不正のトライアングル
不正行為が行われる条件は「機会」「動機」「正当化」の3つの要因がそろったときです。これを「不正のトライアングル理論」と言います。逆に言えばこの3つのうちひとつでも要因が欠ければ不正は行われないということです。組織の管理をする上で、不正の要因を発生させる原因を把握し、その対策をうつことは重要です。
「機会」の原因と対策
それでは、不正行為の「機会」を起こしてしまう原因と対策について考えてみます。
「機会」は不正が発生する可能性のある状況を指しています。「機会」が発生しやすい組織には次のような例があると考えられます。
- 内部統制が機能していなく、人に依存した業務が行われている。
- ワークフローに基づく申請、承認のルールが整備されていない。
- 業務規程、ガイドラインが実務に追いついていない。
内部統制についてはこちらの動画で聴きやすく分かりやすい説明がされています。
youtu.be
内部統制の例についてですが、例えば、下記の図ように営業係Aさんは、請求データの入力と請求書発行を行い、営業部長Bさんは、請求データの承認をする役割とします。この場合、営業係Aさんは自ら入力した請求データの承認が出来ないように制御することが望まれます。これをアクセス制御と言います。
ISMS(情報セキュリティマネジメントシステム)
不正の「機会」を減らすには、情報セキュリティを確保する為の技術的、設備的、人的な側面からマネジメントする活動が必要です。これをISMS(情報セキュリティマネジメントシステム)と呼びます。ISMSはPDCAサイクルにそって、情報セキュリティの継続的な改善を進めます。
| 規 格 | 説 明 |
|---|---|
| ISO/IEC 27000 | 情報セキュリティマネジメントシステム(用語) |
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(要求事項) |
| ISO/IEC 27002 | 情報セキュリティ管理策の実践のための規範 |
| ISO/IEC 27014 | 情報セキュリティガバナンス |
| ISO/IEC 27017 | ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範 |
ISOをはじめとする認証制度は第三者による評価で実施されることもあり、その信用性は高く、対外的に会社の価値をアピールできます。たとえば、AmazonのAWSは、次のような数々のグローバルおよびエリアに特化した認証を取得しています。
aws.amazon.com
さすがGAFAの一角ですね。ISO27001を取得するだけでもいろいろと工数がかかった記憶があるので、すごいとしか言いようがないです。