オクラホマ州ヒールトンの災難 事例が明かす非営利団体不正の高い発生率(その3 全4回)
方法3:コンピュータ記録の改ざん(Method 3: Manipulation of computer records)
市はコンピュータシステムと請求ソフトを用い、様々なサービスにおける市への支払いにかかる領収書番号の記録を取っていた。捜査員は、コンピュータからの印刷された出力を受け取り、公共料金事務所に関するコンピュータの記録は改ざんされていると結論付けた。
カルダレフは請求システムへの完全なアクセス権を持ち、監督を受けずに変更をすることが許可されていた。その結果、彼女は、すでに請求システムに記録されていた領収書を不正の証拠を隠すために削除したり改ざんしたりした。領収書は事前に番号が振られていなかったために、領収書が正確に番号を付けられていたかを断定するのは困難であった。よって、領収書の順番に日付の誤差が残ったとしても、怪しまれずに請求書システムに変更を加えるのは、カルダレフにとって容易であった。だが、それは問題ではない。誰も確認しなかったのだから。カルダレフは、現金の不正な窃盗を隠蔽するために受領した額を過少入力することで請求システムの領収書を改ざんした。
優れた内部統制は、コンピュータシステムは許可のないアクセスを記録することを求めている。また、従業員それぞれが、ネットワークへの異なったアクセス範囲を持つ制限付きのパスワードを持つべきである。(参照:米国トレッドウェイ委員会支援組織委員会(the Committee of Sponsoring Organization of the Treadway Commission (COSO)「2013年内部統制―統合的フレームワーク」“2013 Internal Control — Integrated Framework”、91ページ、AICPA、http://tinyurl.com/ooj4bq5)。従業員がある一定時間コンピュータから離れる時は、組織は自動的にコンピュータをシャットダウンさせ、再度自分のパスワードを入力してシステムにアクセスするようにさせるべきである。しかしヒールトンではこのような統制は何も存在しなかった。従業員なら誰でもアクセスができ、コンピュータシステムを操作することができたのである。
市議会の落ち度(City council dropped the ball)
市議会の財務システムの監督不行き届きが、カルダレフが10年近くも不正を実行することができた主な理由だった。彼女が出納係であった時、彼女は議会に時宜を得た財務報告書を提出することはほとんどなかったが、議会が彼女を罰することはなかった。2011年6月30日決算の会計年度の監査報告書には次のような声明が含まれた。
「記録の不一致により財務諸表の数字を裏付けるような十分な記録を入手することができませんでした。この不一致の解決方法は現在のところ特定することができません。前項で述べられた本問題の重大さゆえに、我々は、最初の段落で触れられた財務諸表についての意見を表明することが不可能であり、致しません」
どう考えても市議会や市政代行官は、記録の紛失や財務記録の不一致のため「意見を表明しない」という監査役の報告の意味を無視したか、または理解していなかったようだ。COSO「2013年内部統制統合的フレームワーク」 (2013 Internal Control — Integrated Framework) の原則2によれば、議会は、統制の下、資産を守る責務と受託者の責任を負う。(「取締役会は、経営者から独立していることを表明し、かつ、内部統制の整備および運用状況について監視を行う」)
市政代行官と市議会は、自らの怠慢と無知が市の財産の損失を招いたこと、受託者の責任を果たさなかったことを自覚しなければならない。彼らは監査それ自体が不正を捕まえるためにあるのではないことを理解する必要があり、さらには監査報告書の監査意見と情報公開を詳しく再調査する必要があるのだ。
(その4に続く)
---------------------------------------
初出:FRAUDマガジン48号(2016年2月1日発行)