過日、法人の青色申告に向けた説明会に出席した。そこで頂いた資料の中に「自主点検チェックシート」というのがある。
企業の代表者、もしくはしかるべき責任者が、自社内の経営管理に不備がないかを点検するためのチェック表である。
その目的には「内部統制および経理能力の向上、税務リスクの軽減」と書かれているから、チェックの観点(範囲)は主に経理と税務だと思われる。
このチェック表の中にインターネットバンキングに関する項目が2項目だけあった。今や中小企業でも、取引先への振込みや給与の振込などにインターネットバンキングを利用するところが増えているからだろう。
しかしその2項目の内容について、いささか気になる点があった。
1つが「インターネットバンキングのID、パスワードはセキュリティの観点から適切に保管されていますか」であり、今一つは「インターネットバンキングによる送受金は、上席の責任者によって確認する体制になっていますか」である。
このチェック項目のカテゴリーが文書管理になっているからセキュリティ面のチェック項目としては貧弱なのかもしれないが、インターネットバンキングの不正送金については、その件数と被害総額が過去最大になっていることを考えると、これだけでは不十分であろう。(2014年の不正送金の被害は1,876件、被害額は約29億円に上る。これは前年より561件多く、被害額も約15億円多い。特に最近の傾向として、地方銀行などの法人口座が狙われている。)
そもそもインターネットバンキングのセキュリティ以前に、PCが安全に管理されていることが前提である。すなわち、ウィルス対策ソフトの導入と、OSおよびソフトウェアが随時更新され最新の状態になっていることである。PCが安全に管理されていなければ、マルウェアに感染するリスクが高くなり、いくらIDとパスワードを適切に保管していようが、情報を窃取される恐れがある。
また、セキュリティの観点からは、IDとパスワードによる認証よりも、電子証明書による認証と、さらにワンタイムパスワード方式などを併用して多段階認証とする方が望ましいだろう。
IDとパスワードによる方式を利用せざるを得ない場合であっても、パスワードの強度を高め、パスワードの使いまわしはせず、一定の周期でパスワードを変更するなど、最低限のセキュリティ対策が必要である。
先に記したとおり、最近は法人口座が狙われる傾向にあるため、銀行でもセキュリティ対策を顧客向けにアナウンスしている。取引先の銀行のセキュリティ対策を確認し、自社にその対策を導入していくことも重要である。
インターネットバンキングに関する2点目のチェック項目が「上席の責任者によって確認する体制」になっているが、これも確認ではなく「承認」にした方が良い。すなわち、担当者がPCから入力した振込みデータについて、責任者の承認がない限り振込みが実行されない態勢を作る。人が少ないからそのようなな態勢はとれない、という場合は、銀行からメールで届くログイン記録や振込み記録の宛先を責任者にして、責任者が事後的にチェックを行う態勢を作る。
今や中小企業であっても会計処理や給与計算は、PCのソフトやクラウドなどを使用してシステム化が進んでいるであろうから、「情報セキュリティ」というカテゴリのチェック項目があった方が良いかもしれない。
来年からマイナンバー制度が導入されるわけだから、個人情報を含む情報セキュリティは重要な観点になるだろう。
自主点検チェックシートの「売上原価」のカテゴリのなかに「自社専属の外注先と従業員との区分が明確にされているか」という項目がある。税務から見た場合、外注に発注する場合は消費税が関係してくるが、従業員の場合(労務費)は給与の支払いなので所得税の源泉徴収が発生する。
一方、これを契約面から見た場合、外注先への発注は請負契約や準委任契約に基ずくものであるのに対して、従業員の場合は労働契約(および就業規則など)に基ずく。
従って、契約に照らしてみれば外注先か従業員かの「区分」は明々白々だと思うのだが、この点を講師の方に確認したところ、そのような契約自体が存在しないケースがあるとのことだった。これは驚きである。
もしそうであれば、これは税務上どうのこうの以前の問題である。特に従業員やアルバイトとの間に労働契約が存在しないとしたら、時間単価や就業時間、休日や時間外の扱いなどが定義されていない(労使で合意できていない)ということになる。これはどう考えても労働基準法違反だと思うのだが・・・。
昨今、ブラック企業という言葉をよく耳にするが、内部統制というからには遵法の観点からの点検も重要である。
もっとも、あれもこれもとチェック項目を増やし過ぎると運用が回らなくなる懸念もあるから、各企業の実情に照らして適宜チェック表をカスタマイズするのが良さそうだ。あるいは期間を区切って「今期は経理を重点点検する」など、メリハリをつけた運用も考えられるだろう。
|