タイ国の社内不正対策と 公認不正検査士の専門性

保存版
タイ国の社内不正対策と
公認不正検査士の専門性
DATAMAX CO., LTD. CFE Office/ Security Division
21/86 RCA Block D, 3rd Fl., Soi Soonwijai,
New Petchburi Rd., Bangkapi, Huay Khwang,
Bangkok 10310
http://www.datamax.co.th
Tel: +66-(0)2-203-1212-3
Fax: +66-(0)2-203-0647
DATAMAX は CFE という専門性を
生かしたサービスを通じ、
タイの皆様に貢献してまいります。
有我 政人(Masato Ariga)
帝国データバンク勤務を経て現職。
DATAMAX CO., LTD.
PRESIDENT、CFE(公認不正検査士)
DATAMAX では、公認不正検査士(Certified Fraud Examiner, 以下
CFE)として、これまで実際に多くのクライアント様からご依頼を受
けて、社内不正に関する調査を行ってまいりました。
ご依頼の内容は、調査報告だけにとどまりません。DATAMAX では、
社内不正の起こりにくい統制環境構築の提言および対応までを行いま
す。また、対処としての麻薬および賭博撲滅にも実績を上げてまいりま
した。
これまでの不正対策から派生したサービスに、次の 2 つがあります。
1. 常駐警備員派遣サービス DATAMAX GUARD
2. 匿名内部通報ホットライン
これらは CFE 企画・管理による社内不正対策に有効なサービスであり、
クライアント様のご要望にお応えし、また、ご好評をいただいているか
らこそ、継続できているものと確信しております。
DATAMAX は、CFE という専門性を生かしたサービス提供を通じ、こ
れからもタイの日系企業の皆様に貢献してまいります。
有我 政人
DATAMAX CO., LTD.
PRESIDENT
CFE
* CFE(公認不正検査士)
FBI、米国国防総省、米国政府説明責任局、米国内務省で公式に採用されています。
目次
タイ国の社会的背景と職業上の不正と乱用
1
職業上の不正と職権乱用
今こそ、積極的な社内不正対策
失業率の上昇は窃盗などの財産犯を増加させる
タイ人失業者と窃盗犯罪の増大
資料:ACFE(公認不正検査士協会)レポート
2
職業上の不正:景気後退の影響に関する研究
DATAMAX 公認不正検査士オフィスによる調査レポート
5
タイ国での職業上の不正
公認不正検査士の専門性
6
公認不正検査士について/CFE がもたらす付加価値
CFE が果たす役割/監査と不正検査の違い
DATAMAX 公認不正検査士 事務所
7
業務案内
常駐警備員派遣サービス DATAMAX GUARD
8
CFE による独自トレーニング
サービスの特色
工場の常駐警備員
タイ人従業員に常駐警備員の管理を任せることの弊害
セキュリティー管理機器
11
CFE によるセキュリティー・アセスメント
CCTV カメラ・システム(監視・録画カメラ)
アクセス・コントロール・システム(出入管理)
情報セキュリティー対策(IT 統制)
セキュリティー管理機器の導入実態調査
IT 統制の実態調査
タイ国「コンピュータ関連犯罪法」
情報セキュリティー/情報セキュリティー・サービス
タイの社内不正調査ガイド
20
タイの企業調査ガイド
21
タイの雇用調査ガイド
22
DATAMAX 匿名内部通報ホットライン
23
タイ国における社内の麻薬対策
24
麻薬検査の方法
ホワイト・ファクトリー・プロジェクト
麻薬犬巡回サービス
DATAMAX 会社案内
26
タイ国の社会的背景と職業上の不正および乱用
職業上の不正と職権乱用
タイ国における会社資産の紛失・盗難は、内部犯行グループによる組織的な不正持ち出しが大
半であり、ここでは、職業上の不正と職権の乱用、汚職とが密接に結びつき、利益相反、賄賂、
違法な謝礼等が複合的に行われている。これらは、水面下で秘密裏に行われるため、発見する
ためには積極的な社内不正対策への取り組みが不可欠となる。
今こそ、積極的な社内不正対策を
・失業率と窃盗犯罪の増加には相関関係がある。
・会社資産の紛失・盗難は不正持ち出し、資産横領の内部犯
行が大半。
・職業上の不正と職権の乱用は汚職と密接に結びついている。
・利益相反、賄賂、違法な謝礼は水面下で秘密裏に行われる。
失業率の上昇は窃盗などの財産犯を増加さ
せる
一般刑法犯の認知件数と完全失業率の推移は、ほぼ同じカー
ブを描いており、
「不況の影響による失業率の上昇が窃盗など
の財産犯を増加させる」
(日本国法務省、2006 年版犯罪白書より)
2009 年 タイ人失業者と窃盗犯罪は増大
アメリカの金融危機が発端となった世界経済の急速な減退は、2008 年後半の世界各国の企業の
業績を劇的に悪化させた。タイの企業においても、取り巻く環境は同様であり、積極的な生産
調整、経費の圧縮策はとられている。
このような中、人件費を抑えるための手段としてのローカルスタッフの人員削減は、過去に見
ないほど思い切って行われており、2009 年に入ると、タイ人の失業率は急上昇し、窃盗等の犯
罪率もまた急上昇することは予測される。
3 月のタイの自動車生産台数は前年同月比 52.6%減。(タイ工業連盟(FTI)自動車部会 2009 年 4 月 22 日)
3 月のタイの自動二輪車生産台数は前年同月比 47.1%減。
(タイ工業連盟(FTI)自動車部会 2009 年 4 月 22 日)
2009 年の国内総生産(GDP)見通しを 1.5―3.5%減に下方修正。(タイ中央銀行 2009 年 4 月 22 日)
政情不安により経済状況がさらに悪化し、GDP は 4.5―5%減、失業者は 200 万人に達する見通し(タイ財務省 2009
年 4 月 22 日)
2009 年初から 4 月 20 日までに解雇された労働者は約 2 万 8000 人で、今後さらに 6 万 6000 人が職を失う恐れがあ
る(タイ労働省 2009 年 4 月 21 日)
All right reserved. Copyright © 2012 Datamax Co., Ltd.
1
ACFE(公認不正検査士協会)レポート
「職業上の不正:景気後退の影響に関する研究」
ACFE(公認不正検査士協会)では、不正対策の専門家である CFE(公認不正検査士)の調査
に基づき「職業上の不正:景気後退の影響に関する研究」を公表した。
経済危機下で強まる金銭面のプレッシャーが不正行為を増加させており、レイオフの蔓延により
組織の内部統制システムに脆弱性が生じている。
ACFE 会長のジェームス・D・ラトリー氏は「このレポートは『人は切羽詰るとどんなことでも
する』ということを伝えている。忠実な従業員たちは景気がいいときは会社に対して不正を働こ
うなどとは考えもしないが、現在のような厳しい経済状況下では、組織は適切な不正防止手段を
整備し、警戒を怠ってはならない。」と述べている。
出所:ACFE(公認不正検査士協会)
回答者:無作為抽出された公認不正検査士 507 人
調査時期:2009 年 2~3 月
[昨年に比べ不正件数は]
18.1%
著しく増加した
37.3%
若干増加した
28.8%
ほぼ横ばいだった
若干減少した
著しく減少した
4.7%
2.8%
[不正増加の大きな要因は]
49.1%
金銭面のプレッシャー
機会
正当化
27.1%
23.7%
All right reserved. Copyright © 2012 Datamax Co., Ltd.
2
ACFE(公認不正検査士協会)レポート
「職業上の不正:景気後退の影響に関する研究」
[過去 12 ヶ月で最も増加している不正の類型]
48.3%
従業員の横領
36.7%
第三者による不正
19.5%
ベンダーによる不正
16.8%
決算書の不正
汚職
11.8%
[来年にかけて不正件数は]
36.7%
著しく増加するだろう
51.3%
若干増加するだろう
ほぼ横ばいだろう
8.7%
若干減少するだろう
1.8%
著しく減少するだろう
0.2%
[景気後退期は安定期に比べ]
80.5%
不正は多い
不正発生はほぼ同じ
不正は少ない
16.2%
1.8%
All right reserved. Copyright © 2012 Datamax Co., Ltd.
3
ACFE(公認不正検査士協会)レポート
「職業上の不正:景気後退の影響に関する研究」
[ここ数年不正予防対策の予算は]
16.9%
増加した
59.0%
ほぼ横ばい
11.9%
減少した
[ここ数年不正発見、内部監査の予算は]
22.2%
増加した
59.4%
ほぼ横ばい
減少した
6.9%
[ここ数年レイオフは]
38.3%
なかった
59.0%
あった
[レイオフは内部統制に影響を及ぼしたか]
内部統制を強化した
3.2%
44.2%
レイオフの影響を受けていない
統制手続の一部が廃止された
34.4%
All right reserved. Copyright © 2012 Datamax Co., Ltd.
4
DATAMAX 公認不正検査士オフィスによる調査レポート
「タイ国での職業上の不正」
不正持ち出しと在庫の不一致
不正に持ち出されたことがある「63.7%」
半数以上の日系企業では不正持ち出しの被害にあっている。
[不正に持ち出されたことがある]
わから
ない
18.6%
回答者の意見:
・従業員と運送会社の運転手が結託していた。
・警備員が見逃しに協力していた。
・夜間シフト時に不正持ち出しは行われていた。
・不正持ち出しの可能性は高いが、調査をしたこ
とはない、調査の方法は分からない。
いいえ
17.7%
はい
63.7%
在庫が合わないことが多い「48.7%」
半数の日系企業では恒常的に在庫が合わない。
[在庫が合わないことが多い]
回答者の意見:
・従業員の数え間違いやインプットミスがある。
・合わない金額は毎月ほぼ一定しているため、
不正持ち出しを疑っている。
・たまに許容範囲を超える在庫不一致がある。
・在庫不一致の理由は分からない。
わから
ない
8.0%
いいえ
43.4%
はい
48.7%
調査: DATAMAX CO., LTD. 2009
回答: 日系企業の日本人上級管理職 「社内不正対策セミナー」参加者 113 人
All right reserved. Copyright © 2012 Datamax Co., Ltd.
5
公認不正検査士の専門性
CFE は、不正検査技術を使う、調査のエキスパート
公認不正検査士について
CFE は Certified Fraud Examiner の略号で、日本語では公認不正検査士と称します。CFE は
不正の防止、発見、抑止の専門家として注目されており、組織内の不正撲滅への取り組みにおい
てリーダーシップを発揮する存在です。CFE は会計、内部監査、法律、コンサルティング、警
察、リスクマネジメント、損失防止などの様々な専門分野において活躍しています。
CFE がもたらす付加価値
不正対策を強化するには、不正を犯す動機や機会、不正行為
の正当化という3つの不正リスク要因を理解しなくてはなり
ません。経営者が中心となって強化する内部統制は、主とし
て不正の機会の最小化を図ります。しかし、動機や正当化な
ど人間の心理がもたらすリスクは制御しきれず、残念ながら
不正をゼロにすることはできません。
したがって、不正対策の有効性を高めるには、内部統制によ
り不正の未然防止に努めながら、不正の具体的手法、不正リ
スク顕在化の兆候への理解を深め、不正疑惑が生じた場合に
的確に調査を進められる体制を整えておく必要があります。
CFE はそのような体制構築に貢献できる素養を備えたエキ
スパートの証として、世界の経営者、監査人に注目されてい
ます。
CFE が果たす役割
CFE は多くの業種の様々な部署において活躍しています。CFE は状況に応じて、巧妙に細工さ
れた会計不正を解明する会計士、不正取引を秘密裏に調査する捜査官、懲戒処分や訴訟対応をす
る弁護士、不正を犯す者の心理を洞察する犯罪学者の素養を発揮しながら、不正の未然防止、早
期発見、調査、再発防止に貢献します。
監査と不正検査の違い
監査
実施時期
範囲
目的
相手との関係
方法論
仮説の根拠
周期的
業務全般
意見陳述
非対立的
監査技術
専門家としての懐疑心
不正検査
非周期的
特定の不正疑惑
責任の所在特定
対立的
不正検査技術
具体的証拠
Source: ACFE JAPAN
All right reserved. Copyright © 2012 Datamax Co., Ltd.
6
DATAMAX 公認不正検査士オフィス
- DATAMAX Certified Fraud Examiner Office -
CFE は、社内不正の調査、発見、防止、抑止のエキスパートです。
業務案内
CFE(公認不正検査士)事業
・不正調査
証拠の収集・分析
フォレンジック
・CFE(公認不正検査士)顧問契約
不正リスク評価と改善立案
不正の未然防止・抑止、再発防止策
従業員教育・社内研修会・セミナーの実施
・内部通報システム
不正の発見
匿名通報ホットラインの構築と運用
日本語レポート・サービス
調査コンサルティング事業
・企業信用調査
・内部統制リスク調査
セキュリティー事業
・常駐警備員派遣サービス
24 時間・常駐警備員(工場/事務所セキュリティーガード)
・セキュリティー管理機器
セキュリティー・アセスメント(環境診断)
CCTV カメラ・システム(監視・録画カメラ)
アクセス・コントロール・システム(出入管理)
IT セキュリティー対策
教育・出版事業
・DATAMAX SECURITY ACADEMY
タイ人従業員トレーニング
社内不正対策プログラム
社内不正への対処
防犯、セキュリティー管理
各業務の詳細は DATAMAX までお問い合わせください。
MAIL: [email protected]
TEL: +66(0)2203-1212
All right reserved. Copyright © 2012 Datamax Co., Ltd.
7
常駐警備員派遣サービス DATAMAX GUARD
貴社の資産を守ります。
DATAMAX GUARD の警備員は、
CFE の企画したトレーニングを通じて、
質の高いレベルを維持しています。
CFE による独自トレーニング
警備の基礎技術と不正検査技術トレーニング
継続的な、各サイトでの月例トレーニング
消防・救護トレーニング
サービスの特色
タイ国家警察から認定証を獲得
警備員は DATAMAX 品質の正社員
観察指導員インスペクターによる巡回チェック
24 時間・2 シフトの常駐警備
調査・情報収集・日本語での報告
CFE の社内不正対策ノウハウ
月刊「DATAMAX GUARD NEWS」発行
[DATAMAX GUARD 実績]
Rojana IP
Wellgrow IE
Amatanakorn IE
Pingtong IE
Leamchabang IE
Eastern Seaboard IE
警備員派遣サービスの詳細は DATAMAX までお問い合わせください。
MAIL: [email protected]
TEL: +66(0)2203-1212
WEB: http://www.datamax.weebly.com
All right reserved. Copyright © 2012 Datamax Co., Ltd.
8
DATAMAX 公認不正検査士オフィスによる調査レポート
「タイ国での職業上の不正」
工場の常駐警備員
多くの日系企業において、常駐警備員の仕事内容が不十分であれば、
警備会社の変更は行われている。
「31.9%」の日系企業では警備員の
工場内巡回は行われていない。
[常駐警備員は定期・不定期に巡回している]
わから
ない
23.0%
はい
45.1%
回答者の意見:
・人数が足りないから巡回はできない
・巡回は不要だと思う。
・警備員の仕事が怠慢で巡回しない。
「36.3%」の日系企業で警備員の
契約変更は行われている
いいえ
31.9%
[常駐警備員の契約は長期化している]
わから
ない
24.8%
回答者の意見:
・仕事が悪ければ警備会社は変更する。
・毎年見直しを行っている。
・契約打ち切りが困難になっているから長期化。
All right reserved. Copyright © 2012 Datamax Co., Ltd.
はい
38.9%
いいえ
36.3%
9
DATAMAX 公認不正検査士オフィスによる調査レポート
「タイ国での職業上の不正」
タイ人従業員に常駐警備員の管理を任せすぎることの弊害
日本人管理者の積極的な警備会社への関与は不正防止に効果がある。
「77.0%」の日系企業で警備員の
管理はタイ人任せ
[常駐警備員の管理はタイ人に任せている]
わから
ない
いいえ 11.5%
11.5%
回答者の意見:
・昔からそうなっているから。
・警備会社はローカル企業だから。
・警備員のことにはタッチしたくないから。
はい
77.0%
常駐警備員の管理をタイ人従業員に任せている企業で、
次のような弊害は、検出されている。
○ 従業員の持ち物検査の実施有無。
実施されていない
実施されている
43.4%
29.2%
○ 不正持ち出しの被害。
被害あり
被害なし
49.6%
10.6%
○ 恒常的な在庫不一致。
不一致あり
不一致なし
38.9%
30.1%
○ 警備員の契約長期化。
長期化している
していない
36.3%
27.4%
調査: DATAMAX CO., LTD. 2009
回答: 日系企業の日本人上級管理職 「社内不正対策セミナー」参加者 113 人
All right reserved. Copyright © 2012 Datamax Co., Ltd.
10
セキュリティー管理機器
CFE によるセキュリティー・アセスメント
ACFE(*)の「不正リスク評価モジュール 15 項目」を使用した社内不正リスク評価。
社内不正対策を観点としたセキュリティー環境診断と提案。
効果的な「人」と「機械」によるセキュリティー体制の構築提案。
CCTV カメラ・システム(監視・録画カメラ)
不正持ち出し等の資産横領や外部侵入盗の発生時における画像記録および証拠収集。
通常の作業状況の録画と作業進捗状況の確認・記録。
従業員の勤労意欲や就業レベル低下への抑止効果。
アクセス・コントロール・システム(出入管理)
指紋やカード認証と電子ロックによる出入管理を行い、会社内の区画性維持、向上を図る。
従業員、取引先、来訪者の出入りを適正に管理。
社内不正発生時の証拠収集。
出退勤管理と給与システムの連動による省力化。
侵入者感知アラーム(探知システム)
DATAMAX 感知アラームシステムと DATAMAX 警備員による連携サービス。
外部からの侵入者、取引業者、関係の無い社内関係者の無断入室を管理。
夜間、休日などの無人状態の社内に異常が発生した場合の探知。
情報セキュリティー対策(IT 統制)
機密性 - 情報漏えいの防止。
完全性 - 情報が変化したり欠けたりすることを防止。
可用性 - 情報が必要な際に利用できる状態にする。
(詳細は 18 ページ記載内容を参照)
(*) ACFE: Association of Certified Fraud Examiners(公認不正検査士協会)
セキュリティー管理機器の詳細は DATAMAX までお問い合わせください。
MAIL: [email protected]
TEL: +66(0)2203-1212
All right reserved. Copyright © 2012 Datamax Co., Ltd.
11
DATAMAX 公認不正検査士オフィスによる調査レポート
「タイ国での職業上の不正」
セキュリティー管理機器の導入実態調査
アクセス・コントロール・システムを
導入している日系企業は「24.8%」と
少数派。
[アクセス・コントロール・システム]
わから
ない
4.4%
はい
24.8%
いいえ
70.8%
日系企業のセキュリティー・カメラ
導入率は「44.2%」。
[セキュリティー・カメラ]
わから
ない
9.7%
はい
44.2%
いいえ
46.0%
[侵入者センサー]
立ち入り禁止区域にセンサーを設置
している日系企業は、僅か「3.5%」
にとどまる。
わから
ない
18.6%
はい
3.5%
いいえ
77.9%
調査: DATAMAX CO., LTD. 2009
回答: 日系企業の日本人上級管理職 「社内不正対策セミナー」参加者 113 人
All right reserved. Copyright © 2012 Datamax Co., Ltd.
12
DATAMAX 公認不正検査士オフィスによる調査レポート
「タイ国での職業上の不正」
セキュリティー管理機器の導入実態調査
タイ国における不正持ち出し対策には、機械での警備に加え、質の
高い人間による警備、すなわち常駐警備員の品質が問われる。
セキュリティー・カメラを導入しただけでは、不正持ち出しを防止
できないことは次の通り検出されている。
セキュリティー・カメラを設置している日系企業における、不正持ち出し有無
と恒常的な在庫不一致。
○ 不正持ち出しの被害
被害あり
被害なし
32.7%
5.3%
○ 恒常的な在庫不一致
不一致あり
不一致なし
21.2%
18.6%
タイ国においては、セキュリティー・カメラの
設置と不正持ち出しの被害および恒常的な在庫
不一致の抑止に相関関係はない。
すなわち、タイ国では不正持ち出しや恒常的な
在庫の不一致への対処として、セキュリティー
カメラの設置を第一に考えることは避けた方が
よいことは検証されている。
セキュリティー・カメラには、事が起こった後の
証拠収集能力に期待したい。
調査: DATAMAX CO., LTD. 2009
回答: 日系企業の日本人上級管理職 「社内不正対策セミナー」参加者 113 人
All right reserved. Copyright © 2012 Datamax Co., Ltd.
13
DATAMAX 公認不正検査士オフィスによる調査レポート
「タイ国での職業上の不正」
IT 統制の実態調査
「36.3%」の日系企業では情報漏洩を
感じている。
[情報が漏れていると感じたことがある]
わから
ない
16.8%
回答者の意見:
・社内情報はたちまち全員に知れ渡る。
・同業他社に見積もりが漏れたことがある。
・退職者が社内情報を持ち出した。
・ただ漠然と情報漏れを感じている。
「46.9%」の日系企業では、従業員だ
れでもインターネットが使用できる
環境になっている。
はい
36.3%
いいえ
46.9%
[インターネットは誰でも使用できる]
わから
ない
1.8%
回答者の意見:
・従業員の自由がなくなる。
・そこまでしなくてもよいと思う。
・インターネットのことは分からない。
いいえ
51.3%
はい
46.9%
調査: DATAMAX CO., LTD. 2009
回答: 日系企業の日本人上級管理職 「社内不正対策セミナー」参加者 113 人
All right reserved. Copyright © 2012 Datamax Co., Ltd.
14
DATAMAX 公認不正検査士オフィスによる調査レポート
「タイ国での職業上の不正」
IT 統制の実態調査
「85.8%」の日系企業では、従業員の
パソコンでデータのコピーができる
環境になっている。
[従業員の PC でデータのコピーはできない]
わから
ない
8.0%
回答者の意見:
・仕事が捗らなくなる。
・従業員の自主性に任せている。
・IT セキュリティー対策の予算がない。
「83.2%」の日系企業では、タイ人従
業員が IT ネットワークを管理してい
る。
はい
6.2%
いいえ
85.8%
[IT・ネットワーク管理は従業員が行う]
いいえ
12.4%
回答者の意見:
・IT 関連はローカルの業者だから。
・メールが覗かれているかもしれない。
・ID、パスワードを担当者に牛耳られている。
わから
ない
4.4%
はい
83.2%
調査: DATAMAX CO., LTD. 2009
回答: 日系企業の日本人上級管理職 「社内不正対策セミナー」参加者 113 人
All right reserved. Copyright © 2012 Datamax Co., Ltd.
15
タイ国「コンピュータ関連犯罪法」
1.「コンピュータ関連犯罪法」(Computer Crime Act. 以下 CCA)概要
2007 年 6 月 10 日公布
① 企業の従業員が企業のインフラを利用してコンピュータ犯罪を行った(又は加担した)場合、
その従業員の個人的な犯罪であったとしても、企業はその責任を負わなければならない。
② 全ての企業は、企業内コンピュータ及びそれに伴う通信機器から外部へ送受信される全ての
通信記録を最低 90 日間保存しておかなければならない。
③ 上記に違反した企業には、50 万バーツ以下の罰金が課される。
④ 2008 年 9 月より、この法律に基づいての取り締まりや罰金徴収を始める。なので、各企業
は 8 月末までに体制を整えておくこと。
2.必要な通信記録
以下、企業内コンピュータ及び通信機器を「PC」と略称。
[インターネット]
(A) どの PC からどのような通信がどこへ送受信できる
か。
(B) PC の利用稼働時間、通信時間記録
(C) PC の利用者(上記(B)と連動して)
(D) インターネット接続グローバル IP アドレス
(E) インターネット外部から企業ネットワークへ通信が
送信された場合の送信元グローバル IP アドレス
[E メールサーバー]
自社専用メールサーバーを所有・利用している場合。外部サ
ービスを利用している場合は、この限りではない。
(F) SMTP 通信ログ
(G) Message ID
(H) 送信元 E メールアドレス
(I) 送信先 E メールアドレス
(J) メールリレーステータス(完了、リターン、遅延)
(K) サーバーからダウンロード(受信)するクライアン
トの IP アドレス
(L) クライアントからサーバーへの接続日時
(M) サーバーへアップロード(送信)するクライアント
の IP アドレス
(N) 上記(K)
(M)のクライアントのユーザーID(あれ
ば)
(O) POP3、IMAP のプロトコルログ
All right reserved. Copyright © 2012 Datamax Co., Ltd.
16
タイ国「コンピュータ関連犯罪法」
[FTP サーバー]
自社専用サーバーを所有・利用している場合。外部サービス
を利用している場合は、この限りではない。
(P) 通信ログ
(Q) クライアントからサーバーへの接続日時
(R) クライアントの IP アドレス
(S) クライアントのユーザーID(あれば)
(T) 対象ファイルのパス、ファイル名、その他データの
場合のデータオブジェクト
[WEB サーバー]
自社専用サーバーを所有・利用している場合。外部サービス
を利用している場合は、この限りではない。
(U) 通信ログ
(V) クライアントからサーバーへの接続日時
(W) クライアントの IP アドレス
(X) 利用できるプロトコル(?)
(Y) URL
[メッセンジャー等通信ソフト]
(Z) 通信ログ、PC 名
(AA) サーバーへ接続する際のグローバル IP アドレス
(BB) ホスト名(?)
法律自体は、曖昧に記述されており、どこまで対策をとれば
よいのか、明確なラインはない。IT 業界の専門的な見地から
も確実な解釈は困難な内容となっている。
いずれにせよ、法律として施行されているため、当局の監査
で指摘を受ければ、法律違反となりかねない。
予めきちっとした対策をとっておく方が無難である。
All right reserved. Copyright © 2012 Datamax Co., Ltd.
17
情報セキュリティー
情報セキュリティーは、企業運営に欠かせない要素。
情報セキュリティーとは、情報の「機密性」「完全性」
「可用
性」を維持することと定義される。つまり、
「情報漏えいを防
ぎ(機密性)」
「情報が変化したり欠けたりすることを防ぎ(完
、
全性)
」
、「必要な際に利用できる状態にする(可用性)」を、
維持することである。
企業内でいえば、大まかに次の 2 点となる。
① 情報漏えいを防ぐこと
コンプライアンス(企業法令遵守)によるもの
② 所持する情報を損失しないこと
企業運営、通常業務に欠かせないもの
① 情報漏えいを防ぐこと
以下のような対策が必要。
・特定の人のみの情報へのアクセス許可
・外部(インターネット)からの侵入対策
・情報の持ち出し制限
・PC や情報保存機器・メディアの盗難対策
・スパイウエア対策
・ソフトウエアの脆弱性対策
② 所持する情報を損失しないこと
以下のような対策が必要。
・バックアップ
・情報の分散確保
・情報保存機器の保守
・特定の人のみの更新許可
・地震・火災などの災害対策
上述したこれらの情報セキュリティーの具体的な方法として、
市場には機器やサービス等、様々なものが販売されているが、
まず何よりも大切なことは、それらを購入・利用することで
はなく、企業運営の全体を見て「どうしたいのか」を明確に
することである。
機器やサービスを販売している IT ベンダーには、顧客の「ど
うしたいのか」に応えることなく、自社製品を売り込むベン
ダーも多くあるため、的確なアドバイスを得られるベンダー
を慎重に選ぶことが重要である。
All right reserved. Copyright © 2012 Datamax Co., Ltd.
18
情報セキュリティー・サービス
調 査
[調査報告書]
内容:
IT 関連資産を全てリストアップ、その動作状況や運用状況の
詳細レポート。
購入時期や償却時期等、会計に関するレポート。
期間: 約 3 週間
言語: 日本語
備考: 日本人担当者からプレゼンテーション
現状把握調査Ⅰ
IT 関連資産・運用状況調査
現状把握調査Ⅱ
情報セキュリティー調査および評価
[調査報告書]
内容:
現在の IT 関連セキュリティーの調査および評価。
期間: 約 5 週間
言語: 日本語
備考: 日本人担当者からプレゼンテーション
サービス
サーバー内常時バックアップ構築
現在のサーバーに物理的に常時バックアップシステムを構築。
PC 内データ自動バックアップシステム 既存サーバーで正しくデータが保存されているか確認。
構築
クライアント PC のデータを一元管理し、情報漏えい、従業員
の突然の退職に対処。
ファイルサーバー構築
フォルダ別ユーザー別アクセス権限設定、設計、導入運用アド
バイス。
運用ポリシー決定アドバイス、導入指導、設計、構築設定。
PC の業務用端末化
クライアント PC を端末化し、業務以外での使用を未然防止。
クライアント PC 内で業務アプリケーションおよび E メール、
インターネット(必要な場合)のみ動作可能とする。
・データを保存不可。
・ソフトウエアをインストール不可。
・外部デバイスの利用不可。
・設定変更不可。
社内メールシステム構築、設定、導入運 従業員の使用するメールの管理。
用アドバイス
アンチウイルスシステム導入運用アドバ サーバーでの一元管理。
イス
各ユーザーのインターネット使用制限、 業務に無関係なインターネットの制限。
設計、運用アドバイス
運用ポリシー決定アドバイス、導入指導、設計、構築設定。
ファイアウォール導入
運用ポリシー決定アドバイス、導入指導、設計、構築設定。
USB 等外部メディア使用制限
情報漏えいの未然防止。
All right reserved. Copyright © 2012 Datamax Co., Ltd.
19
タイの社内不正調査ガイド
-内部統制における不正調査の意義とリスク回避-
1.CFE - 公認不正検査士
DATAMAX CO., LTD. の代表取締役は、CFE(公認不正検査士)資格取得者です。CFE と
は、米国に本拠地をおく公認不正検査士協会(ACFE)が設けた厳しい認定基準をクリアし、不
正対策のあらゆる分野に高い専門性を備えているという証です。CFE 資格は、FBI、米国国防
総省、米国政府説明責任局、米国内務省で公式に採用されています。
2.内部統制におけるリスク概念
あらかじめ起こり得るリスクを予測し、対応策をシミュレーションしておく。
(1) リスクの洗い出し
(2) リスクの分析・評価
(3) リスクの対応策の立案と実行
3.社内不正調査実施の目標
 社内・職場の現実を正しく掌握する。
 内部統制が機能する統制環境の正当性、継続性を維持する。
 不正リスクを許容できるレベルまで引き下げ、起きてしまった場合は迅速かつ確実に対
応できる体制をつくる。
4.社内不正調査の意義
 不正の発生は、内部統制上の重要な欠陥の存在を浮上させます。社内の現状を把握し、
内部統制の基本的な行動がシッカリと担保されているかを検討する。
 内部統制上の基幹業務プロセスにおいて、社内不正の存在が内部統制を阻害していない
か、その更新状況について検討する。
5.リスク回避
 社内不正の存在や実態を十分に把握していないと、企業は健全に機能しなくなり、経済
的な損失、従業員の士気の低下、取引先との関係悪化、ブランドイメージの低下など、
企業活動への影響がおこる可能性がある。
 取引先の財務状況を適切に把握していないと、支払い能力以上の取引をしてしまう恐れ
があります。
6.社内不正調査の実施
 社内不正の解決、不正が起こらないような統制環境構築の提案まで、総合的に実施でき
る DATAMAX オリジナル・サービスです。
 CFE(公認不正検査士)が調査を担当し、貴社の統制環境および不正の実態について明
確にしていきます。
 企業内にて発生する不正に関し、実態調査(どのような不正が起こっているのか)、原
因究明(なぜ不正が起こるのか)、防止策(どのように不正を防ぐ)から、実際に対処
が必要な場合は、不正に関する適切な対処までを実施します。
 不正リスクの対策は自社を知ることからスタートします。
7.社内不正調査の事例
 社内不正の実態掌握
 社内ルールおよび改善活動の効果測定、昼夜の従業員の勤怠状況
 資産横領・製品横流し
 社内での貸し金・賭博
 社内での麻薬密売・使用状況
 架空取引きによる不正支出、経理・購買不正
 PC、IT 環境・社内インフラ不正使用状況
 労働組合対策
All right reserved. Copyright © 2012 Datamax Co., Ltd.
20
タイの企業調査ガイド
-内部統制における企業調査の意義とリスク回避-
1.内部統制におけるリスク概念
あらかじめ起こり得るリスクを予測し、対応策をシミュレーションしておく。
(1) リスクの洗い出し
(2) リスクの分析・評価
(3) リスクの対応策の立案と実行
2.企業調査実施の目標
 仕入、販売の正当性および継続性を確保する。
 仕入、販売の正当性確保、継続性維持についてシッカリとした裏付けが取れている証明。
3.企業調査の意義
 取引先との取引に関する規定の内容を把握し、企業信用情報、財務情報をどのように入
手し、取引の意思決定に利用しているかを検討する。
 販売および購買の基幹業務プロセスにおいて、どのステップでどのように利用されてい
るか、また、その情報の更新状況について検討する。
4.リスク回避
 取引先の事業内容や経営方針を十分に把握していないと、不法行為等の不適切な取引に
かかわってしまう可能性があります。
 取引先の財務状況を適切に把握していないと、支払い能力以上の取引をしてしまう恐れ
があります。
5.企業調査-仕入先
 会社のすべての仕入先(購買)はリスク対象となる。
仕入先リスクの洗い出し
予測されるリスク
リスクの分析・評価
法人としての存在の確認
架空・幽霊会社の危険性、従業員による
架空支出・横領
会社登記証明書および本社所在地の現
地確認
安定・継続しての仕入が可
能か
倒産の危険性
財務内容の評価による倒産のリスク分
析
取引比率は過剰に高くない
か
汚職の危険性
仕入先の売上高と発注額の比較による
取引比率の分析
従業員の関係者の関与は無
いか
横領、仕入および価格操作の危険性
設立発起人、株主、役員に従業員およ
び同関係者の存在確認
サービスの仕入れの詳細確
認
従業員による架空支出、横領の危険性
サービスの仕入れの内容と支出費用の
対比
仕入先に不法行為は無いか
法令遵守違反への加担の危険性
不法行為を労働争議に利用される危険性
法令遵守について関係各所への法令違
反確認
6.企業調査-販売先
 会社のすべての得意先(販売)はリスク対象となる。
販売先リスクの洗い出し
予測されるリスク
リスクの分析・評価
法人としての存在の確認
架空・幽霊会社の危険性、従業員による
架空販売・横領
会社登記証明書および本社所在地の現
地確認
安定・継続しての販売が可
能か
倒産、不良債権発生の危険性
財務内容の評価による倒産のリスク分
析
取引比率は過剰に高くない
か
汚職の危険性
販売先の売上高と納入額の比較による
取引比率の分析
従業員の関係者の関与は無
いか
横領・販売および価格操作の危険性
設立発起人、株主、役員に従業員および
同関係者の存在確認
販売先に不法行為は無いか
法令遵守違反への加担の危険性
法令遵守について関係各所への法令違
反確認
All right reserved. Copyright © 2012 Datamax Co., Ltd.
21
タイ人雇用調査ガイド
-内部統制における雇用調査の意義とリスク回避-
1.内部統制におけるリスク概念
あらかじめ起こり得るリスクを予測し、対応策をシミュレーションしておく。
(1) リスクの洗い出し
(2) リスクの分析・評価
(3) リスクの対応策の立案と実行
2.雇用調査実施の目標
 従業員の雇用および昇進の正当性、継続性を確保する。
 雇用、昇進の正当性確保、継続性維持についてシッカリとした裏付けが取れている証明。
3.雇用調査の意義
 従業員の雇用および昇進に関する規定の内容を把握し、信用情報をどのように入手し、
雇用および昇進の意思決定に利用しているかを検討する。
 雇用および昇進に関わる基幹業務プロセスにおいて、どのステップでどのように利用さ
れているか、また、その情報の更新状況について検討する。
4.リスク回避
 従業員の雇用および昇進時、個人情報を十分に把握していないと、不適切な人物を雇用
および昇進させてしまう可能性があります。
 個人情報を適切に把握していないと、社内不正を助長してしまう恐れがあります。
5.雇用調査
 主要従業員の雇用および昇進のすべてはリスク対象となる。
雇用リスクの洗い出し
予測されるリスク
リスクの分析・評価
学歴、職歴などの過去の経歴の事
実確認
経歴詐称による不適切な人物の雇用
および昇進をさせてしまう危険性
人材紹介会社経由の書類について、卒
業学校、前職場において事実を確認
過去の犯罪歴、係争案件の確認
不適切な人物の雇用および昇進をさ
せてしまう危険性
法令遵守について関係各所への法令
違反確認
過去の職歴における労働組合活
動
労働組合活動に積極的な人物を雇用
してしまう危険性
前職場において事実を確認
過去の職歴における退職事由、評
判
不適切な人物の雇用および昇進をさ
せてしまう危険性
前職場において事実を確認
現住所、自宅など生活状況確認
虚偽情報の届出
現住所の現地確認および周辺評
同居人の確認
虚偽情報の届出
住居登録における同居人確認
現地確認および周辺評
6.調査報告書の内容
 個人 ID 登録関係の公的裏付け
 過去の経歴における学歴、職歴
 過去の職歴における労働組合活動
 現住所と同居人
 家系・家族構成
 犯罪歴
 交友・背後関係
 提出書類の裏付け
 その他
All right reserved. Copyright © 2012 Datamax Co., Ltd.
22
DATAMAX 匿名内部通報ホットライン
職業上の不正は、監査や内部統制もしくはそのほかの手段よりも、
通報によって発見される傾向にある。
[職業上の不正の発見]
57.7%
従業員
通報
46.2%
28.3%
統制活動
19.4%
内部監査
12.3%
業者
9.2%
株主・オーナー
9.1%
外部監査
17.6%
顧客
20.0%
偶然
警察からの通知
[通報者の内訳]
8.9%
匿名
3.2%
競合先
1.0%
備考:複数回答
Source: ACFE(公認不正検査士協会) “2008 Report to the Nation on Occupational Fraud & Abuse”
通報者の保護と利便性を兼ね備えた内部通報システムです。
貴社外に通報窓口を設置し機密性を保持します。
社内不正の発見から問題解決まで CFE(公認不正検査士)がお手伝いします。
[DATAMAX 匿名内部通報ホットラインの仕組み]
All right reserved. Copyright © 2012 Datamax Co., Ltd.
23
社内の麻薬対策
[尿検査時に麻薬の陽性反応者が出る]
「25.7%」の日系企業では、従業員の
麻薬検査で陽性反応者が出る。
わから
ない
24.8%
はい
25.7%
いいえ
49.6%
調査: DATAMAX CO., LTD. 2009
回答: 日系企業の日本人上級管理職 「社内不正対策セミナー」参加者 113 人
麻薬検査の方法
会社は、麻薬検査を病院または警察署に依頼することができる。
[病院]
会社から病院に麻薬検査を依頼する。
検査の内容および日時の打ち合わせ後、検査実施のため、病院の検査チームは来社する。検査に
必要なものは、病院側が準備する。
検査の結果報告は、病院の体制によるが、採尿後 3 日以内~7 日以内の範囲で届けられる。
検査費用は一人あたり 100 バーツ内外が相場となっている。
[警察]
会社から警察署に麻薬検査を依頼する。
検査の内容および日時の打ち合わせ後、検査実施のため、警察官の検査チームは来社する。検査
に必要なものは、警察側が準備する。
検査の結果は、検査後 1~2 分程度であり、即日、会社内で結果を確認することができる。
検査費用は基本的に無料であるが、お礼として何らかの謝礼を支払うことが一般的である。
[採尿時の注意点]
他人の尿とすり替えられないよう、採尿時は警察官や担当者立会いのもと行われる方がよい。
尿の中に異物を混入されないよう、手荷物検査を行ったうえで行われる方がよい。
タイ国の麻薬犯罪は増加傾向にあり、
犯罪全体の「42.2%」を占める。
278
[犯罪件数と麻薬犯罪の内訳]
292
(単位:1,000 件)
311
その他犯罪
麻薬
299
277
203
74
100
111
2005
2006
142
出所: Royal Thai Police
2004
All right reserved. Copyright © 2012 Datamax Co., Ltd.
2007
2008
24
ホワイト・ファクトリー・プロジェクト
タイ国労働保護福祉局(Department of Labor Protection
and Welfare)は、麻薬の工場侵入防止対策、工場内の麻薬
問題抑制、従業員の健康、生活水準、会社の発展、及びタイ
国の社会、経済発展のために「ホワイト・ファクトリー」ま
たの名を「薬物のない職場(Drugs Free Workplace)」とい
うプロジェクトを推進しています。
DATAMAX では、このプロジェクトの詳細および手順の分か
る翻訳マニュアルを作成しております。
タイでは、従業員の雇用に伴う「人的リスク」の一つに「麻
薬」問題があげられます。タイで企業経営に携わる際には、
是非、知っておいていただきたいプロジェクトの一つです。
本レポートでは、実施の手順やプロジェクト策定の事例まで
を日本語で紹介しています。
麻薬犬巡回サービス
社内不正対策で実績を上げた DATAMAX の企画により実現
した、タイ国家警察麻薬取締り専門チーム、警察犬捜査チー
ム、DATAMAX の共同プロジェクト。
麻薬捜査犬を帯同した警察専門チームが工場内を隅々まで巡
回します。
社内に安易に持ち込まれる麻薬、社内での麻薬売買について
最大の抑止効果を発揮でき、このプロジェクトの有効性は多
くのに企業で実証されています。
DATAMAX では、このサービスの計画から実施、実施後の対
処までを総合的にお手伝いいたします。
詳細は DATAMAX までお問い合わせください。
MAIL: [email protected]
TEL: +66(0)2203-1212
All right reserved. Copyright © 2012 Datamax Co., Ltd.
25
DATAMAX CFE OFFICE 会社案内
会社名
DATAMAX CO., LTD. CFE OFFICE
(データマックス株式会社 公認不正検査士事務所)
所在地
21/86 RCA Block D, 3rd Fl., Soi Soonwijai, New Petchburi Rd.,
Bangkapi, Huay Khwang, Bangkok 10310
E-mail
[email protected]
URL
www.datamax.co.th
Tel
+66-(0)2-203-1212-3
Fax
+66-(0)2-203-0647
設立
2002 年 4 月
資本金
5,000,000 バーツ
事業内容
1)
2)
3)
4)
5)
従業員数
グループ総数 300 人(常駐警備員を含む)
代表取締役
有我 政人(Masato Ariga)
社内不正調査・対策
企業調査
コンプライアンス
リスクマネジメント
セキュリティー事業
(株)帝国データバンクにて、企業信用調査、企業評価・分析、業界・産
業調査の各業務に携わる。
2002 年 バンコクに DATAMAX CO., LTD. を設立し、タイの企業信用
調査、市場調査、業界・産業調査を実施。
2006 年 (財)海外職業訓練協会(OVTA) 国際アドバイザー。
2008 年 CFE(公認不正検査士)資格取得。
現在では、長年にわたる与信管理、企業分析の強みと専門性を生かした、
社内不正対策、コンプライアンス、カントリーリスク、
セキュリティーに関するコンサルティングから、従業員トレーニング、出
版までを手がける。
顧客構成
日系企業 100%
所属団体
バンコク日本人商工会議所
関係会社
DMX GUARD CO., LTD.
DMX RESEARCH CO., LTD.
All right reserved. Copyright © 2012 Datamax Co., Ltd.
26
「タイ国の社内不正対策と公認不正検査士の専門性」を最後までお読み頂
きましたことに感謝の意を表します。
社内不正に対する皆様の献身、そして不正の防止、抑止、発見対策強化へ
の努力が、皆様の組織における誠実性の向上に役立つと確信します。
タイ国においては、今日、社内不正問題の影響は広範囲に及んでいますが、
適切な不正対策プログラムの実施を通じて、その影響を軽減することはで
きます。
DATAMAX は、積極的な社内不正対策への取り組みを推奨いたします。
その第一歩は、自社を知ることからスタートします。
All right reserved. Copyright © 2012 Datamax Co., Ltd.
27
All rights reserved. Copyright (C) 2009. Datamax Co., Ltd.
DATAMAX Certified Fraud Examiner Office
DATAMAX CO., LTD.
21/86 RCA Block D, 3rd Fl., Soi Soonwijai, New Petchburi Rd., Bangkok 10310
Tel: +66-(0)2-203-1212-3
Fax: +66-(0)2-203-0647
http://www.datamax.co.th
e-mail: [email protected]
Association of Certified Fraud Examiners
WORLD HEADQUARTERS
The Gregor Building, 716 West Ave., Austin, TX 78701-2727 USA
(800) 245-3321
+1 (512) 478-9000
公認不正検査士協会 日本事務局
〒103-0028 東京都中央区八重洲 1-5-3 不二ビル 2 階
Tel: 03-5201-8880 Fax: 03-5201-8881