ナレッジ

リモート支援型不正監査(RAFA)のすすめ

クライシスマネジメントメールマガジン 第36号

昨年よりCOVID-19の影響によりあらゆるビジネスシーンで「リモート」が用いられるようになり、会計監査、内部監査、品質監査、業務監査、監査役監査、ISO監査等様々な監査場面でも、デジタルツールの導入を検討している企業が増えています。また、内部監査に「不正検知」の機能を期待する声も日増しに高まっています。本稿では、「リモート」と「不正検知」の2つの目的に合致した「リモート支援型不正監査」(RAFA:Remote Assisted Fraud Audit)を紹介します。

2020年12月にデロイト トーマツが公表した「企業の不正リスク調査白書 Japan Fraud Survey2020-2022」によると、COVID19の感染拡大が業務へどのような影響を与えたかという問いに対して、不可欠な海外駐在・出張の中止が1位で57.6%の回答率となっており、従来型のオンサイト監査が実施できない制約があることを示唆している。その一方で、内部監査に期待される機能を聞いた別の問いでは、内部統制改善に次いで2位に不正発見が挙げられており、内部監査への期待と制約が同居している様子がうかがえる。実際に我々の元にも、多くの企業から、この二律背反への悩みの声が寄せられている。

2021年3月5日の参院予算委員会において、日本政府の新型コロナウイルス感染症対策分科会の尾身茂会長は、COVID-19が季節性インフルエンザと同等の病気と認識されるまで、「2~3年」かかるとの見通しを示している。現状がしばらく続くとの認識のもと、2021年度は、各種監査活動の手法を本格的に見直すべきタイミングといえるだろう。

 

I. 従来の監査手続きにおけるポイント

解決策の話に入る前に、まずは、COVID-19以前からの伝統的な監査における手続きのポイントを押さえておきたい。

リスクベースアプローチに基づく内部監査の手続きを簡潔に書き出すと、以下のような流れが一般的だろう。

リスクベースアプローチに基づく内部監査の手続きの図
クリックすると拡大版をご覧になれます

【1】リスクベースアプローチの監査では、計画・準備段階において以下のような手続きを実施し、優先的高リスク領域を特定して、深掘りする方法が採用されている。

(1) 財務情報の視点による会計指標等の事前分析

(2) 監査対象拠点の事業・製品・業務プロセス等の理解のための各種資料の読み込み(JSOX 3点セット等)

(3) 内部統制の脆弱性の評価等によりリスクベースアプローチを実施する

(4) 質問書による書面監査による被監査拠点のセルフチェックをオンサイト監査の事前に実施する

(5) 事前提出された各種エビデンス類の事前分析

(6) 上記の分析結果により、よりリスクの高い拠点・子会社・事業・業務プロセスを特定して優先的に監査対象とする
 

【2】監査実施段階は、従来型の監査ではオンサイトで実施するのが通例となる。現物・現場で事実を監査人自身でおさえることが何よりも優先されるからだ。さらには、内部監査人に要求される最重要なスキルはコミュニケーションスキルであるとよく言われるが、オンサイト監査で、被監査拠点の担当者、責任者と直接コミュニケーションを行い、信頼関係を構築することで得られる情報も非常に重要である。観察やウォークスルーテスト、インタビュー等によるHuman Interactionで得られた非言語情報から、証憑分析だけでは可視化できない事実をとらえることができるためである。また、深い信頼関係が構築できた場合は、表に出てきにくい課題や問題への対応を逆に相談されることもある。

【3】結果分析・報告段階では、監査実施で得られた情報をもとに、把握された問題点の原因を分析する。業務領域やプロセスごとの統制の整備・運用レベル、システム統制、影響を受ける外部要因等を総合的に分析することにより、課題抽出→本質的原因の把握→効果的な対策立案→導入の可能性評価といった流れで分析結果を整理していく。また、監査結果を報告書に取りまとめ、経営層へ説明、承認を得ることも重要な手続きである。被監査拠点への対策実行の正当性を担保し、よりスムーズな対策実行へつなげることが可能となるためだ。

【4】改善・評価段階は、被監査拠点をどのように巻き込むか、協力を得ていくかが重要である。ここでも内部監査人のHuman Skillが問われることになる。被監査拠点側が問題点を前向きに受け止め、対策に取り組めるかは、内容とプロセス両方を通じた監査結果の納得性にかかってくる。

 

II. 2020年における形だけの対応

冒頭で触れたように、COVID-19の影響で海外出張が難しくなり、オンサイトでの監査が事実上不可能となった。その初年度である2020年における日本企業各社の反応は様々で、単に延期したり、外部アドバイザーに委託したりといった一時的対応を見せた企業がある一方で、日本本社からのリモート監査に挑んだ企業も存在した。ビデオ会議を通じたインタビューや、証憑のPDF化等による収集・分析を中心とした監査である。機能した部分はあったものの、オンサイト監査を完全に代替するのは難しく、以下のような問題が見受けられた。

  • Human Interactionがない環境では、非言語的情報を得ることが難しく、また、信頼構築が容易ではないことから、効果的なインタビューが損なわれるとともに、監査結果の納得性を得ることも困難となった。
  • DX化の進んでいない子会社の場合、証憑収集に膨大な時間がかかり、現場の負荷が非常に高くなった。また、現場担当者による事後的な証憑偽造の余地が大きくなった。
  • リモート監査はあくまでもライブで実施する必要があり、時差の問題の解決が困難。

 

III. リモート支援型不正監査(RAFA)とは

我々の提唱する「リモート支援型不正監査」(RAFA:Remote Assisted Fraud Audit)は、単なるツールの導入にとどめずに、不正調査で培ったノウハウを加えることで、2020年に広くみられた上記の課題を克服すべく開発されたものである。先述した従来型の内部監査のポイントも踏まえつつ、要素に分解して説明していきたい。

1.  Webカメラソリューション

オンサイト監査の代替手段としてまず思い浮かぶのはWebカメラの活用だろう。スマートフォンのカメラでもある程度対応可能だが、実際に使おうとすると、棚卸などの作業をしながら撮影することが意外と難しいという初歩的な問題もさることながら、情報の真正性をいかに担保するかという、より深刻な問題が生じる。

デロイト トーマツでは、真正性を担保するため、位置情報と連動したWebカメラソリューションを用意している。例えば実地棚卸時において、送られてくる映像が監査対象となる工場や倉庫で撮影されていることを証明できるだけでなく、撮影拠点のレイアウト、在庫リストを事前に入手しておくことで、テストカウント時の現場担当者の恣意性を牽制することができる。このほかにも棚札等を確認できるような一定水準以上の解像度を確保しており、監査証拠とすることを目的として、撮影している映像を本社側からの操作で静止画としてキャプチャーし保存できる機能もある。

2. 証憑のクラウド管理

オンサイト監査時に実施されていた証憑閲覧もリモートで対応可能である。課題は特に海外子会社で証憑がDX化されておらず、紙証憑が多いことだろう。デロイト トーマツでは、上記のWebカメラで撮影した静止画を、そのままクラウド上のサーバーにアップロードし、その他の証拠と合わせて体系立てて保存できるソリューションも併せて提供している。保存、閲覧、承認等の履歴管理も万全で、事後的な証拠改ざんのリスクも排除できる。

3. Web書面調査

準備段階における書面調査は、従来型の内部監査でも実施されていた場合が多いと思われるが、これをWeb化することで単純に集計が効率化されること以上の効果が得られる。これまで書面調査は、被監査拠点を選定した「後」に、手続設計を行う観点で、被監査拠点のみを対象として実施されるケースが多かった。Webによる省力化は、これを、被監査拠点を選定する「前」に、全拠点に対して実施することを可能にする。その結果、手続設計にとどまらず、高リスク拠点・領域を抽出することを目的に含めることができる。また、他拠点との比較、あるいは継続的実施による経年比較を可視化することにより、改善への取り組みにおける納得性の担保にも役立つ。デロイト トーマツでは、パッケージ化したWeb書面調査を用意しており、カスタマイズや多言語対応も可能な体制を整えている。回答者も経営層や管理職層のみとしたり、あるいは従業員全員を対象とするなど、分析目的に応じて調整できる。後述する不正リスクシナリオに基づいた設計も可能であり、不正検知に比重をおいた内部監査の出発点となりうる。

4. 不正検知アナリティクス

デロイト トーマツでは、過去の不正調査の経験から、膨大な「不正リスクシナリオ」を保有している。不正リスクシナリオとは、横領や会計不正などの、様々な不正類型に関する「一般的な手口」、「外部環境要因」、「対象者の資質」、「不正を許容してしまった原因」などの「ありがちな」パターンのことである。デロイト トーマツでは、この不正リスクシナリオを活用したRed Flag Detection型の不正検知アナリティクスサービスを提供している。Red Flag Detectionとは様々なシステムデータ(会計、購買、販売、経費、給与、人事、出退勤等)を組み合わせ、不正リスクシナリオによる仮説を適用して異常値を検出するものである。準備段階で高リスク拠点・領域を抽出するために利用できるほか、実施段階における詳細なトランザクション分析にも活用できる。常時のモニタリングツールとしての利用も可能だ。

5. 心理学的アプローチ

不正調査では、事実関係の確認を行うために、弁護士立ち合いのもと、不正関与者POI(Person of Interest/Involvement)に対してインタビューを実施するが、フォレンジック特有の尋問技術や犯罪心理学を活用し、非言語情報を付随的に把握することで対象者の応答内容の真実性を分析する。デロイト トーマツでは、それらの知見をオンラインコミュニケーション上のデジタル技術に置き換えるべく開発を進めている。リモート化で最も代替のハードルが高いと思われる直接コミュニケーションによる非言語情報の捕捉に、道が拓かれようとしている。

6. 監査プロジェクト管理

リモート対応による監査の実行は、オンサイトよりも緻密なプロジェクト管理が要求される。対面で阿吽の呼吸で実行できたものを、一つひとつ指示に落とし、実行状況を進捗管理し、かつそれらをタイムリーに共有するという作業に分解する必要が生じるためだ。これをEメールなどの個別のやりとりで実行しようとするとたちまちパンクするだろう。デロイト トーマツでは、標準的な監査手続・プロセスを搭載した監査プロジェクト管理ツールを用意している。拠点への指示や進捗状況を可視化することでプロセスが効率化されることが第一のメリットだが、上記で紹介した様々なツールのプラットフォームとして機能することでデータが蓄積され、次年度以降の高度化のベースともなりうる。さらには、プロセスが標準化・透明化されることで、被監査拠点における監査結果・改善活動への納得性が付与されるという効果もある。

 

RAFA構成図

RAFA構成の図解
クリックすると拡大版をご覧になれます

IV. おわりに

COVID-19は、否応なくリモート対応を推し進める契機となっているが、以上の説明で明らかなように、単にツールだけを導入しても、従来のオンサイト監査を完全に代替することは難しい。ここで紹介したRAFAの各ソリューションは、便宜上分けて説明しているが、テクノロジー間の連関性が高いだけでなく、従来のオンサイト内部監査の機能を相互補完的に担う関係にあるため、一体で導入することが望ましい。仮にRAFAを一体導入する場合は、内部監査自体の大きなプロセス改善を伴うことになるが、コストに見合う直接的な効果を十分に得ることができる。さらには、監査を起点にして、子会社のDX化が進んだり、テクノロジー・不正対応に強い人材が育つなどの波及効果も見逃せない。うまく活用すれば、パラダイムシフトとよべるような変化を引き起こすことも可能である。もともと、不正検知の必要性は、リモート対応とは別に高まっていた。COVID-19という環境を利用して、リモート対応と不正検知のテクノロジー導入を同時に推し進めるべきだろう。本稿が、その検討のためのヒントとなれば幸いである。

 

※本文中の意見や見解に関わる部分は私見であることをお断りする

 

執筆者

扇原 洋一郎

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック&クライシスマネジメントサービス 
シニアヴァイスプレジデント 

 

 

お役に立ちましたか?