不正を防止するためのIT対応(前編) ブックマークが追加されました
ナレッジ
不正を防止するためのIT対応(前編)
商社ビジネスの特色と不正発生に関連したITリスク
これから全2回(前編・後編)に渡り、商社業界における不正を防止するためのIT対応について発信していく。前編では商社ビジネスの特色と不正発生に関連したITリスクについて述べることとする。
1 不正関連基準の潮流とIT
企業不正に対応した形で、不正に関連した監査基準等が公表されている。これら各基準等では、不正に関連してITについても触れられている。
例えば、日本弁護士連合会公表の「企業等不祥事における第三者委員会ガイドライン」では、調査を担当する専門家として、デジタル調査の専門家に委員会への参加を求めている。また、企業不正に対応するITガバナンスという視点からは、社団法人監査役協会ITガバナンス研究会の報告書として「監査役に期待されるITガバナンスの実践」がある。本報告書にはITガバナンスチェックリストが掲載されており、ITガバナンスの状況を把握する際に参考となる。さらに、会計監査の領域においても、日本公認会計士協会公表の「IT委員会研究報告第40号」では、ITに対応した監査手続事例として、仕訳テストを実施しなかったために、架空循環取引に関わる不正な会計データを発見できなかったケースを示し、ITを利活用した監査手続の有用性について述べている。加えて、企業会計審議会公表の「監査における不正リスク対応基準」では、不正リスク要因として、「会計システムや情報システムが有効に機能していない」と例示している。
いずれの基準等も、企業活動におけるITの重要性の高まりとともに、不正との関連でも密接にITは関わってきていることが反映されている。
商社の企業活動においても競争優位性の獲得や、新産業の創出等の手段として、今日までにあらゆる場面においてIT利活用を推進してきているため、不正とITの関連について整理しておくことが重要となる。
2 商社ビジネスにおける不正とIT
商社ビジネスの特色と不正発生に関連したITリスク
(1) 膨大な取引量と不正な取引へのタイムリーな対応
商社のように、さまざまなビジネス分野でかつ広範に事業展開している場合、当然、日々の取引量も膨大となる。このような膨大な取引に対して、不正やその兆候のある取引を手作業中心のオペレーションでモニタリングし、適時な牽制及び発見を行うことは現実的に困難であるといえる。
また、取引業務のIT化が不十分な場合には、不正の検知や事後対応に必要な情報が適時に記録されないことが考えられる。例えば意図的に出荷実績を改竄する不正が行われたとしても、膨大な取引の中では、不正な取引は埋没してしまう恐れがあり、タイムリーに不正の兆候を認識したり、対象の取引を特定することは非常に困難であるといえる。
(2) 現場社員の裁量と情報セキュリティの脆弱性
商社ビジネスにおいては、現場の社員の裁量で処理するケースが多い。現場の社員に多大な権限を与えることで、迅速な対応が可能になる一方で、複数業務プロセスの承認権限を同一人物が保有してしまうことにより、不正の機会創出につながる可能性がある。
例えば、営業部門が入力した成約情報に基づいて、営業部門が物流部門を介さずに商品の物流の手配実施まで可能としているケースの場合、組織間の職務分掌が不十分なため、架空取引の実現が可能となってしまう。
また、情報セキュリティの脆弱性と不正操作が密接に結びつくケースとしては、特定の社員のIDに権限が集中している場合がある。とくに特定の個人に複数のシステム機能(例:債権管理や入金管理等)の承認権限といった高権限が付与されていた場合に、不正が行われたという事例は実際に存在する。
他の事例としては、複数人で特定のIDを使いまわしているケースがある。このような場合、不正発覚後の操作者の特定が困難となり、不正操作の抑止としては不十分といえる。さらに、パスワードの管理方法についても、例えばIT部門における人事異動後の高権限のIDのパスワード変更が適時に実施されていなかったり、推測可能なパスワード変更を繰り返している場合も不正操作を許してしまう土壌を生む可能性がある。
(3) 広範囲に及ぶ拠点とITガバナンスへの対応のばらつき
商社においては、営業拠点が国内に点在しているのみならず、グループ会社を含めてグローバルに拠点展開している。とくに海外拠点において、現地の担当者にベンダー管理を含めシステムの開発・運用を一任してしまうと、本社が十分に実態を把握することは困難になる。
また、グローバル展開をしている商社においては、各国毎に規制や商慣習が異なる等の制約が存在しているため、拠点ごとに利用しているシステムを、ローカライズさせることがどうしても避けられない。各拠点のシステムを現地の担当者に任せきりにした場合、本社からはシステムの機能や利用状況及び管理体制が見え難くなってしまう。そのため、本社からの統制が及ばず、不正やその兆候を適時に把握することが困難になる恐れがある。
小規模な拠点であっても、不正が発覚した場合、同様な事象が発生していないか広範囲な調査が必要となる。その場合において、本社が把握できていない拠点が多ければ多いほど、より多くのリソースを投入する必要がでてくる。
上記のITリスクを踏まえ、後編では、商社業界におけるITを活用した不正対応について述べることとする。
(当該記事は執筆者の私見であり、デロイト トーマツ グループの公式見解ではありません。)
その他の記事
RPAの導入における新たなリスクマネジメント検討の必要性
RPAのリスクを全社的にどのようにとらえ、どのように対処していくか