不正を防止するためのIT対応(後編) ブックマークが追加されました
ナレッジ
不正を防止するためのIT対応(後編)
商社ビジネスにおけるITを活用した不正対応
前編に続いて、商社ビジネスにおける不正を防止するためのIT対応について発信していく。後編では、ITを活用した不正対応について述べていく。
ITを活用した不正対応
取引データの自動モニタリング
商社のように、膨大な取引データが日々発生している場合、手作業中心のオペレーションで不正やその兆候を適宜に把握することは非常に困難である。
このような取引の不正対応として、受発注の伝票情報から、異常に高い利益率や売価、赤字取引等、一定の傾向にある取引をシステムから自動抽出する機能を開発し、抽出された取引については、上長が確認し承認を行うという仕組みを導入することが有効と考えられる。ITは、大量のデータを処理することに強みを発揮する。
商社ビジネスにおけるITを利活用したモニタリング項目の例示として以下が挙げられる。
<ITを利活用したモニタリング項目の例示>
・赤字取引
・売上規模、利益率等(取引先、商材別に異常な値を抽出)
・値引・値増取引(リベート取引等を想定)
・伝票金額訂正(仮価格取引や赤黒等の修正)
・入力頻度の少ない入力者(担当者以外の入力者等)
・カットオフエラーの可能性のあるデータ
例):収益の繰越(取引日または出荷日が期中で、期末日後に売上計上されたデータ)
収益の前倒(取引日または出荷日が期末日後で、当期に売上計上されたデータ)
情報セキュリティ強化
特定の個人に権限が集中していたり、複数人で特定のIDを使いまわしている場合、職務分掌が無効化されてしまうリスクが高まる。不正な操作を防ぐためには、業務の分担を見直すことはもちろん、見直した職務分掌に応じたIDを個人別に付与する事が有効となる。
例えば、営業部門の成約情報を登録する担当者と、物流手配の担当者の職務分掌を整理し、それに応じたIDの権限を設定することで、不正防止を実現することが可能となる。ただし、権限を詳細に区分しているほど、組織変更や人事異動に伴う設定変更(権限の付替え)の負担が大きくなるため、バランスの取れた権限設定が求められる。
IDや権限の設定管理が不十分なまま放置されている場合にも不正操作が行われてしまうリスクが高まる。情報セキュリティの維持には定期的なIDと権限付与状況のチェックを行うことが有効である。
組織変更や人事異動に伴う業務引継ぎ等の理由から、結果的に複数の業務を横断的に実施可能なユーザーが生まれしまうケースも考えられる。職務分掌違反の温床となる状態であるが、そのような状態を適宜かつ網羅的に検出することは難しい。IDに対する権限の付与状況のみならず、権限設定自体が職務分掌違反になっている場合も想定されるからである。このような際にも、ITの活用が有効だ。職務分掌違反の権限を有したり、重要な取引にアクセス可能なユーザーを自動的に抽出・診断可能なツールが存在する。そのようなツールを活用することで、利用者が数多く権限の種類も多岐にわたる環境においても、網羅的かつ詳細な調査が可能となる。
また、複数存在する各システムのID・権限の情報を人事管理システムと連動させ、IDの発行や削除、権限の変更を自動化する仕組みを導入する対応も考えられる。IDや権限の管理を自動化することは、不正操作の防止だけでなく、業務の効率化という面からも有益な手段となる。
加えて、システムのログをチェックする体制を構築する対応も考えられる。ログを取得する範囲や時間、保管方法や保管期限を含め検討し、ログのチェック体制を構築することは、不正抑止の観点からも有効だ。そして、ひとたび不正が発覚すると、多くの場合、不正の実態把握のため、各種操作ログやマスタの変更ログ調査が求められる。システムのログを記録する事は、事後対応目的としても有効だ。
グループITガバナンスの強化
商社におけるグループ全体の不正に係るITリスクを検討するためには、海外を含めた各拠点でのITの利用状況や管理状況を予め把握しておくことが重要となる。そのためには、本社で開発したシステムを各拠点に利用させている場合でも、本社が想定したルールに従い使用しているか確認する必要がある。例えば、ある海外拠点において、システム導入当初は、取引ごとに伝票登録することを想定していたが、実際に現地では、各取引の明細は担当者が個人で管理し、月次でまとめた値だけをシステムに登録していたという事例がある。この場合、現地以外では取引の実態を明確に把握することが非常に難しい。
多くの企業グループにおいて、本社の目の届いていない拠点は数多く存在し、ITにおいてはブラックボックスとなっていることも少なくない。小規模な拠点にて不正が発覚し、グループ全体の信用が毀損される事例も数多い。金額的重要性の低い拠点であってもリスクが顕在化した場合の企業グループへの影響を検討することが重要である。
一般に金融商品取引法の内部統制監査(いわゆるJ-SOX)の範囲に入る拠点は、本社での状況把握は比較的行われている。しかしながら、その範囲以外の拠点に関しては、何年間にもわたり、本社が何も状況把握していないということも考えられる。
内部統制監査対象以外の拠点を含め、広範囲に実態把握するためには、監査業務やITに専門性の高い人材を一定数確保する必要があるが、短期間に社内のリソースだけで実現することは難しい。人材の不足を補うために外部リソースを活用することや、事前調査によりリスクの高い対象拠点を選定する等をして、効率的かつ効果的に実態把握を進めることが必要となる。
不正リスク評価を実施し、通常の内部監査の範囲に限定せず調査を行うこともITガバナンス強化策の立案に向け有効である。全ての拠点・広範囲の従業員に対し調査を実施することは現実的ではないことも多い。このような際は、Web等を通じたアンケートやその結果の分析等の機能を有するツールを利用することが有効だ。。
不正リスク評価の観点として、例えば以下のような項目が考えられる。ITに限定せず、総合的な観点で評価することが望ましい。
<不正リスク評価の観点の例示>
IT利活用の高度化と不正対応
商社におけるITの利活用は、今後益々高度化していくことが想定される。オペレーションコストの削減といった従来からの役割から、ワークスタイルやコミュニケーションの変革を促すツールとして、また、ビックデータを利用した新商品、新サービスの創出といったように、商社の競争優位性を獲得するためにITの役割が期待されている。そして、これまで解説してきたように、不正の防止やデータ分析を利用したリスク低減にITが果たす役割も高まっている。
それに応じて、本社IT部門の果たす役割もより拡大してきている。本社IT部門の担当者が、海外拠点でのITプロジェクトやセキュリティレベルの向上を推進するため、積極的に海外拠点に進出する事例も増えてきている。
さらには、IT部門と業務部門とのジョブローテーションを含め、IT部門の人材強化に長期的な観点で取り組んでいる企業も存在する。ユーザーからの依頼に基づいた開発・保守をする部門としての役割だけでなく、業務部門に深く関与し、業務改革を主導する役割が求められているといえよう。
様々なアプローチが存在するが、ITの活用や利用方法の高度化を通じITガバナンスを強化していくことは、不正対応の観点からも重要だ。
(当該記事は執筆者の私見であり、デロイト トーマツの グループ公式見解ではありません。)
