HOME コラム一覧 オクラホマ州ヒールトンの災難 事例が明かす非営利団体不正の高い発生率(その3 全4回)

オクラホマ州ヒールトンの災難 事例が明かす非営利団体不正の高い発生率(その3 全4回)

post_visual

方法3:コンピュータ記録の改ざん(Method 3: Manipulation of computer records)

 市はコンピュータシステムと請求ソフトを用い、様々なサービスにおける市への支払いにかかる領収書番号の記録を取っていた。捜査員は、コンピュータからの印刷された出力を受け取り、公共料金事務所に関するコンピュータの記録は改ざんされていると結論付けた。
 カルダレフは請求システムへの完全なアクセス権を持ち、監督を受けずに変更をすることが許可されていた。その結果、彼女は、すでに請求システムに記録されていた領収書を不正の証拠を隠すために削除したり改ざんしたりした。領収書は事前に番号が振られていなかったために、領収書が正確に番号を付けられていたかを断定するのは困難であった。よって、領収書の順番に日付の誤差が残ったとしても、怪しまれずに請求書システムに変更を加えるのは、カルダレフにとって容易であった。だが、それは問題ではない。誰も確認しなかったのだから。カルダレフは、現金の不正な窃盗を隠蔽するために受領した額を過少入力することで請求システムの領収書を改ざんした。
 優れた内部統制は、コンピュータシステムは許可のないアクセスを記録することを求めている。また、従業員それぞれが、ネットワークへの異なったアクセス範囲を持つ制限付きのパスワードを持つべきである。(参照:米国トレッドウェイ委員会支援組織委員会(the Committee of Sponsoring Organization of the Treadway Commission (COSO)「2013年内部統制―統合的フレームワーク」“2013 Internal Control — Integrated Framework”、91ページ、AICPA、http://tinyurl.com/ooj4bq5)。従業員がある一定時間コンピュータから離れる時は、組織は自動的にコンピュータをシャットダウンさせ、再度自分のパスワードを入力してシステムにアクセスするようにさせるべきである。しかしヒールトンではこのような統制は何も存在しなかった。従業員なら誰でもアクセスができ、コンピュータシステムを操作することができたのである。

市議会の落ち度(City council dropped the ball)

 市議会の財務システムの監督不行き届きが、カルダレフが10年近くも不正を実行することができた主な理由だった。彼女が出納係であった時、彼女は議会に時宜を得た財務報告書を提出することはほとんどなかったが、議会が彼女を罰することはなかった。2011年6月30日決算の会計年度の監査報告書には次のような声明が含まれた。

 「記録の不一致により財務諸表の数字を裏付けるような十分な記録を入手することができませんでした。この不一致の解決方法は現在のところ特定することができません。前項で述べられた本問題の重大さゆえに、我々は、最初の段落で触れられた財務諸表についての意見を表明することが不可能であり、致しません」

 どう考えても市議会や市政代行官は、記録の紛失や財務記録の不一致のため「意見を表明しない」という監査役の報告の意味を無視したか、または理解していなかったようだ。COSO「2013年内部統制統合的フレームワーク」 (2013 Internal Control — Integrated Framework) の原則2によれば、議会は、統制の下、資産を守る責務と受託者の責任を負う。(「取締役会は、経営者から独立していることを表明し、かつ、内部統制の整備および運用状況について監視を行う」)
 市政代行官と市議会は、自らの怠慢と無知が市の財産の損失を招いたこと、受託者の責任を果たさなかったことを自覚しなければならない。彼らは監査それ自体が不正を捕まえるためにあるのではないことを理解する必要があり、さらには監査報告書の監査意見と情報公開を詳しく再調査する必要があるのだ。

(その4に続く)
---------------------------------------
初出:FRAUDマガジン48号(2016年2月1日発行)



この記事の執筆者

G. Stevenson Smith, Ph.D., CPA, CMA Ph.D.、CPA、CMA
オクラホマ州デュランにあるサウスイースタン・オクラホマ州立大学のジョン・マッセイ寄付講座教授兼経営学部会計学の教授である。
Theresa Hrncir Ph.D.、CPA
オクラホマ州デュランにあるサウスイースタン・オクラホマ州立大学の経営学部会計学の教授である。

※執筆者の保有資格等は本記事の初出時のものである。

この記事のカテゴリ

この記事のシリーズ

企業の不正リスク対策

記事の一覧を見る

関連リンク

不正リスク(バックナンバー一覧)

コンピューターが支援する面接調査:現実か愚行か?(その1 全4回)

愉快犯による横領 不正のトライアングルは愉悦でのみ盗みをする不正実行者を説明しない(その1 全4回)

禁輸国への迂回輸出の防止 輸出規制・経済制裁違反の回避(その1 全4回)

オクラホマ州ヒールトンの災難 事例が明かす非営利団体不正の高い発生率(その1 全4回)

オクラホマ州ヒールトンの災難 事例が明かす非営利団体不正の高い発生率(その2 全4回)

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2018/img/thumbnail/img_24_s.jpg
 市はコンピュータシステムと請求ソフトを用い、様々なサービスにおける市への支払いにかかる領収書番号の記録を取っていた。捜査員は、コンピュータからの印刷された出力を受け取り、公共料金事務所に関するコンピュータの記録は改ざんされていると結論付けた。 カルダレフは請求システムへの完全なアクセス権を持ち、監督を受けずに変更をすることが許可されていた。その結果、彼女は、すでに請求システムに記録されていた領収書を不正の証拠を隠すために削除したり改ざんしたりした。領収書は事前に番号が振られていなかったために、領収書が正確に番号を付けられていたかを断定するのは困難であった。よって、領収書の順番に日付の誤差が残ったとしても、怪しまれずに請求書システムに変更を加えるのは、カルダレフにとって容易であった。だが、それは問題ではない。誰も確認しなかったのだから。カルダレフは、現金の不正な窃盗を隠蔽するために受領した額を過少入力することで請求システムの領収書を改ざんした。 優れた内部統制は、コンピュータシステムは許可のないアクセスを記録することを求めている。また、従業員それぞれが、ネットワークへの異なったアクセス範囲を持つ制限付きのパスワードを持つべきである。(参照:米国トレッドウェイ委員会支援組織委員会(the Committee of Sponsoring Organization of the Treadway Commission (COSO)「2013年内部統制―統合的フレームワーク」“2013 Internal Control — Integrated Framework”、91ページ、AICPA、http://tinyurl.com/ooj4bq5)。従業員がある一定時間コンピュータから離れる時は、組織は自動的にコンピュータをシャットダウンさせ、再度自分のパスワードを入力してシステムにアクセスするようにさせるべきである。しかしヒールトンではこのような統制は何も存在しなかった。従業員なら誰でもアクセスができ、コンピュータシステムを操作することができたのである。
2018.08.17 15:43:11