フォレンジック・アナリティクスによるデータドリブン経営への変革 ブックマークが追加されました
ナレッジ
フォレンジック・アナリティクスによるデータドリブン経営への変革
クライシスマネジメントメールマガジン 第39号
新型コロナウイルス感染症(COVID-19)の影響により広範囲の業務において、リモートワークが余儀なくされ、様々な業務でDX化が進んでいます。この領域に対する投資に積極的でなかった日系企業も、ここにきて急速な勢いで様々な不正防止・不正検知ツールを導入しようとしています。本稿では、日本企業のグローバル展開の落とし穴になっている海外の小規模拠点に焦点をあてつつ、不正検知アナリティクス(フォレンジック・アナリティクス)を導入するにあたっての要諦について解説します。
I. 小規模拠点の落とし穴
内部監査手続きでよく耳にするリスクベースアプローチという手法がある。監査計画策定時に、監査の対象となる拠点のリスクレベルを分析、把握し、優先監査拠点や監査領域を決定するものだ。これは、内部監査の限定的なリソース(人材・予算・時間等)を考慮し、効率的に監査を実施するための手法で、金額的重要性が高い大規模拠点が優先される傾向がある。監査の効率性を重視した結果、小規模拠点は後回しになったり、そもそも監査対象外となったりするケースが散見される。しかしながら、「不正リスク」という観点からは、これらの小規模拠点はむしろリスクが高く、看過することはできない。実際に、内部監査の対象外となっていた海外子会社で不正が発覚し、それがグループ全体の信用毀損やグループ経営層の責任問題に発展したケースは多く存在する。
なぜ小規模拠点の不正リスクは高いのか。ここで、あらためて小規模拠点のプロファイリングを整理してみよう。
- コンプライアンス意識が十分な従業員が少ない、コンプライアンス教育が不十分
- 管理部門(セカンドディフェンスライン)、内部監査部門(サードディフェンスライン)のリソースがそもそも少ない、またはない
- グループにおける予算のアロケーションが少なく、業務オペレーションが十分にDX化されていない
- 現地経営層の担当業務領域があまりに広範囲なため、統制活動に手が回らず、オーバーライドによる統制の無効化も起きやすい
- 日本から高コストとなりやすい駐在員を送り込めない場合もある(特にコロナ禍で増加)
貴社でも同じような状況が報告されている、あるいは読者の皆様が認識されていることだろう。これだけでも、小規模拠点=低リスクとはいえず、むしろリスクが高いことが確認できるが、以下で、(1) 業務プロセス、(2) 不正リスクシナリオ、(3) 経営者責任の3つの視点から、さらに詳しく見てみよう。
(1) 業務プロセスの視点
ここでは購買プロセスを念頭に置きながら話を進めていこう。図表1のフローでは、左から右へ、PR(購買要求)、PO(発注)、INVOICE(請求書)、PAYMENT(支払)の順番で業務が流れている。小規模拠点では、このような業務フローをマニュアル対応や、エクセル等によるいわゆるエンドユーザーコンピューティング(EUC)に頼っているケースが圧倒的に多い。2020年12月にデロイト トーマツグループが公表した「企業の不正リスク調査白書 Japan Fraud Survey2020-2022」(https://www2.deloitte.com/jp/ja/pages/risk/articles/frs/jp-fraud-survey.html)でも、海外関係会社における管理業務のDX化の遅れが明らかになっている。小規模拠点では、むしろ不正が起きやすい環境がそろっているのである。
(2) 不正リスクシナリオの視点
次に不正リスクシナリオを見てみよう。不正は、いわゆる不正のトライアングル(機会・動機・正当化)がそろった場合に発生するといわれる。上述した通り、小規模拠点はDX化による統制が弱く、不正を実行できる「機会」がある。それに加えて、グループ内での優先順位が低いこと、あるいは本社からの物理的・心理的な距離が遠いこと、教育不足によるコンプライアンス意識の低さなど、不正を実行してしまう「動機」と「正当化」の要素も強く、不正のトライアングルがそろってしまっている。その結果発生する不正の手口(不正リスクシナリオ)は、図表2で示したとおり、拠点の大小に関係なく、様々なものが想定される。これらの不正には累積性があるのが特徴だ。横領にしても、会計不正にしても、一度成功すると、それを隠ぺいするために、さらなる不正に手を染めるという麻薬性がある。小規模拠点といえども、積み重なると金額的重要性も増し、悪質性も高くなる。不正の発生メカニズム・リスクシナリオという観点からも、小規模拠点が看過できないことがわかるだろう。
(3) 経営者責任の視点
小規模拠点の不正に対する責任は、現地法人の経営者だけが負うものではない。経営者は善良なる管理者として、「監視・監督義務」、「内部統制構築・監視義務」、「損害拡大に対する回避義務」等が要求されており、親会社の経営者はグループ企業全体に対して、その責任を負う。各拠点における不正リスクは一義的には現地経営層が負うが、先に述べたように、小規模拠点は不正のトライアングルがそろいやすい。さらに、現地経営者の権限範囲が広いため、自らが不正の実行者・先導役となる、いわゆるマネジメント・オーバーライドが発生しやすい。小規模拠点の不正リスクに対する親会社経営者の責任は、二重に重いといえるだろう。ひとたびグループで不正が発生すれば、拠点の大小に関係なく、刑事罰、民事罰、企業内における処分等の大きな不利益を経営者本人が被るだけでは済まない。ステークホルダーに対する説明として、「従来型のリスクベースアプローチでは拾い上げきれなかった」、「小規模拠点のためガバナンス対象外であった」などの理由は通用しないことをあらためて認識すべきだろう。
II. フォレンジック・アナリティクスの活用
以上のように、小規模拠点のほうがむしろ不正リスクが高く、それに伴う経営責任も重い一方で、現実にはなかなかコストがかけられないという矛盾がある。グローバルに展開すればするほど、そして、業務領域が広がれば広がるほど、その相克は深くなる。全拠点に同水準の統制を導入することが現実的でない以上、不正検知プログラムによる早期発見、及びそれによる牽制が一つの解になりうるだろう。これからご紹介するフォレンジック・アナリティクスは、単なるデジタルツールとして導入するのではなく、セカンドディフェンスラインとサードディフェンスラインで共通のツールとして導入することで以下のような効果が期待できる。
- 様々な不正リスクシナリオに対応できる
- 網羅的に全データを対象に瞬時に処理することが可能
- 人員は、抽出された不審なトランザクションだけ対象に、重点的な調査に専念できる
- 手順が標準化され同じ品質で毎回実行できる
- セカンドディフェンスラインの統制活動の一部を置換でき工数削減効果がある
- セカンドディフェンスライン、サードディフェンスライン共に共通のツールを使っていることで牽制強化につながる
フォレンジックアナリティクスとは?
当社のフォレンジック・アナリティクスは以下のような特徴を持ち合わせており、グローバルネットワークで蓄積されてきた不正調査の知見から得られた不正リスクシナリオをふんだんに適用することができる。(図表3参照)
- 購買、経費、販売、給与、会計等の広い業務領域をカバーしている
- 活用できるデータセットは会計システムデータに限らず、購買、販売、給与、勤怠、スケジュールなど非財務データ等のデータを有機的につなぎ合わせて不正検知を実行することが可能である
- 不正検知する為の1つの手続きのことを「テスト」と呼ぶがReady Madeのものが非常に多くあり、すぐに検知を開始できる
- 様々な視点、データセットの組み合わせ、シナリオを適用して構築された「テスト」には、ベンフォード分析型テスト、プロファイリング型テストなど、その検知目的により適切な統計・分析手法が適用・応用されている
- あらゆるデータフォーマットに対応しており、海外拠点でよくある各国ローカルのERPシステムでも対応可能
- 当社のアナリティクス専門家がデータセットを収集、クレンジングを実施するためスムーズに導入が可能である
- 主要な言語による多言語対応が可能である
- セキュアなサーバー環境での利用が可能である
- Ready Madeの各種ダッシュボードがあり、カスタマイズも可能である
- 不正の兆候(Red Flag)を抽出し、リスト情報として提供可能である
セカンドディフェンスライン(管理部門)での活用例
業務における統制を所管するセカンドディフェンスラインでは、業務プロセスにおける内部統制を適切に整備・運用することで不正を未然に防ぐことが必要である。日常業務の中で本役割を果たすためには、対応可能な人員数を増やすか、あるいは、すべてのトランザクションを網羅的にチェックするが、限定的なリソースでは物理的に難しいため、サンプリングを行わざるを得ない。そのサンプリングチェックすら、チェック自体が目的化し、本来の目的である不正の検知に行き着く前に消耗してしまうことも多い。フォレンジック・アナリティクスを用いると、サンプリング自体が不要となり、全数チェックをした上で、抽出された不審取引のみを確認すれば足りる。メーカーにおける品質チェック方法の1つである「全数検査」は、重要な製品の品質管理を行うために用いられるが、これを不正検知で実現することが可能となる。
サードディフェンスライン(内部監査)での活用例
監査部門などのサードディフェンスラインでは、監査計画時の優先監査拠点や領域を決定するのに役立つ。フォレンジック・アナリティクスの活用により、監査計画段階で、全拠点に対し網羅的に、かつ取引単位の詳細レベルで事前に不正の兆候を把握することが期待できる。特にグローバルに展開している企業は、アセスメント対象の企業数が多く、かつ、DXの進行度もバラバラであることがほとんどである。この点、フォレンジック・アナリティクスは、データのフォーマットや言語を問わず、柔軟に取り込むことが可能なため、全拠点に対し同品質のトランザクションテストを実施することが可能である。逆に、ビジネス領域やサプライチェーンでの位置づけが異なる場合は、一定のプロファイリングを施した上で適用すべき不正シナリオを変え、拠点グループごとのテストを設計することで、より効果的な計画を策定することも可能である。
III. おわりに
現在、いずれの企業でも、コロナ禍でのリモートワーク化を背景に、業務のDX化が急激に進行してきている。データ指向の企業ガバナンスを構築する絶好のタイミングにあるといえよう。本稿で紹介したフォレンジック・アナリティクスは、不正調査で培われた実効性と、柔軟かつ効果的なアナリティクス技術・ビジュアライゼーションを兼ね備えたものとなっている。完全なDX化を待たずして導入が可能であり、逆に、本ソリューションの導入をDX化のきっかけにすることも想定しうる。本格的な「データドリブン経営」を、企業規模の大小を問わず実現できる時代が到来しつつあるといえよう。本稿がその検討の一助になれば幸いである。
※本文中の意見や見解に関わる部分は私見であることをお断りする
執筆者
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック&クライシスマネジメントサービス
シニアヴァイスプレジデント 扇原 洋一郎
関連するリンク
