内部不正への対処について

性悪説に立った対処

　前回の投稿で、不正は軽い気持ちから始まり、エスカレートする。

　業務に精通した、成績の良い信頼の厚い従業者が不正を犯すと述べました。

　組織はまず、従業者は不正を犯す者であるとして、性悪説に立って対処する必要があるのでないでしょうか。

「不正の未然防止」「不正の早期発見」、「不正が発生した際の対処」

　「不正の未然防止」や「不正の早期発見」を可能とするような対処が必要です。
　それでも、不正が発生した際の対処として、「各種インシデントに対応する体制の整備」が重要です。

　「不正の未然防止」に関して

　従業者に対しては、コンプライアンス意識を高める教育を施す。
　アクセス権、システムの利用権限は適切に設定し、定期的な棚卸を実施する。
　定期的なモニタリング、監査を実施する。
　操作ログ、アクセスログを取得し、評価する。

　以上、従業者に対して「見られている」と理解させ、抑止効果を最大化する。

　また、ジョブローテションにより、長期配属とならない体制とすることも必要です。

　前提として、上司は部下の言動に気を配り、不正の予兆を感じ取る努力を怠らない。
　そのために、信頼を得て、良好なコミュニケーションを図り、寄り添うことが重要です。

「不正の早期発見」に関して

　モニタリング、ログをチェックする、重要データの抽出記録やアクセス記録を確認する。
　組織内に監視部門を設置したり、外部の監視サービスを利用することも検討すべきです。

　PCの振る舞いをモニタリングできるツールも提供されています。

　従業者の言動に変化を認める場合は、ヒヤリングを実施するなど、タイムリーな対応が求められます。

　　「各種インシデントに対応する体制の整備」に関して

　　不正が発生を確認したら、適切に連絡、報告、相談できるように、連絡体制図や実施マニュアルを作成しておくことが有効です。　

　　関係組織、関係会社や、関係省庁や警察などの公的機関への連絡も必要になります。

終わりに

　色々述べました。

　各組織には、それぞれ置かれた状況があります。
　事情が違います。
　通常時期と繁忙時期、時期によっても状況が違います

　権限が集中している業務機能、担当者が存在しています。
　リモートワークがスタンダードで、従業者の顔が見えない組織もあるでしょう。
　余裕が無くなっている担当や上司、従業者に中々気づけません。

　ITを導入できる余力がどれだけ残っているでしょうか？

　そもそもです。

　どこに、どのようなリスクが存在しているかを、把握できていません。

　人はルールを知りませんし、人はルールを守りません。
　人はミスを犯します。

　内部不正を防ぐために、組織や上司が実施すべきことは、「知る」ということです。

　重要な情報がどこにあって、どのように管理されているかを知る。

　組織や個人の実情を知る。

　対処すべきリスクを知る。

　やるべきことを知る。

　今できることを知る。

　そして、できるだけ早く、実行する。

　始めましょう。