不正対策はじめの一歩 ~予防的統制と発見的統制の違いとは~(vol.84)

  • 公開日:
  • 最終更新日:

企業の不正リスク管理には、「発生しないように予防する」という考え方の予防的統制と、「発生したものを発見し対処する」という発見的統制に大きく分かれます。「不正は起こらないに越したことがない」と考えるのは当然であり、多くの企業が不正への対策を考える際に、まず予防的統制を意識することかと思います。しかし、予防的統制は理想的である一方、対策にかかるコストが高くなる、予期しないリスクに対する脆弱性があるといった理由から、実際にはどちらか一方のみではなく、双方の特徴を把握したうえで、それぞれを取り入れたリスク管理を行うことが必要となります。

本ブログでは、予防的統制と発見的統制の違いや、比較的業務負荷の低い発見的統制を強化するための方法などを解説します。

不正に対する予防的統制と発見的統制の違いとは?

予防的統制とは、リスクが起きないように未然に防ぐ、起こさせないための統制です。
一方、発見的統制リスクが起きたことを気づき、後々チェックして問題なかったかを確認できるようにする統制となります。
これを実際に企業で行う業務で例えると、「申請されたデータに対して、上長や管理部門がチェックをして承認しないと次の処理が実行されない仕組み」は予防的統制、「実行された処理に対して、ログを取得して誤りを発見できる運用を行う仕組み」は発見的統制にあたります。

不正対策の効果は不正をそもそも起こさせない予防的統制の方が強いといえますが、「チェックが完了しないと次の業務が行えず、問題ない処理まで遅延するリスク」があること、「承認するためのワークフローシステムを導入することなどのコスト」もかかるため、統制の効果と業務への負荷/コストのバランスを十分に検証することが必要です。
一方、発見的統制は、ログを取れる仕組みを予め用意すること自体は 業務への負荷も少ない対策となりますが、発見するタイミングでは不正がすでに行われている状況となるため、不正をそもそも起こさせない対策としては弱いといえます。

前提として、不正というのは企業にとって悪いことであり、起こってはならないものです。しかし、統制するためとはいえ、限られたリソースの中で仕事をしている管理部門にすべてのデータをチェック/承認させるというのは業務負荷を考えると現実的ではなく、予防的統制のみで対策をすることは難しいと言えます。そのため、現場の作業は変えず、管理部門に負荷をかけず、データ分析ツールなどを活用して不正を早期に発見できる環境を構築する発見的統制の強化が、昨今の不正対策のトレンドとなります。

不正対策(発見的統制)を強化するには?

では、不正対策として発見的統制を強化するためには、どうすればよいのでしょうか?
従来から行われている企業の取り組みを例に解説します。

内部監査は、どの企業でも行われる不正に対する取り組みであり、発見的統制の代表例と言えるでしょう。しかし、内部監査は通常は年に一回、少ないところでは三年に一回などの頻度で行われることもあり、そこで発見された不正の多くは時間の経過したもので、不正の対策としての有効度はあまり高くありません。さらに、監査手法は必ずしも全件調査ではなく、サンプル調査となる場合もあり、網羅性が低い点も問題です。

また、定期的に実施される監査部門よる経理データのチェックも、発見的統制の一環です。しかし、こちらも対象となる経理データは数か月前のものであるケースが多く、適時性は高くありません。また、チェック方法もレポートを人が目検するなどの手法が多く、実態として形骸化してしまっているケースもあります。

このような観点からいえば、従来から行われている内部監査の実施や定期チェックによる発見的統制の効果は、十分であるとは言えません。不正と疑わしい取引が行われても、数日後にはそれに気づけるような適時性があり、不正を見逃さない網羅性を持つ新たな対策が必要です。
この新たな対策として近年着目されているのが、データ分析により定常的にモニタリングし、不正兆候の早期発見を目指すアプローチです。 定常モニタリングにより、不正の早期発見を限りなく早めることで、発見的統制であっても、その性質は不正の発生自体を防ぐ予防的統制に近づいていきます

データ分析で不正兆候を発見するには?
~ 不正兆候検知システムの導入ポイントを徹底解説! ~

データ分析による不正対策(発見的統制)に必要なポイントとは?

では、データ分析による定常モニタリングにより、不正兆候の早期発見を実現するために必要なポイントは何でしょうか?
順を追って解説します。

  1. データの収集
    企業は、業務の中で日々の取引をシステムに入力しています。このデータを入手し、整備できる分析基盤を構築することが、まず必要なポイントとなります。そのためには、現状の企業全体で、どのようなデータを持っているかを知ることが大切です。内部監査では普段見ていなかったものの、実は別の部署で使用しているシステム内に既に分析対象と成り得るようなデータが溜まっている、というケースも多々あります。まず、社内のデータを集めてから、モニタリングしたいデータが入っているかどうかを確認していく必要があります。また、データは更新され、新しいものが入力されていくため、それらの情報を継続的に、自動的に収集していく仕組みづくりも重要です。
  2. リスクシナリオの作成
    モニタリングにより不正の疑いがあるデータを検知するためには、既存の業務プロセスを知ることが必要です。どのような手口の不正が起り得るか、不正が発生するとしたらどういったタイミング/シチュエーションか、不正兆候はデータ上どのように表されるか など、既存の業務プロセスにおいて不正が起り得るパターンの仮説を立てます。その後、仮説に対して不正と判定するための基準を設定し、検証します。この仮説と検証の流れを繰り返すことで、企業にとってリスクにあたるパターンをシナリオ化していきます。
  3. リスクシナリオを元にしたデータ分析
    データ分析フェーズでは、作成したリスクシナリオから不正兆候を発見するための能力が必要となります。どのデータをどのように見ればリスクを発見できるか、どのエビデンスを確認すべきか、どの関連データを見たらよいか、様々な分析をしていく過程で、事前のリスクシナリオ作成時は想定していなかったことにも気づいていきます。データを俯瞰したり、詳細に見たり、様々な軸で比較/分析を繰り返し、気づきを得ることでリスクシナリオが適切な形となっていきます。
  4. 原因分析/改善活動
    データ分析まで完了した後、不正が起こりがちな傾向だけわかって終わってしまっているケースをよく聞きます。しかし、きちんと原因分析まで行い、その後に改善活動を行っていくことまでが本来のリスク管理です。
    原因分析が不十分であると、同じ問題が再度起こってしまいます。例えば、ある書類について調査をした結果、押印が漏れていることが判明したとします。これに対し、「次から押印をしてください」という指摘は原因分析されていないものなので意味がなく、今後も押印漏れが生じてしまうことを防げません。この例であれば、押印が漏れた原因について調査を行い、押印漏れが生じる原因を特定した上で、同じ問題が生じないようにすることが必要です。このような原因分析/改善活動は、一回実施して終了ではなく、同じことが再度起こらないかを継続して確認/注意し続けていかなければいけません。また、調査方法や改善策の対応結果を蓄積していくことで、類似の問題が発生した際、過去にはどのように対処をしていたか、それを踏まえた適切な原因分析/改善活動を行うことが可能となります。
    このような原因分析/改善活動は、現状ではシステム対応が難しい領域となり、人による判断/対応が必要です。

まとめ

さて、ここまで予防的統制と発見的統制の違いや、発見的統制を強化するための方法などを解説して参りましたが、発見的統制を強化するためのポイントをすべて満たした環境を一から構築していくのは中々ハードルが高いと感じられた のではないでしょうか?

そこで、まずは実行可能な一部から取り組みをはじめ、必要に応じてデータやリスクシナリオを拡張していくスモールスタートを推奨します。例えば、「グローバルで統一されたモニタリングの仕組みを作りたいが、子会社ごとに基幹システムが異なるため、全体のデータは連結会計システムの月次サマリしかなく、なにから手を付ければよいかわからない」というご相談をよくいただきます。「基幹システムのグローバル統合をしてから……」という考え方だと取り組みが遅れるため、まずは今ある連結会計システムのデータを元にできることからはじめて、その後に個社の詳細データを取るようにしていくという順番で進めることは現実的です。

また、ITシステムの活用により、データ収集、リスクシナリオ作成、データ分析のプロセスは効率化することが可能です。
例えば、次の①~④は、ITシステムが得意な領域となります。
①データ連携ツールによるデータ収集の自動化
②DWHのような分析基盤の構築
③作成したリスクシナリオを元に不正兆候を網羅的に検知できる仕組み作り
④分析結果をビジュアル化し、ダッシュボードなどで参照できる環境の構築
原因分析や改善活動など、最終的に人が判断して対応しなければならない領域に注力するためにも、こういったツールを活用していくことは有効な手段です。

弊社電通総研は、経営モニタリング・不正検知ソリューション「EMPHASIGHT」をご用意しております。不正対策に必要なデータ収集機能を標準搭載しており、監査法人系コンサルティング会社監修 のリスクシナリオをプリセット、ビジュアルなダッシュボードで分析結果を確認でき、原因分析の調査進捗や改善結果をシステム内にて管理することでナレッジ化する機能もございます。企業の不正対策、特に発見的統制の強化についてご興味ご関心をお持ちでしたら、是非、弊社電通総研にお声掛けいただけますと幸いです。

EMPHASIGHTご紹介ページ:https://erp.dentsusoken.com/solution/emphasight
EMPHASIGHT基本ガイドブック:https://inv.dentsusoken.com/erp/guidebook/emphasight_2