詐欺行為
詐欺行為は金融資産の窃盗行為である。従業員の詐欺行為は、たいていの企業が考えているよりもはるかに多い。CFO.comの記事でTracy L. Coenen氏は、「専門家の計算では、企業は平均して売上高の3〜5%を毎年犠牲にしている」と主張している。詐欺行為の例を挙げると、給与担当の事務員が架空の従業員をでっち上げ、その従業員に給与を支払うための小切手を作成し、現金化するというものがある。その他にも経費口座の不正使用や、サービスや製品を提供していないベンダーに対する支払いの計上といったものがある。このカテゴリの脅威を引き起こす内部関係者として、多額の負債を抱え、首が回らなくなった従業員を真っ先に挙げることができる。
詐欺行為(Fraud)は、3つの条件がそろった場合に発生する(図A参照)。プレッシャー(Pressure)は、圧倒的に感じられる金銭的ニーズである場合が多い。機会(Opportunity)は、プレッシャーを感じている従業員が、発覚する危険におびえず窃盗行為に踏み切れるような、会社のプロセスやセキュリティなどに存在している脆弱性によって生み出される。正当化(Rationalization)は、自らのニーズが倫理上や道徳上の懸念を上回っていることを従業員が確信した時に生み出される。また、従業員は自らの管理が適切に行われていない、あるいは自らがもたらしているビジネス上の価値が評価されていないと感じた時に窃盗を合理化する場合もある。この三角形のいずれか1辺を取り除けば、詐欺行為のリスクを除去、あるいは大幅に低減できるはずだ。
図A:Donald Cressey氏による、詐欺行為を構成する三角形
詐欺行為はさまざまな場所で発生し、従業員だけでなく、社外の犯罪者や犯罪組織が関与する場合もある。ここでも従業員の動機は、金銭的利益であることが多い。こういった手法は以下のものを含んでいる。
- 盗んだ情報を売る
- 自分や他者に金銭的利益をもたらすために情報を改ざんする
- 情報を追加、改ざん、または削除して、その対価を受け取る
詐欺行為に手を染める従業員のほとんどは、複雑な技術的手段に頼っていない。例えば、上述した手法の2つ目と3つ目は、データを持ち出すことなく、データベースに変更を加えているだけだ。なお、データが持ち出される場合、そのデータは個人のPCにダウンロードされたり、モバイルストレージにコピーされたり、ファックスや電子メールで送信される場合も多い。