不正 の トライアングル 理論。 不正のトライアングル

【事例から学ぶ「有効な不正対策」】 不正のトライアングル分析論

不正 の トライアングル 理論

会計や監査について研究者が書いた本って好き。 エビデンスに基づき一つ一つ立証を組み立てていくため、根拠も含めて納得できます。 よく知られているものでも、元資料が調べにくいものがあったりしますからね。 ボクはかなり昔、会計監査における不正リスク対応のメソッドづくりのために、不正調査の方法論について調べていたことがあります。 不正リスク対応といえば有名な説に、「不正のトライアングル」があります。 このモデルは、一般に、米国の犯罪学者であるドナルド・R・クレッシー氏によるものと言われています。 そこで、このモデルの解説を探したのですが、どれも1ページにも満たない概要ばかり。 当時は、深く掘り下げた文献が見つからなかった記憶があります。 しかし、今日、不正のトライアングルを深く掘り下げた文献に出会いました。 それは、中部大学講師である田中智徳サンによる『不正リスク対応監査』(同文舘出版)。 さすが、研究者の本。 不正のトライアングルをはじめとして、エビデンスを積み上げています。 この本で知ったのが、「不正のトライアングル」は、クレッシーによる理論ではないこと。 世間ではクレッシーの説だと説明されているのに、驚きの事実じゃありませんか。 少なくともボクは驚きました。 もちろん、クレッシーの説が原型となっています。 しかし、それは原型であって、「不正のトライアングル」理論のすべてではない。 そもそも横領による犯罪を対象としています。 クレッシーの説は、その後、アメリカのブリガムヤング大学教授のスティーブ・アルブレヒト氏によって、監査人が会計監査で利用できるモデルに発展していきます。 それが今でいう「不正のトライアングル」理論。 これについて多くのページを割いて説明されています。 こうした基礎的な事実以外にも、不正対応として学びがありました。 最も役立ったのは、質問の相手。 監査人が従う監査基準では、経営者不正に対応していくために、経営者に質問することが求められています。 また、必要な場合には、その他の企業構成員にも質問すべきと規定されています。 一方で、会計不正の発見手段として最も多いのは、通報です。 不正を実行していない人から「こんな不正が行われている」「あの人が不正をしている」と通報されて会計不正が発覚する事例が統計的に多い。 この事実を捉えて、「不正は不正を行った人物からではなく、それ以外の人物から明らかになる」と指摘します。 すると、不正の疑義の中心人物から質問するよりも、疑惑の中心人物から最も遠い、関係のない人物こそ、質問相手としてふさわしい。 実際、不正調査では、そのような順番で面談を実施しているとのこと。 したがって、会計監査における不正リスクへの対応としては、その他の企業構成員への質問は、必要な場合ではなく、積極的に行うべきと主張します。 そのほうが、不正に関連する有益な情報が得られやすいと。 ボクの経験上、2つのアプローチがあると整理しています。 今、紹介した質問とは、監査人が能動的に働きかけるプッシュ型のアプローチ。 自ら質問していくことによって不正に関連した情報を収集していく方法。 これに対して、プル型のアプローチもあります。 監査人が主体的に働きかけなくても、不正に関連した情報が飛び込んでくる状態を作る方法です。 いわば、内部通報の相手先が監査人となるようなイメージ。 このプル型のアプローチを実践するためには、この会社の方々と信頼関係を築いている必要があります。 信頼されているからこそ、会計不正を知っている人が監査人を頼ってくる。 特に経営者や経営者に近い人たちが会計不正を行っている場合には、社内通報しても潰されたり報復を恐れたりすることがあるから。 それでも何とかしたいときに、身近にいながらも外部の人であり、かつ、会計不正を解決してくれると期待できる存在が監査人だから。 10年以上も前に、IPOを目指していた企業で経営者による会計不正が起きたときに、現場の責任者を務めていたボクは、プル型のアプローチ状態になっていました。 経理部以外の複数人から、会計不正のタレコミを受けていたのです。 これらのアプローチは、どちらかだけではなく、双方を採用することが効果的。 チャネルは1つよりも複数のほうが断然良い。 このブログのBusiness modelカテゴリーで、チャネルが1つではいけないと伝え続けてきたことは、会計不正でも同じなんです。 そんな経験も踏まえて、今週、プロネクサスさんでを行います。 ただし、新型コロナウイルス感染症のため、オンライン受講のみ。 在宅勤務でも、このセミナーを受講できます。 お申し込みはお早めに。

次の

不正のトライアングル(動機・機会・正当化)について考える

不正 の トライアングル 理論

本記事はキヤノンITソリューションズが提供する「」に掲載された「」を再編集したものです。 セキュリティー対策の基本として、外部からの攻撃に備えるのは重要だが、一方で組織の内部からの攻撃に目を向けることもおろそかにしてはならない。 特に、情報漏えいについては外部からの不正アクセスよりも内部を起点とするものが多いとされる。 中でも3504万件の個人情報が漏えいした大手通信教育会社などの事件などのように、内部の人員による不正行為は損害が大きくなりやすいことが特徴である。 こうしたことからも、内部不正は企業にとって対策を講じるべき重要な課題だろう。 独立行政法人情報処理推進機構(以下、IPA)にて情報セキュリティー白書の執筆やガイドラインの策定にも携わっているエドコンサルティング株式会社の代表取締役 江島将和氏に、内部不正対策のポイントについて話を聞いた。 「不正のトライアングル」で因数分解して対策を立てる 企業経営において情報の重要化が進むのと歩調を合わせるように、組織内部の人員による不正行為が続いている。 よく知られる例では、大企業からの大規模な顧客リストの流出が関係会社の人員によって引き起こされた事件や、製造業などにおける設計図、ノウハウなどが退職者により国外に流出した事件などが挙げられるだろう。 組織の人員はどのような理由でこういった不正を行なうのだろうか。 江島氏は以下のように述べる。 「人が不正行為を行なうメカニズムとして、米国の犯罪学者であるD. クレッシーが提唱している『不正のトライアングル』理論があります。 この理論では、内部不正は、『動機』、『機会』、『正当化』の3つの要素が全て揃った時に発生すると考えられています。 例えば、お金に困っている社員がいて、お金になりそうな機密情報がいつでも盗みだせる状態で社内に存在しているとします。 さらに、その社員はサービス残業を強いられていて、本来であれば業務量に見合った対価を受け取ってもよいはずと考えている。 こうなると、すでに3要素は揃っている状態で、不正はいつ発生してもおかしくない状態であるといえます。 内部不正に関するご相談を受けた際、このような企業はまだまだ見かけます。 内部不正はまだ起きていないだけで、いつ起きてもおかしくない状況と言えるでしょう。 」 すなわち、「不正のトライアングル」理論の「動機」、「機会」、「正当化」の観点で組織と人員の状況を分析し、それぞれ問題がある状態であれば、対策を個別に講じていく必要があるということだ。 近年、「ブラック企業」という言葉が世の中を賑わせているが、そうした企業はまさに不正がいつ起きてもおかしくない状態といえるのかもしれない。 情報漏えいの損害賠償は多額になる傾向があるため、ブラック企業はこのような側面でもリスクを冒していると、捉えることができるだろう。 内部不正の「動機」は悪意によるものだけとは限らない 江島氏によると、不正行為には大きく分けて二つのパターンがあるという。 ひとつ目は退職する社員による機密情報持ち出しなど悪意のある不正行為。 そしてもうひとつは業務遂行上、やむを得ず持ち出すなど悪意のない不正行為である。 前者は転職を行なうことが以前よりも一般的になった社会背景もあるようだ。 転職する社員は次の会社で、早く何かしらの貢献をすることによって会社に認められたい。 そして、転職先の会社は採用コストを掛けたからには何かしらの成果を期待する。 図らずも需給がマッチングし、双方が連動して不正が行なわれる「動機」を生み出してしまう。 「営業秘密の漏えいで最も多いのは退職者によるものです。 退職する社員は次の会社でもパフォーマンスを発揮したいといった『動機』で、退職する会社から有用と思われる情報を持ち出し、時には転職先に共有してしまいます。 そのため、退職前は何らかの制限や監視下に置くことで不正行為を抑制することが重要です。 また、在職中の社員は、職場環境や人事評価等への不満といった『動機』での不正行為を行なうことが多い。 これら、『動機』につながる不満の解消に取り組むことは、内部不正対策だけでなく、社員の業務効率や企業価値等の向上にも有効です。 」(江島氏) そして、もう一つの業務遂行上の持ち出しであるが、最近多くの企業で取り組みが進められている働き方改革の一環により、社内での業務時間が短縮されたことで社外への情報の持ち出しが増加する可能性も考えられるという。 業務時間の短縮化は生産性向上とセットで進めなければ、社員は業務量のつじつま合わせをどこかで行なわざるをえない。 業務時間を短縮した結果、自宅や近隣のカフェがオフィス代わりになっているという笑えないエピソードもある。 内部不正はこういう状況を放置することがきっかけとなりうる。 不正発生時のリスクを考慮し、経営側としては局所的でない対策が求められているのだ。 管理体制の丸投げは「ブラックボックス化」し、「機会」を生み出す こうした内部不正に関して、さまざまな対策用ソリューションが存在する。 しかし、ITツールを入れれば万事解決というわけではない。 むしろそのITツールを用い、ルールに則って適正に運用していくことが重要である。 大企業では内部不正に対する問題意識も高く、これらITツールを活用し、PDCAを回しながら不正予防の取り組みを行なっていることが多いとされる。 一方、中小企業では情報システムを担当する社員に「丸投げ」してしまうことも少なくないという。 江島氏は中小企業の現状について次のように語る。 「予算的な制約もあり情報システムに専任の担当者を置くことができない中小企業は少なくありません。 総務などとの兼任、あるいは専任の担当者を置いても、一人だけで情報システムの管理をしている場合、担当者に権限が過度に集中することや、ブラックボックス化する可能性が否めません。 実はそこが大きなリスクになりかねないのです。 」 実際にIT管理者による不正は数多く起きている。 しかしIT管理者以外に、誰もITに詳しくなければ追求することはできない。 仮に外部の力を借りても、肝心のログを改ざんされてしまい証拠隠滅を図られている可能性もある。 このような背景もあり、不正はなかなか表には出てこないのだ。 こうした事態を防ぐためには、適切な権限付与を行なうことが欠かせない。 重要な情報へのアクセスは、社内の関係ある社員のみに限定することで、「不正のトライアングル」理論における「機会」を限定することができる。 そして、これはIT管理者だけでなく、管理職に対しても有効に機能する。 その上で、ログによる監視体制を設けることで、防止策はより強固になる。 「中小企業では労使間の信頼関係で成り立っていることが多く、監視のためにログを取得することに嫌悪感を示す経営者は多くいらっしゃいます。 私はそうした場合、『ログは疑うためにではなく、疑いを晴らすために取得するのです』とお伝えしています。 」(江島氏) また、同じように、持ち出しの媒介となることが多いUSBメモリーやメールの添付ファイルなどについて、ITツールなどで一定の抑制を行なうことも「機会」削減には有効な対策となる。 なお、先の大手通信教育会社での事件の場合はスマホをストレージとして利用していた。 スマホがストレージとして機能することを新しい脅威として対策を講じなかったためである。 このあたりは「シャドーIT」とも大きく関連するが、デジタル時代は常に新しい機器が登場することを前提にした対策が欠かせないことを証明している。 社員は疑われているという状況を好ましく感じないのは当然だろう。 この会社のために仕事をしようと思えないどころか、不信感すら生まれかねない。 社員の気持ちを汲み取り、いかに気持ちよく働ける環境を構築するかは経営者の重要なミッションである。 もちろん、「動機」を軽減しただけでは盤石といえない。 もうひとつ「不正のトライアングル」理論における「正当化」をどう抑制すればよいのだろうか。 「社員が不正行為を『正当化』する理由を作らせないことが重要です。 例えば、ひとつの不正行為を黙認したりすると、他人もやっているから自分も、という『正当化』する理由付けにされてしまいます。 こうした状況を招かないためにも、就業規則に罰則規定を設けたり、不正を行なわない旨の誓約書を交わしたりします。 そして、規定や罰則は制定するだけでなく、実際に適用することで形骸化させないことが重要です。 」と江島氏は強調する。 セキュリティーに関する費用は安心・安全を手に入れるための「投資」 「内部不正対策の成否は結局のところ、経営者次第です」と江島氏は続ける。 内部不正対策はシステム担当や総務、法務、部門責任者など多くの部門が関わり、それらを統括するのは経営者である。 そして、内部不正で最大の影響を被るのも経営者だ。 しかし、セキュリティリスクを「自分ごと化」できない経営者がまだまだ少なくないのも事実である。 「もしセキュリティー事故が起きたらどうなるかというのをさまざまな事例を通じて知っていただきたい。 自社に近しい企業でどういうことが起きたのかを知れば、自社にあてはめて被害を想像することができるでしょう。 私はセキュリティー対策にかける費用は『投資』であると説明しています。 例えば、スマホが落下などで壊れないようにするため一緒にケースを購入するのと同じことです。 経営者は企業経営の安心・安全を手に入れるための『投資』と考えて、適切な予算や人材を確保してほしいと思います。 自社だけにとどまらず、取引先をきっかけにした攻撃に対しても備えるというもので、今後はより一層、取引先に一定のセキュリティー対策を必須とするような企業も多くなってくると考えられる。 セキュリティー対策には手間と費用がかかるが、クラウドサービスを利用することで限られた費用でも一定の効果を見込めるようになってきている。 中小企業としては自社視点だけで判断するのではなく、世の中の動向も踏まえた上でセキュリティー対策、内部不正対策を講じてほしい。

次の

事例でみる企業不正の理論と対応

不正 の トライアングル 理論

「不正のトライアングル」とは? 人が不正をする仕組みをモデル化した「不正のトライアングル」をご存知でしょうか。 米国の犯罪学者 ドナルド・R・クレッシー Donald R. Cressey が犯罪者への調査を通じて導き出した要素を、W・スティーブ・アルブレヒト W. Steve Albrecht 博士が図式化 メタモデル化 した理論です。 この理論は、企業における不正リスクの評価・検討にも役立ちます。 次のような例が挙げられます。 一時的に借りるだけである。 当初は「後で返済する」と考えるが、ほとんどの場合、結局それは果たされない• 経営層や上級職、他の部門、他の従業員と、報酬・待遇・処遇に大きな不公平感がある。 「自分ももっと貰っていい」などと考える• 全体・他人のために仕方なくやる。 「会社が倒産したら従業員全員が路頭に迷う。 少し数字をいじっても後で挽回すればいい」「営業が早く売り上げたいと言っている。 基準から外れているが検査を通過させよう」などと考える 不正の分析や対策を行う場合は、これらの要素を手掛かりに評価・検討を始めるとよいでしょう。 ただし、ひとつ注意しなくてはならないことがあります。 不正リスクは、不正実行者の認識に大きく左右されることです。 たとえば、会社としては内部統制を徹底的に整備して不正行為をできないような環境を整備しているつもりでも、そのどこかに不正を実行できる抜け穴があると気付いている従業員がいるなら、その従業員に対しては「機会」での防止・抑止に失敗しています。 その一方で、個人的な窮状から不正を行うか思い悩んでいる従業員がいたとしても、相談や支援を通じて「動機」での防止・抑止ができるかもしれません。 このように不正リスクの検討においては、不正実行者の立場からの評価が非常に重要です。 不正研究の最新モデル:不正の三角形は、四角形・五角形へ。 行為をモデル化した「不正行為のトライアングル」 世界最大の不正対策の組織である ACFE では、この「不正のトライアングル」をはじめとした各種の犯罪理論をもとにして、組織内不正の防止・抑止を実現するための教育を行っています。 興味のある方は、あわせてご覧ください。 ACFE・ACFE JAPAN 会員の方は、それぞれの Web サイトにてバックナンバーを閲覧できます• FRAUD マガジン [目次] — ACFE JAPAN 企業内の不正対策のご紹介 不正の端緒の積極的な収集に:内部通報システム 多くの統計・研究において、不正の発見に最も有効な手段として「内部通報」が挙げられています。 しかしながら、社内に設けた内部通報窓口には、多くの従業員が、通報者の特定やその後の報復を恐れて、通報を尻込みしているという現実があります。 「2018 年度版 職業上の不正と濫用に関する国民への報告書」 ACFE JAPAN p. 16 図 9 を円グラフ化 第三者の立場で通報受付窓口を提供するサービスがあります。 このようなサービスを利用するなどして、従業員が安心して通報できる環境を整えれば、不正対策の足掛かりとなることでしょう。 第三者通報窓口サービス 「DQヘルプライン」 コンプライアンス経営に重要となる反社会的勢力調査 2011 年にすべての都道府県で暴力団排除条例が施行されて以来、企業には、一定の取引において、取引先が暴力団関係者等ではないことを確認する努力義務などが規定されました。 また、暴力団関係者等ではなかったとしても、倒産詐欺・取込詐欺などの詐欺行為を繰り返す者が代表である企業や、おおよそ真っ当とは言えない行為などで数多くの訴訟を抱える企業など、取引先とする前に排除すべき、または、取引を行うにしても注意すべき企業は少なからず存在します。 このような「取引先に関する潜在的なリスク」の調査は、これからのコンプライアンス経営において重要性を増しています。 取引先のリスクを調査する 「コンプライアンス調査サービス」.

次の