D-01.不正リスクの概念と不正の種類について説明する

a.不正のトライアングルの概念（動機、機会、正当化）について説明する
b.不正リスクを認識する
c.一般的な不正スキームを識別する

セクションＤ「不正リスク」について学習する際に参考となる資料

内部監査人協会「グローバル内部監査基準」

Internal Auditing and Fraud: Assessing Fraud Risk Governance and Management at the Organizational Level　3rd Edition　Global Practice Guide
ACFE　不正検査士関連資料　RTTN_2024_五.indd
内部監査人協会ポジションペーパー「不正と内部監査-不正のコントロールに対するアシュアランスは成功の基盤」

GIASの基準の中で、「不正」という言葉は、下記のとおり10回出てきます。

01．不正リスクとは何か
1. 不正の定義
2. 不正の種類
a.不正のトライアングルの概念（動機、機会、正当化）について説明する
b．不正リスクを認識する
c．一般的な不正スキームを識別する

01．不正リスクとは何か

内部監査人は、不正の専門家であることは求められていません。しかし、不正対応を専門としたい場合は、公認不正検査士協会（ACFE）を通じて CFE（Certified Fraud Examiner） の資格を取得することが可能です。

内部監査部門としては、CFE資格を有する監査人を配置することが望ましいものの、すべての内部監査人がこの資格を保有する必要はありません。とはいえ、CFE資格を持たない監査人であっても、不正リスクを適切に識別し、不正が疑われる場合の対応手順を理解しておくことが求められます。

不正の定義

独立した外部監査人や内部監査人といった専門職を代表する組織体は、それぞれの立場から「不正」を定義し、所属メンバーに求められる役割と責任を明確にしようとしています。

実務に従事する内部監査人の中には、公認内部監査人（CIA）資格に加え、公認会計士（CPA）や公認不正検査士（CFE）の資格を併せ持つ者も少なくありません。

そこで本節では、国際内部監査人協会（IIA）および公認不正検査士協会（ACFE）がそれぞれ提示している「不正」の定義を確認しておきます。

グローバル内部監査基準の用語一覧では、fraud〈不正〉は、次のように書いています。

fraud〈不正〉 個人的な又はビジネス上の不当又は違法な利益獲得のために行う、個人又は組織体による、虚偽、隠ぺい、不正直、資産や情報の流用、偽造又は背信の性質を有するすべての意図的な行為。

次に、公認不正検査士協会（ACFE）による定義は以下のとおりです：

Fraud 〈不正〉は、利益を得るために欺瞞（deception）に依拠するあらゆる活動である。
さらに、不正が犯罪となるのは「重要な事実を知って誤って表現すること、または重大事実を隠蔽して他者を損害に導くこと」である。

※ 出典：ACFE「不正の防止と検出に関するガイドライン」より要約

つまり、不正とは単なる誤謬（エラー）とは異なり、意図的かつ不正な目的をもって行われる行為であるという点が、両者に共通する重要な特徴です。

不正の種類

不正は、その動機や目的、影響の対象に応じて、主に以下の2つに分類されます。

① 組織の利益のための不正

これは、組織の業績や評価を良く見せることを目的とした不正です。一見すると組織に利益をもたらすように見えますが、不正行為の実行者は、たいてい間接的な個人的利益を得ます。また、長期的には信頼性の低下や法的リスクを招く可能性が高いため、重大な問題となります。

例：

➤売上の過大計上（架空売上の計上）

➤費用の過少計上（費用の繰延べ）

➤在庫の水増し

➤会計基準に反する処理による財務諸表の粉飾

➤財務状況を外部によく見せるための、重要情報の意図的な不記載

このような不正は、経営者や上層部によって行われることが多く、内部統制の形骸化や「トーン・アット・ザ・トップ」の欠如が背景にあることも少なくありません。

② 組織に損害を与える不正

こちらは、個人や第三者が私的な利益を得るために行う不正であり、組織に直接的な損害を与えるものです。

例：

➤現金や資産の横領

➤サービスまたは物品の架空取引による不正請求

➤賄賂やキックバックの受領

➤情報漏洩や機密情報の不正使用

このタイプの不正は、従業員、取引先、委託先など、組織の内部・外部を問わず発生する可能性があり、内部統制の不備や監督の甘さが誘因となることがあります。

このように、不正の分類を明確に理解することで、内部監査人としてのリスク評価や監査計画の立案において、より的確な対応が可能になります。

不正リスク

不正リスクとは、意図的な行為により、組織や利害関係者に損害を与える事象が発生する可能性をいいます。

内部監査人は、不正を「発生後に発見する対象」としてではなく、
「発生する可能性のあるリスク」として捉え、予防・抑止の観点で評価する必要があります。

a.不正のトライアングルの概念（動機、機会、正当化）について説明する

（1）不正のトライアングルとは

クレッシーが提唱した不正のトライアングル（Fraud Triangle）は、次に挙げる相互に関連する３つの要素が不正を誘発することを示しています。

動機（Pressure）
機会（Opportunity）
正当化（Rationalization）

これらの要素を兼ね備えた者に対する組織の脆弱性が不正リスクです。不正リスクの原因となる事項は、組織内外に存在します。

（2）動機（Pressure）

動機とは、
ある者に不正を犯したいと思わせるインセンティブまたはプレッシャーです。

代表的な例

➤経済的な問題（借金、生活費、ギャンブル）

➤業績目標やノルマの過度なプレッシャー

➤昇進・評価・立場維持への不安

内部監査では、「個人の性格」ではなく、
組織構造や評価制度が過度な動機を生んでいないかを見ることが重要です。

（3）機会（Opportunity）

機会とは、
その者が不正を犯すことを可能にする状態です。

代表的な例

➤職務分掌が不十分

➤上司によるチェックが形式的

➤IT統制の不備（アクセス権限の過剰付与など）

内部監査人が最も直接的に関与できる領域であり、
内部統制の整備・運用は、主にこの「機会」を減らすことを目的とします。

（4）正当化（Rationalization）

正当化とは、
不正行為に対する罪悪感を取り除く弁明です。

代表的な例

➤「一時的に借りるだけ」

➤「会社は儲かっている」

➤「自分は正当に評価されていない」

正当化は、
倫理観・企業文化・トップの姿勢と密接に関係しています。

（5）トライアングルの活用ポイント

➤不正は「悪人がいるから起きる」のではない

➤環境が3要素を揃えてしまうと、誰でも起こし得る

内部監査では、「動機をなくす」よりも「機会を減らす」「正当化しにくい環境を作る」
ことが現実的なアプローチです。

「機会を減らす」には、有効な内部統制を整備することが効果的です。
「正当化しにくい環境を作る」には、清廉潔白な社風、職場環境が必要であります。
「動機をなくす」のは困難です。従業員の様子をみて「不正の兆候（Red Flag）」がないか注意することが重要です。

b．不正リスクを認識する

（1）不正リスク認識の考え方

不正リスクの認識とは、
どこで、どのような不正が、どの程度起こり得るかを把握することです。

重要なのは、

過去に起きた不正
発覚した不正
だけで判断しないことです。

「発覚していない不正が存在する前提」で評価を行う必要があります。

（2）不正の兆候（レッドフラッグ）

代表的なレッドフラッグには、次のようなものがあります。

特定の担当者に業務が集中している
休暇を取らない、異動を嫌がる
異常に業績が良い、説明が不十分
監査やレビューに非協力的

👉 レッドフラッグは、
不正の証拠ではなく、注意すべき兆候である点に留意します。

犯行者が示す行動面における不正の兆候（ベスト１０）
「2024年度版　職業上の不正に関する国民への報告書」ACFEより抜粋

不正を誘発した内部統制の脆弱性
調査の結果、最も多かった不正の要員は、内部統制の欠如（３２％）であり、次が内部統制手続の無効化（１９％）であった。つまり半数以上の不正が不十分な内部統制システムによって発生したことになる。「2024年度版　職業上の不正に関する国民への報告書」ACFEより抜粋