CMSに潜むリスク
2021/06/11
CMS(キャッシュ・マネジメント・システム)に潜むリスク
複数の企業から成るグループ会社において、全体の資金効率化のためにCMS(キャッシュ・マネジメント・システム)を導入する会社が増えています。
今まで私が関わってきた中で、20数年前に導入した会社もあれば、最近になって導入している会社もあります。(いずれもグループ会社数100社を超える規模です。)
このCMSの仕組みですが、具体的には、親会社がメインバンクに当座借越付の当座預金口座を開設し、その当座預金口座に子会社にも作らせた当座預金の口座を連携させ、子会社の口座に売掛債権等の入金があれば、その日の夜間処理で親会社の口座に振替えられ、また、子会社に支払等で資金が必要な場合は、その銀行の子会社の口座から引き出し、一時的に当座借越となりますが、これも夜間処理で親会社の口座から振替えられ、当座借越が解消されます。
このCMSの導入により、資金に余剰のある会社から、不足している会社に資金が速やかに融通されるため、企業グループとしての資金効率は導入前と比べて飛躍的に改善されることは容易に想像できるでしょう。
CMSのグループ会社への導入により、資金が効率的に運用されますが、そこに潜む落とし穴があります。
各グループ会社からのCMSへのアクセスは、インターネット・バンキングを通じて行われることになりますが、そのIDとパスワードの管理が落とし穴へとつながります。
通常のインターネット・バンキングであれば、データ登録者とその承認者を分離し、トークンやワンタイムパスワードの利用により不正アクセスは行われにくい仕組みとなっていますが、企業グループの末端に近い会社となると、社内に情報システムの専任者はおらず、IDとパスワードの管理が不十分となるということが考えられます。
いくら親会社が、トークンやワンタイムパスワードを導入させ、セキュリティを向上させようとしたところで、余剰人員がいないことから、CMSに利用に当たり、申請者と承認者の区分ができなくなります。
すなわち、『利用者の善意により不正が起きていない』というだけの『内部統制の存在しない性善説に基づく脆い仕組み』となっていることが考えられます。
経理業務の内部統制が確立されている会社群(公認会計士監査の対象となっている会社群)は問題ないと思われますが、内部統制が不十分で、その状況がチェックされていない会社群(親会社から見れば、孫会社・曾孫会社といった会社群)について導入することにはキケンです。
経理業務の分離が未熟な子会社にもCMSの仕組みに入れると、担当者に魔が差した場合、莫大な金額を親会社の当座預金から自分の口座に入金できてしまうという横領が生じる恐れがありますs。