ニデック、KDDI、プルデンシャル生命…。企業の不正・インシデントをコンサル視点で斬ってみた、って話

どうも、外資系うさぎのちょこさんです。

ここ最近、企業の不正や情報セキュリティインシデントのニュースを目にする機会が増えてきました。

（参考）当社連結子会社における不適切な取引の疑いに関する特別調査委員会の調査報告書の受領

第三者委員会の調査報告書（最終報告）の受領 及び当社の対応に関するお知らせ

プルデンシャル生命、顧客500人から着服など31億円 社長辞任へ

東証、オルツを上場廃止に 売上高最大9割水増しの不正で - 日本経済新聞

こうした動きを見ていると、「不正をする企業が増えて来たのか…？」と感じる方が多いかもしれませんが、まずは少し冷静に実態を捉えようとしてみる必要があります。

不正そのものが急増しているというよりは、市場全体でコンプライアンスやガバナンス強化の取り組みが浸透し、これまで表に出てこなかった問題が可視化されるようになった側面も大きいはずです。

一方で、企業を取り巻く競争環境も年々激しくなっており、短期的な業績プレッシャーや複雑化するビジネスの中で、不正の動機が生まれやすくなっているのもまた事実ではないかと思います。

このような前提を踏まえたうえで、不正やインシデントはなぜ起きるのか、どうすれば防げるのか、そして実際に不正が起きた時、コンサルファームや監査法人などが、どのようにクライアントと関わっていくのか、整理していきたいと思います。

1.なぜ不正・インシデントは起きるのか

1-1. 主な原因は「悪意」よりも「構造」

不正やインシデントは「悪意のある人がいたから起きた」というよりも、「起こるべくして起きる環境があった」結果として起きるものです。

強い業績プレッシャーがかかる環境では、多少のルール逸脱が黙認されやすくなり、承認プロセスが複雑すぎる現場は非公式なショートカット運用が取られ始めます。

権限が一部に集中していたり、業務がブラックボックス化し社内での相互牽制が効きづらくなったりと、万一不正が発生した場合に検知されにくくなる、という流れもあります。

1-2. よくある不正のパターン

実務でよくみられる不正にはいくつかの典型的パターンがあります。

目標未達を回避するための数値操作、現場判断での承認プロセスの無効化、架空取引の計上などが代表例です。

いずれも共通しているのは、いきなり大きな金額・インパクトの不正が発生するのではなく、小さなルール違反や例外処理の積み重ねがエスカレートしていく点です。

最初の不正が、目標達成のために手を出してしまった少額のものだったとしても、「これくらいやってもバレないのだから次はもっと大きな金額で…」といつの間にか規模が大きくなり、いつかそれが常態化し、社内監査などをきっかけに明るみに出ることになります。

1-3.新人・若手が特に気を付けたい”うっかり”インシデント

年度替わりのタイミングでは、新入社員や若手社員が関与するインシデントの事例が増えます。

インシデントも同様の構造で説明ができ、大きな悪意を持って機密情報の持ち出しなどを行っているのではなく、「SNSで自分のフォロワーに自慢したかった」という承認欲求や、「これくらいの資料なら社外に持ち出してしまってもいいだろう」という情報セキュリティリスクへのリテラシー不足により発生しているものがほとんどです。

SNSの普及によりそのようなインシデントは即座に発見・拡散され、大きな炎上に繋がるようになった、というのは皆さんも同じ認識なのではないかと思います。

2.不正を防ぐために必要なこと

2-1.「ルール」ではなく「仕組み」で不正が起きないようにする