データ分析から始める不正リスク低減と業務プロセス改善

1. 内部統制と不正

「改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと　第1回：会計不正の傾向と求められる不正リスク対応」でも取り上げられているように、「直近5年間における会計不正の傾向」を見る限り、内部統制が整備されているはずの上場企業において思いのほか多くの不正が報告されています。これは、やはり、企業が内部統制を構築する際に適切な不正リスク評価ができておらず、不正リスクを想定した内部統制が構築できていなかったからではないでしょうか。その事例として、以下のようなことが見受けられます。

• 業務上の例外が多くあり、内部統制の想定外となる場合がある
• 証憑の整合性を機械的に確認するにとどまっているため、隠蔽を伴う不正を発見できない
• 悪意を想定していないので、証憑を偽造されると無効化されてしまう
• 本来、相互けん制することが期待される両者が結託している
• 「顧客都合」を優先して、内部統制の逸脱が許容される場合がある
• 「現場の業務効率」を優先して、内部統制の無効化が発生している

これらの事例への対応はそれほど容易ではなく、「分かってはいるけれど難しい」ということばかりと思われます。

今回、このような課題にデータ分析をどのように活用していくのか、というテーマで話しを進めるために、以下のような具体的な不正事例を用意しました。

• 検収確認書を偽造して架空の売上を計上、別の売上に対する入金を用いて消込処理を繰り返すことで不正を隠蔽

この不正事例を題材にして、以下で具体的に解説したいと思います。

2. 不正リスク評価から不正リスク低減へ

不正リスクへの取り組みとして、まずは以下の図のような「不正リスク評価プロセス」を参考に不正リスク低減策の検討を行うことが考えられます。つまり、どのような不正リスクについて検討するのかを明確にした上で、そのフォーカスした不正リスクに対応する既存の内部統制を識別し、その有効性を評価します。

その結果、受容できない残存リスクには、例えば既存の統制活動の強化、統制活動の追加といった対応、並びにデータ解析の検討を行うこととなりますが、効率性や網羅性という観点から、ITの活用、すなわちデータ分析を導入することが有効です。

3. 不正リスクシナリオとデータ分析で業務プロセスのリスク低減を実現する

不正リスク評価の一環として不正リスクシナリオに基づくデータ分析を行うことで、残存リスクを把握することができます。その際、データ分析の結果として既存業務プロセスにおける異常性を発見することもあります。例えば、すでに廃止されたはずの手続きをまだ実施している担当者がいたり、存在しないはずの例外的な取引が実在したり、全く異なる取引にもかかわらず入力内容のほとんどがコピー＆ペーストにより同一であったりなど、思いもよらない事実を見つけることがあります。これは、データ分析を行う際には、利用するデータがどのように生成されたものか、ITシステムや業務プロセス、さらにはどのようなビジネス行為の結果がデータとなっているのかなどを理解することが必要となるため、正しくデータ分析を導入する際の過程においては各種の気付きが多くあることに起因します。

このようにデータ分析の導入に伴い、業務プロセスにおける不正リスクへの対応策を検討する場合、以下のようなステップで進めます。

ステップ1：特定の不正リスクへのフォーカス

まず、企業ごとに重点的に対応すべき特定の不正リスクへフォーカスします。以降、前述の不正事例「検収確認書を偽造して架空の売上が計上される」というリスクについてフォーカスします。これは役務提供を行っている企業でよくみられる典型的な不正リスクです。

ステップ2：既存内部統制の理解

不正リスクに対応する既存の内部統制を識別します。内部統制だけではなく、周辺の業務プロセス、分析対象となり得る各種データ、ITシステムについても整理、理解しておくことがポイントとなります。その際、単に業務文書や書面を読み解いていくのではなく、実際の業務担当者からのヒアリングや現場視察などを行って整理・理解していくことをお勧めします。不正は例外的な処理の中で行われることが多く、文書化された手順には表れてこなかったり読み取れなかったりすることがあるからです。前述の不正事例の場合、以下のような情報が得られるかもしれません。

• 顧客によって検収確認の手段が統一されておらず、正しい検収状況は担当者しか把握していない
• 経理部門では、検収確認書についてチェックする内部統制が存在するが、押印の有無や日付の整合性を確認するにとどまっている
• 経理部門が売上債権と入金の消込を行っているが、適時性を優先するため営業部門の上席者の確認をスキップし、営業担当からの提出資料に従って債権と入金の対応を確認し消込することが実務上よくある

ステップ3：残存リスクの検討

ステップ2で識別した既存の内部統制の有効性を評価し、カバーできない残存リスクを検討します。その際、「不正には隠蔽や改ざんを伴う」ということを前提に評価することがポイントです。前述の事例で考えると、

• 営業担当が検収確認書を偽造しても、経理部門ではその真贋（しんがん）を確認することができず、偽造資料に従って売上を計上してしまう
• 営業担当が付替えを企図して入金消込資料を偽造しても、経理部門は付替え行為に気付かずに偽造資料に従って入金消込を実行してしまう

ということが考えられます。すなわち、この場合の残存リスクとして、次のような不正リスクシナリオを導くことが可能となります。

「営業担当が売上プレッシャーのために検収確認書を改ざん・偽造して架空の売上を計上するとともに、発生した売上債権は滞留する前に消込が行われるように入金消込資料を偽造し、別の売上入金を付替えて不正を隠蔽する。これを継続的に繰り返すことで発覚を逃れる。」

ステップ4：対応策の検討

ステップ3で整理した不正リスクシナリオに基づき、既存の統制活動の見直しや強化、新規統制活動の導入などを行うことで、残存リスクに対応することができないかを検討します。その際、不正リスクシナリオに関連するITシステムのデータを解析することで新たな発見的統制を追加できないかという観点についても検討します。

ここでは実現可能性はさておき、まずはどのような対応が可能かを検討します。例えば、以下のような対応策が考えられるでしょう。

① 売上債権の発生状況を定期的に確認し、滞留額が増加傾向である、常に期日ギリギリの回収となっている、などの兆候を示すデータの詳細モニタリング（データ分析）を実施する（「不正の機会」の低減）

② 検収確認書の様式を統一し、顧客の社印が押された原本を経理部門に提出する（偽造防止）

③ 顧客から検収確認を電子メールで受領することとし、そのメールの宛先に経理部門を含めるようにする（偽造防止）

④ 顧客からの入金情報の摘要欄などに請求書番号を入力してもらい、経理部門で入金消込ができるようにする（入金に対応する売上債権の実在性確保）

⑤ 営業部門の上席者が、営業担当者の作成した入金消込資料についてその内容の妥当性を確認した上で、経理部門に提出する（入金消込時の付替え防止）

通常、データ分析の導入を検討している企業では、①のみを採用しようとすることが多いですが、②から⑤の対応策の導入も、不正リスク低減のために有効です。

ステップ5：実現可能性についての検討

さらに先ほど検討した対応策について、実現可能か、効果はどうか、というレベル感での落とし込みを行います。特に、統制活動を強化することで発生する「ビジネスのスピード低下」「手続きの煩雑化」などトレードオフ要素に対して、現場の抵抗感や拒否感についても考慮し、実現可能な対応策を決定することがポイントです。

前述の例で考えると、以下のように、実現が難しい、または効果が不十分であると判断したり、こうすれば実現できるのではないか、と結論づけたりといった検討を行います。

• 検収確認書の様式統一や、電子メールによる検収確認は、顧客との調整が困難でありビジネス機会の喪失が懸念されるため、実現が難しい
• 入金情報の摘要欄などへの請求書番号の入力は、顧客によっては対応の負担が大きく、一部のみの対応にとどまる可能性があるため、すべての入金消込を経理部門で実施することが難しく、統制としての効果が不十分である
• 営業部署上席者が従来行っていた売上管理業務を変更し、売上に対する請求情報を含めた資料を経理部門に提出するようにすることで、経理部門では入金消込資料の様式統一による業務効率化と付替え防止を実現できる
• 売上債権の発生状況についてのデータ分析の実施が可能であれば、売上債権のトレンド分析から営業担当者別のリスク評価をすることで不正リスクの低減につながるモニタリングを構築できる

4. まとめ

DX化を進める企業は、データ分析を導入すること自体に力を入れてしまいがちですが、発見的統制としてこれを導入する本来の目的は、不正リスクを低減させることにあります。すなわち、データ分析はあくまでその手段にすぎないため、本来の目的を見失わないことが重要です。

不正リスク低減についてステップを踏みながら整理し検討することで、その検討過程で得られる知見を活かした発見的統制の構築を含む内部統制の強化や既存プロセスの改善などを実現することができ、単なるデータ分析の導入にとどまらない費用対効果が高い取り組みとなります。