知識を制限しでいた。しかし，  

オぺレーサーほ，不正に必要な預金の利子についてのプログラム紅ついて．−の知識を自分で   勉強した。オぺレークー・は，各預金勘定に，正当に計辞された利子額から1ドルずつ控除  

した金額を記入し，この1ドルをオぺレ−・クーの勘定にあつめるという不正なサブルーチ   ンを作成した。しかし，オぺレーク一には，プログラムに不正なサブルーチソを入れる機   会がなかった。そこで，オぺレー・ターは，外部のコンビュ一夕ー・サービス・センター  

で，不正なサブル−チンを加えた利子プログラムを作成し，計算機室が多忙なときをねら   って，正当なプログラムととりかえたのである。   

この不正の例において注意すべき点として指摘されるのは，利子金額の合理性紅対す・る   チチックとしてのプグラムド・コントロ−ルは有効でないということである0   

さらに，銀行のサー・ビス料金のプログラミングの不正の例をあげている。銀行のサー・ビ   ス料金を計辞するプログラムで，適正に計辞されたサ−ビス料金紅応じて，5セント，10   セント，25セントの金額を加えるように指示する不正なサブルーチ・ソを含ませたという例   である。こ．の不正では，料金の額の大きさに応じて不正な金額が付け加えられるので，疑   惑を招かない。この追加された金額は，架空の名前のプログラマーの勘定にあつめられる   のである。  

（3）インプット・デ・一夕の不正な操作   

カ−マイケル牲，インプット・デー・タを2つのカテゴリ−た分ける。1つはマシ∵／・セ   ン1ノブル・インプットであり，パンチ・カードまたは磁気テ∵−プのような処理可能な媒体   のインプットで構成される。もう1つほ，・その他のすぺでの原始証想書類である。通常，  

EDPSは，両方の形態のインプットを含んでいる。たとえば，送り状に．含まれた仕入取   引のデータは，EDPSで処理されるまえ紅，パンチ・カ 

形に変えられる。   

このようなインプッ†・データは，不正が行なわれやすい領域である。何故かといえ   ば，この不正はほとんど特殊な知識を必要としないからである。だから，これまでの多く   のものはこの方法を利用したものであったのである。   

手記的会計レフテムでの多くの不正は，原始証懇書類の変更また胱偽造が含まれている   

籍42巻 第6号  

−・56 −   684  

が，EDPSでも，また，この種の不正のおそれがある。というのは，従業員は，不正に   必要な原始証憑書類，マシン・セン1／プル・インプットデー∵タおよぴアウトプット・デー  タの相互関係をよくしっているからである。   

カーマイクルほ，EDPSに独特な不：ifの例としてつぎの例をあげている。それは，銀   行のコン．ピュ一夕ー・の管理者が，インプットの小切手にきずをつけてコンピューターに拒   否させて，その小切手を横領した不正である。このようにインプット紅故意の誤謬を記入  

してコンビーコ．一夕ーから除くことができるほあいには，不正の可能性がある。この方法に   よって正当な敢引を変更したり，あるいは正当な取引ととりかえ．たりすることができる。   

また，EDPSの・ユニツ†・レコ−ドの特徴に．よ．って，まったく架空の取引を入れるこ   ともできる。不正なパンチ・カードを正当なパンチ・れ−ドと区別するのほ困難である。  

さらに．，カ−ドにパンチするのに必要な知識ほ，プログラミソグやコンソー・ル操作に比較す   れば非常に／i＼さいものである。   

3 従業員の種類による不正の分類   

つぎに，カーマイケルほ，EDPSの不正の問題ほ，誰が不正を行なうか紅塵大な関連   をもっているので，従業員の種類によって不正を分類してその検討を進めている。  

（1）マシン・オペレ一夕ー   

EDPSの不正の多くは，マシン・オぺレ一夕ーの不正に．関するものであった。その理   由は，マシ∵ン・オぺレ一夕ーがコンビュー・クー町介入するのは非常に容易であるからであ   る。そこで，カー・マイケルは，まず，マシン・オペレータ一に可能な種類の不正を説明   し，ついで既存のコントロール紅対す・る追加的要素および必要な技術を説明している。   

マレン・オぺレ−タ−は，銀行の業務および支払手続のようなばあいに，小切手がコン   ビュ一夕ーのインプッF・またほアクト・プットであれば，それに．近づくことができるのが通   常である。ま．えに説明したように・，銀行の去ソピュ一夕ー・センタ−では，マシン・セン1／プ   ル・インプットを不正操作して，小切手を手作業紅よる処理紅かえるととができる。マシ∵／・  

カ■ぺレー・タ−が，」＼切手を横領したばあいに．は，その不正をかくすために．，コンソールを   つうじて虚偽の取引を入れたり，インプット作成の基礎である原始証憩類を偽造したり，  

さら紅，マシ∵／・センシブル・インプット自休を作成して取引を入れたりすることなどが   できる。   

不正を行なう紅は必ずしも現金に近づくことを必要としない。このような不正には虚偽  

の取引を入れることが必要であり，それほ，コンソール・インターペンべ／ヨ㌻ンかインプッ   

EDPS内部監査の若干の問題把ンついて：   −57−  

685  

トの不正な操作のどちらかによって行なわれる。また，マシ∵ソ・オぺレ一夕は，コンソー   ルをつうじでプログラムを臨時的紅変更して，不正を行なうことができる。   

れ−マイケルは，これらの不正のすぺては，コンビニ一夕−・・プログラムに・ついて−の詳   細な知識が必要であり，また，プログラミソグの不正にはプログラムの作成能力が必要であ  

ることを指摘している。したがって．，EDPSにおける不正の危険は，オぺレ一夕ーが，  

プログラマ一−およびシステム・デザイナ・−をかねるようなレステムの専門家であるばあい   に．生じる。このこ．とほ職務分割が不十分なばあいによくおこることである。これと同じよ   うな危険ほ，マシン・オペ・レークーがプログラムについて詳細な知識をもって．いるばあい   にも，かれがプログラムを作成する能力をもっているばあいにも存在する。ところが，こ   のような状態は，職員不足による必要性がない会社に．も存在することがある。それは，会  

社によってほ，フル・プログラマー・トレ−・ニ∴ングの方針にもとづいて，誰でもがプログ   ラムを作成でき，コンソールを操作できるようにしているからである。   

このような不正を防止する内部統制手続は，マシン・オぺレ−タ一紅プログラムについ   ての詳細な知識を与えないよう紅することである。これに対して，カーマイケルほ，この   ような不正を摘発する積極的方法としてコンソール・ロツグによる方法をあげる。コンソ   ール・ロツグは，オぺレータ−の介入を必要とする停止，エラーまたはプログラムの変更   の概要の記録を提供するものである。このばあいに．，プリント・アクトのコピ−を封鎖し  

ておくとか，連続番号を記入した用紙を使用するなどのコソソ−ル・プリント・アクトに  対するコントロールが必要である。さらに，このコソソ−ル・ロツグは，それに．関する知  

識なもった独立の関係者が検討することが必要であり，これが行なわれなけれは有効なコ   ントロール紅はならない。   

上のようなコントロ−ルド・コソソ−・ル・ロツグ紅代わる方法は，利用ロツグ・シ−ト   である。このレ−・トほ，特定の処理業務濫．要した時間を表示する。したがって，実際の利   用時間と予算時間との比較および差異分析紅よって，摘発的コントロ−ルを行なうことが   できる。すなわち，オぺレ−・ダーのインタ・−ベンレヨソは処理の相当なおくれの原因とな  

り，  これは利用ロツグ・レ−トの検討匿よって．摘発することができるからである。   

しかし，このようなコントロールは，他の予防的方法と結合させておかなければ容易に   破壊されてしまうおそれがある。すなわち，処理中の停止の原因ごとに標準的手続が設定  

されていなければならない。また，このばあいのオぺレ一夕−への指示は，明確なエラ・−  

訂正手続にしたがわなければならない。もしも，文書化されたエヲ・一訂正手続の指示がな   

第42巻 寛6号   ⁶⁸⁶  

−5β−  

いぼあいに漁，オぺレータ一に利用できる時間および自由があれば，不正を行なうことが   可能である。この問題ほ，オペレー・ター・が故意にインプットにきずをつけてエラーを生じ  

させることができることを考えれば，より重要なものになる。   

また，マレソ・オぺレークーは，複雑なプログラミソグの不正以外のもっと容易な方法   を利用することができる。それは，インプットのバッチに虚偽のインプットの文書を入れ   ることである。この不正を摘発する内部統制手続がバッチ・コントロールである。すなわ   ち，最初紅インプットの文書を作成したときに．数え．て．おき，このコントロール・トー・クル   を，種々の処理の段階のトータルと比較するのである。   

しかし，カ−・マイケルは．，、この技術にも種々の限界のあるこ．とを指摘している。すなわ   ら，積極的なフォロー・アップおよび発見した差異の訂正が行なわれなければ，この手続   は有効ではない。そのほあい紅都合の悪いことに．は，最初のカウントと以後の機械のカク  

ソトとが食い違うことがしばしばである。・それほ．，最初のカウントのときに．，人間が間違   いを犯すからである。このように展初の聞達ったカウント紅よる食い違いが多いばあい紅   ほ，フォロー・、アップは不十分なものになってしまうであろう。   

また，虚偽のインプットの文書がバッチに．加えられるのではなく，正当なインプットの   文書ととりかえられるばあいには，バッチ・コントロ−ルほ．有効ではない。インプットの   文書紅連続番号がうってないばあいに．は，このようなとりかえほ比較的容易である。   

さらに．，キーパンチャーとコソソ−ル・オぺレー・タ−との間に．共謀が行なわれるばあい   のあることが結締される。虚偽の取引がインプットの作成グループによって■入れられ，そ   れ以後の処理が不正の仲間に．よって行なわれるばあい紅ほ，バッチ・コントロールはこの  

ような不正を摘発することはできない。  

（2）プログラマー   

プログラマ−・は，コンピュータ−・のレステムおよぴプログラミングについて詳細な知識   および能力をもっているので，プログラミングの不正を行なうことができる。しかし，多  

くのプログラマーが，コンビュ、一夕ー・〝ステムの設計紅参加レているばあい紅は，最初   のプログラムに虚偽のサブルーチソが含まれることはない。したがって，新しいプログラ   ムのデパッキングで不正を摘発するということはない。   

れ−マイケルは，むしろ，デバッキソグの後のプログラムの不正な変更に．問題があるこ  

とを指摘している。というのは，プログラムは，変化の状況紅適応するため紅しばしば変  

更される必要があるので，このようなばあい紅プログラムの不正な変更が行なわれる可能   

EDPS内部監査の若干の問題紅ついて：   −5クー   687  

性があるからである。プログラマーは．，プログラムの不正な変更を行なうのに必要な知識  

をもち，また，プログラムの不正な変更の承認を偽造したり，あるいは承認されたプログ   ラムの変更に虚偽のサプルーサンを加えることもできる。   

プログラムの不正な変更の防止を目的とする内部統制手続としてほ，プログラムの変更   はすべてプログラマー以外の人をつうじて：行なわれることを要求すること，プログラムの  

変更の理由および影響をすべて文書化す・ることおよぴプログラムの変更の数的アカウンタ   ビリティを設定することなどがあげられる。   

さらに，カーマイケルは，プログラマーの不正はプログラミングの不正に限られないと   する。すなわら，プログラマ−・がもつコンビ．コ．一夕ー・カ■ぺレーションおよびプログラミ  

ングについての詳細な知識に．よって． ，虚偽の取引を記録阻入れることができる。この目的   のために，そ・のときの事情に応じて，コンソール・インターベンショソまたはインプット   の不正を利用することもある。   

したがって，プログラマー紅よるインプットの不正な操作またはコンソ−ル・インター  ペソレヨンを防止することが必要である。このための内部統制手続は，コンピュータ−・  

センタ−とシステムおよびプログヲミ．ング部門との組織的分割である。すなわち，プログ  

ラマ−ほ機械操作を行なってはならないということである。しかし，この手続は人間が行   なうので破られやすい。また，プログラマーとマシ∵／・オぺレークー・との共謀湛．よって，  

マシン・オペ・レ−ター・の記録への接近とプログラマーのレステム紅ついての詳細な知識と   を結合することができる。このような共謀の可能性は，手記的システムのばあいと同じで   ある。   

さらに、カ−・マイケルは，コンビーユータ−・・レステム紅独特な無意識的な共謀のあるこ   とを指摘している。マシン・オぺレーク−は，うっかりプログラマ−の不正の仲間にな   るかもしれない。たとえば，もしも，マシン・オぺレ一夕ーがプログラミソグおよび会計   の問題についてあまり知識をもっていないばあい紅は，プログラマ−・は，オぺレL−タ・一紅   虚偽のサブル−チンを入れるように．，あるいは虚偽の取引を処理すべきデー・タのなかに入   れるように指示することができる。また，処理中に・エラ−が発見されたためにプログラマ  

−とオぺレ一夕−・とが接触するときに，虚偽の取引を入れることができる。もしも，エラ  

−訂正手続が確立されていないばあい紅は，かぺレーダーは，プログラマーーの口頭の指示  

に．したがってコンビュ−ダーまたほ記録に近づぐであろう。このようなばあいに．無意識の  

共謀が行なわれないようにするため紅牲，オぺレ▲一夕ーはプログラマ−の口頭の指示には   

欝42巻 第6号  

ーβ♂−   688  

したがわないように決められてこいなけれぼならない。しかし，オぺレ一夕ーがこのような   手続の厳重な遵守が重要であることを認識していなければ，それは有効ではありえない。  

そこで，もっとよいコントロールを行なうためには，プログラマーを，正規の運転中は，  

処理装置のある部屋に㌧入ることを禁じることが必要である。   

最後に，カーマイケルは，多数のプログラマーが所属している大規模な装置のばあいに  ほ，1人のプログラマーだけで不正を行なうのに十分な知識をもっていないかもしれない   ことを指摘している。このことは，システム・スーパーバイザーまたほコンビュ一夕ー・  

センター管理者のばあいに．も同じである。   

（3）システム・スーパ・−パイザr一   

監督的地位に周有の権限は不正を行なうのに．も役立つ。この問題ほ，コンビュ一夕−・  

レスダムの集中化紅よって，とくにシステム・スーパー′くイザーのばあい紅ほ強調され   る。システム・スーパエバイダーは，プログラムの不正な変吏を行なうのに必要な知識お   よび能力をもっているとともに，このような変更を着手する権限をもっている。したがっ   て，ジステム・ス−バーバイザーのコソナロールは，プログラマーのコントロールよりも   困難である。   

これに対する1つの予防的なコントロ−ルほ，プログラムの変更の承認に・ついて複数署   名を要求することである。しかし，これは小切手の複数署名のはあいよりも有効ではな   い。それは人間が守ることが必要であるからである。もしも，プログラムの変凄を承認す   る2番目の人が，システム・ス−パ−パイザーから独立であるばあい紅は，その人がコン   ビニ−・ダー・プログラミングについての詳細な知識をもっていなけれは，かれの署名は役   紅立たない形式的なもの紅なるおそれがある。   

そこで，カ−マイケルは，システム・ス−パ−バイザ一に・よる不正の摘発のもっとも有   効なコントロ−ルの方法は，アウトプット・サンプリングであるとする。すなわら，デー   タ処理部門から独立なコントロ」−ル・グル−プが，アウトプットをサンプルに・よって厳格   に検討することである。この方法はすぺての不正を摘発できないまでも阻止的な効果があ   る。   

さらに，日常的な仕事の承認がコンビュ−ダー・システムに組みこまれているばあいに  

は，プログラミyグの不正はより深刻な問題紅なる。たとえば，貸倒れの償却，返品およ  

び値引の承認，送り状の承認，小切手の作成，在庫の記録，信用供与などの決定は，コン  

ビュ−ター一にプログラムとして鱒みこむことができる。このよう紅貸倒れ，返品および値   

EDPS内部監査の若干の問題庭．ついて  −βノー   689  

引のために．受取勘定を滅徹することは，不正のために，また，不正をかくすために用いら   れることが多い。このようにコンビュー・クー・プログラムに．これらの決定の承認を組みこ   むことは，プログラムをコントロールする人にこれらの決定のコントロールをまかせるこ  

とを意味する。   

最後に．，カーマイケルは，コンソ−・ル・インターベン1ンヨンおよびイソプットの不正な   操作の問題にふれる。これを防止するコントロ−ルはプログラマーのばあいと大体同じ   である。すなわち，システム・スーパーrパイザーは，機械操作を行なってはならない。ま   た，厳格なエラー訂正手続に．したがわなければならない。  

（4）その他の職員   

記録保管係（Ⅰ・eCOIdlibIa工ian）は，作成されたコンビコ∴一夕ー・・プログラムおよび磁   気チープ・リールの実際のコソtロールを行なわなければならない。すなわち，プログラ   ムおよびテープは，正当な権限にもとづいて，正当な処理目的のため紅引き渡されなけれ   ばならない。もしも，マシン・オぺレークー，プログラマー・あるいはシステム・ス−パー  パイザーが，無制限にプログラムおよびテープk近づけるばあいには，不正を行なうこと   は容易になり，すで紅のべたその他の各播のコントロ√−ルは肩効でなくなる。記録保管係   は，通常，不正が行なえ．るほどの知識をもって：いないと考えられる。しかし，コンビニ．−  

ダー・・レステムのその他の職員と無意識的紅共謀を行なうおそれがある。   

っぎに．，インプットまたほアウトプット担当の職員は，手記ジスデムでインプッt・およ   びアウトプットを担当する職員と大体同じように，コンピュータ−・システムでも，不正   を行なう機会をもっている。ここ紅おいては，職務分割がもっとも豊要な内部統制手続で   ある。あるインプットの作成紅参加したものはそのアウトプッt・虹近づくぺきではない。  

コンビ．ユ．−ダー・システムに．ついて詳細な知識をもっていなければ，インプットおよぴア   ウトプット担当職員による不正の可能性は少ないであろう。   

しかしながら，コンビュ・一夕ー・システムでインプット担当職眉常・もっとも容易な不正   は，特殊な専門的知識を必要としない方法でもある。すなわち，虚偽のインプットの文書   を入れることによって虚偽の取引を入れることができる。この種の不正は，オフ・ライン  

り0装置のコンビュ−タ−・システムでは容易紅行なわれる。このような装置では，虚   偽の文書を入れる機会は非常紅多い。これに加えで，この装置の通常の媒体であるパンチ  

・カ−ドほ，バッチに入れたり，とりのぞいたりすることが容易であり，また，虚偽のパ  

ンチ・・カ−・ドと正当なものとの区別は困難である。   

第42巻 第6号   ⁶⁹⁰    ー62−  

さら紅，インプットおよぴアクトプットの担当職員は不正紅必要な文書に近づくことが   できる。コンビュ．一−ダー・・シ．ステムにおける文書のすぺて二紅連続番号をつけることやすぺ   てごの文書の数字的アカウンタビリティは．，不正を摘発するの紅重要である。たとえば，独   立にはたらいて：いる2つの銀行の従業員は，当壌預金計算書が預金者に・送られるまえ紅修   正して，自分の横領をかくすことができる。そのための無記入の当座預金討静香ほ，当座   預金の処理のはじめおよびおわりから容易に入手される。   

また，コンビコ．一夕−・センターが業務を行なっていないとき紅，処理装置，記録保管   所およびⅠ／0装置に近づくことを防止すやコントロ−ルがないばあいにほ・，コンビュー  タ−・システム紅ついて十分な知識をもつものはだれでも不．正．を行なうことができる。も   しも，担当者がいないときに，コンピューターへの接近がコントロ−ルされていなけれ   ば，いくら複雑な処理的かつ組織的コントロ−ルを多く設けても，不正を防止するために   は有効ではないであろう。   

結論としてニ，カーマイケルは，つぎのようにいう。EDPS紅．おいても，不正を行なう   ことはまったく可能である。コンビュL−タ−は，不正直ではありえないけれども，データ   を不正な方法で処理するように．命令を与えられるし，また，不正なデー・タを処理のために  与えられるo EDPSの不正の挙るものは復姓であるが，すべての組織に・はこのような複   雑性に対処できるものもいるし，また，ある種の不正はそれほど複雑ではない。さらに，  

資産への接近と記録機能との分離に．よっても不正を防止することはできない。したがっ   て，EDPS紅おいても，不正は重大な問題であるので，内部監査人ほ，EDPSに．おけ   る不正の一般的方法を理解することが必要である。  

Ⅲ む  す  び  

これまでEDPSにおける内部監査に．関する2つの論文を紹介しできた。その基本的な   考え方は興味のある対比を示している。ダイアモンドおよびクラリソガ−は，EDPSの   高度化紅伴っで，処理のシステムはより複雑化し，かつより機械化して，人間の介入が少   なくされることに着目し，内部監査は，レステム紅組みこまれたコントロール紅依存しな   ければならなくなり，したがってこのようなコントロ−ルの有効性の評定紅重点をおくよ   う紅なることを指摘している。それゆえに，内部監査は．，EDPのシステム紅硫極的に．と   り′くまなければならないとされる。   

これ紅対して，カ−マイケルは，EDPSが非常紅高度化し，システムに．コントロー   

EDヤS内部監査の若干の問題紅ついて   −β∂−  

691  

ルが組みこまれ，また，職務分割が行なわれても，それ紅対応して不正の方法が考えられ   るので，つね紅不正の可能性がある。EDPSがいくら精巧紅なっても，人的介入をまっ   たく排除するということは不可能である。むしろ，逆に．，人的要素の重要性ほ増大すると   いえる。とのように人的介入がのこされるかぎり，EDPSの限界を利用してこ不正が行な   われる。内部監査ほ，EDPSにおける不正の可能な方法紅ついて研究することが蛮要な   のである。   

このような基本的思考の対比，すなわち，EDPSの高度の信頼性とEDPSに対する   不正な人的介入の可能性は相互作用的なものであり，一・方紅よって他方を完全紅否定しざ  

ることほできない。EDPSは，より高皮な信頼性が志向されるであろうし，不正もまた  

より高度化するであろう。それは，EDPSほ，人間が設定した目的の手段であり，かつ  

人間紅よっで使われるものであるからである。したがって，内部監査に．おいて，EDPS  

のコントロールの評定の研究とEDPSの不正の研究は，ともに有用であるといえる。