不正が企業に与える影響をご存じだろうか。上場企業の収益に対する純利益率の平均は1.7%(最大値8.9)であるが、公認不正検査士協会(ACFE)の調査によると、不正による損失は年間収益の5%にも上ると言われている。また、横領や背任など個人の不正で数億~数十億円の損失が計上されるケースも珍しくない。

 ではどういう時に不正は起きるのだろうか。米国の犯罪学者のDonald R. Cressey氏が提唱した不正のトライアングル理論によると、不正が発生するのは不正のトライアングル「機会(例:入出金記録を改ざん可能)」「動機(例:多額の借金)」「正当化(例:給料が少ないので当然)」と呼ばれる3要素が全て満たされている時と言われている。つまり不正を防止するためには、この3要素のいずれかが成立しない状態を作り出すことが有効だ。3つのうち「動機」と「正当化」は各自の主観・事情であるため、すぐに対応することが難しい。対策がしやすいのは客観事情の「機会」を無くすことである。ただし、内部統制の仕組みなどで「機会」をいくら無くしても、不正の実行者はその「機会」の隙を狙って不正を起こしてしまう。不正を起こさせないためには、優れた不正検知の仕組みづくりから着手することが最も効果的だ。

 昨今のデジタルシフトに伴い、多くの企業がERP(統合業務パッケージ)だけではなく様々なSaaS(Software as a Sevice)型のソリューションを活用して社内のデジタル化を進めている。そのため企業取引自体がデジタル化され、データを活用した不正は検知されやすい環境になった。一方で、企業における不正が減少しているわけではない。日本の上場会社における会計不正として公表された会社数は、日本公認会計士協会によると2017年に26社だったが、2020年は46社と増加傾向にある。デジタルトランスフォーメーション(DX)時代に合った不正検知の仕組みづくりと、それをきっかけにした「不正を起こさせない企業」への変革を成功に導くポイントについて解説する。

データを活用した不正検知の課題

 不正検知の課題は大きく二つある。一つはCAAT(コンピュータ利用監査技法)ツールのような分析ツールを使いこなせる人材の不足だ。ツールを使いこなすには、不正の手口が推測できる業務知見と、不正によって発生するデータを特定することができるシステム知見が欠かせない。しかし両方を備えた人材の獲得や育成は難しい。これは2021年9月10日に開催された「コンピュータ監査国際会議 in Tokyo」でも課題として挙げられている。

 もう一つは、不正検知がリアルタイムで実施できていないことだ。被害を拡大させないためには、できるだけ早く不正を検知する必要がある。一方でCAATツールを利用してデータを抽出し、人手でサンプリングして分析するような従来型の分析方法では大量データに対応できず、不正の早期発見や予防が難しい。

 このような課題を前にして企業に求められるのは、DX時代に合わせた最新ソリューションの活用および、アナログが残る部分への人的リソースの強化だ。

 では、まず最新のソリューションについて紹介していこう。

サンプリングチェックの限界を突破

 一般的に監査ではサンプリングによるチェックを行うが、最新のソリューションは、マスター(例:顧客マスター)やトランザクション(例:購買発注伝票)データ全件に対してチェックを行う(図1)。

図1 マスターやトランザクションデータを活用した不正検知ソリューションのイメージ(出所:アビームコンサルティング)
図1 マスターやトランザクションデータを活用した不正検知ソリューションのイメージ(出所:アビームコンサルティング)
[画像のクリックで拡大表示]

 多くの会社で実績のある不正検知シナリオやデータパターンが初期セットされているので、利用後すぐに不正検知業務を開始できるところも強みである。不正検知業務の悩みとして、不正とは関係のない大量のデータに本当の不正が埋もれてしまうことがあるが、それに対応する機能もある。兆候ごとに重み付け(スコアリング)をして閾値(しきいち)を設けることで、リスクの高いデータのみを抽出可能にしたスコアリング機能だ(図2)。

図2 スコアリング機能のイメージ(出所:アビームコンサルティング)
図2 スコアリング機能のイメージ(出所:アビームコンサルティング)
[画像のクリックで拡大表示]

個別の事象だけでは見えない不正も検知

 一つひとつの事象としては問題ないが、つながりで見たときに問題となるような事象がある。例えばルールでは「受注、請求書作成、消込のいずれも別のユーザーが実行する」と決まっているのに対して、実際は全て同一ユーザーが実行しているような事象だ。これについては、業務プロセス単位で検知するソリューションが存在する(図3)。

 不正ではない場合も、ツールで分析することにより、オペレーションミスやルール違反(ユーザーIDの使いまわしなど)が発見でき、効率的に業務改善やプロセス統制の強化へとつなげることができる。

図3 業務プロセスデータを活用した不正検知ソリューションのイメージ(出所:アビームコンサルティング)
図3 業務プロセスデータを活用した不正検知ソリューションのイメージ(出所:アビームコンサルティング)
[画像のクリックで拡大表示]

 不正が取引先との共謀などで実行されるケースも多い中、このような不正検知ソリューションを活用した取り組みを社内外に公表して、従業員や取引先に対してリアルタイムで監視されているイメージを与えることも重要である。従業員の意識改革を促すことにつながり、不正へのけん制も大いに期待できる。ソリューション導入を単なる仕組みづくりにとどめず、業務改革へとつなげるポイントの一つである。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。