3. 不正リスクシナリオとデータ分析で業務プロセスのリスク低減を実現する
不正リスク評価の一環として不正リスクシナリオに基づくデータ分析を行うことで、残存リスクを把握することができます。その際、データ分析の結果として既存業務プロセスにおける異常性を発見することもあります。例えば、すでに廃止されたはずの手続きをまだ実施している担当者がいたり、存在しないはずの例外的な取引が実在したり、全く異なる取引にもかかわらず入力内容のほとんどがコピー&ペーストにより同一であったりなど、思いもよらない事実を見つけることがあります。これは、データ分析を行う際には、利用するデータがどのように生成されたものか、ITシステムや業務プロセス、さらにはどのようなビジネス行為の結果がデータとなっているのかなどを理解することが必要となるため、正しくデータ分析を導入する際の過程においては各種の気付きが多くあることに起因します。
このようにデータ分析の導入に伴い、業務プロセスにおける不正リスクへの対応策を検討する場合、以下のようなステップで進めます。
ステップ1:特定の不正リスクへのフォーカス
まず、企業ごとに重点的に対応すべき特定の不正リスクへフォーカスします。以降、前述の不正事例「検収確認書を偽造して架空の売上が計上される」というリスクについてフォーカスします。これは役務提供を行っている企業でよくみられる典型的な不正リスクです。
ステップ2:既存内部統制の理解
不正リスクに対応する既存の内部統制を識別します。内部統制だけではなく、周辺の業務プロセス、分析対象となり得る各種データ、ITシステムについても整理、理解しておくことがポイントとなります。その際、単に業務文書や書面を読み解いていくのではなく、実際の業務担当者からのヒアリングや現場視察などを行って整理・理解していくことをお勧めします。不正は例外的な処理の中で行われることが多く、文書化された手順には表れてこなかったり読み取れなかったりすることがあるからです。前述の不正事例の場合、以下のような情報が得られるかもしれません。
- 顧客によって検収確認の手段が統一されておらず、正しい検収状況は担当者しか把握していない
- 経理部門では、検収確認書についてチェックする内部統制が存在するが、押印の有無や日付の整合性を確認するにとどまっている
- 経理部門が売上債権と入金の消込を行っているが、適時性を優先するため営業部門の上席者の確認をスキップし、営業担当からの提出資料に従って債権と入金の対応を確認し消込することが実務上よくある
ステップ3:残存リスクの検討
ステップ2で識別した既存の内部統制の有効性を評価し、カバーできない残存リスクを検討します。その際、「不正には隠蔽や改ざんを伴う」ということを前提に評価することがポイントです。前述の事例で考えると、
- 営業担当が検収確認書を偽造しても、経理部門ではその真贋(しんがん)を確認することができず、偽造資料に従って売上を計上してしまう
- 営業担当が付替えを企図して入金消込資料を偽造しても、経理部門は付替え行為に気付かずに偽造資料に従って入金消込を実行してしまう
ということが考えられます。すなわち、この場合の残存リスクとして、次のような不正リスクシナリオを導くことが可能となります。
「営業担当が売上プレッシャーのために検収確認書を改ざん・偽造して架空の売上を計上するとともに、発生した売上債権は滞留する前に消込が行われるように入金消込資料を偽造し、別の売上入金を付替えて不正を隠蔽する。これを継続的に繰り返すことで発覚を逃れる。」
ステップ4:対応策の検討
ステップ3で整理した不正リスクシナリオに基づき、既存の統制活動の見直しや強化、新規統制活動の導入などを行うことで、残存リスクに対応することができないかを検討します。その際、不正リスクシナリオに関連するITシステムのデータを解析することで新たな発見的統制を追加できないかという観点についても検討します。
ここでは実現可能性はさておき、まずはどのような対応が可能かを検討します。例えば、以下のような対応策が考えられるでしょう。
① 売上債権の発生状況を定期的に確認し、滞留額が増加傾向である、常に期日ギリギリの回収となっている、などの兆候を示すデータの詳細モニタリング(データ分析)を実施する(「不正の機会」の低減)
② 検収確認書の様式を統一し、顧客の社印が押された原本を経理部門に提出する(偽造防止)
③ 顧客から検収確認を電子メールで受領することとし、そのメールの宛先に経理部門を含めるようにする(偽造防止)
④ 顧客からの入金情報の摘要欄などに請求書番号を入力してもらい、経理部門で入金消込ができるようにする(入金に対応する売上債権の実在性確保)
⑤ 営業部門の上席者が、営業担当者の作成した入金消込資料についてその内容の妥当性を確認した上で、経理部門に提出する(入金消込時の付替え防止)
通常、データ分析の導入を検討している企業では、①のみを採用しようとすることが多いですが、②から⑤の対応策の導入も、不正リスク低減のために有効です。
ステップ5:実現可能性についての検討
さらに先ほど検討した対応策について、実現可能か、効果はどうか、というレベル感での落とし込みを行います。特に、統制活動を強化することで発生する「ビジネスのスピード低下」「手続きの煩雑化」などトレードオフ要素に対して、現場の抵抗感や拒否感についても考慮し、実現可能な対応策を決定することがポイントです。
前述の例で考えると、以下のように、実現が難しい、または効果が不十分であると判断したり、こうすれば実現できるのではないか、と結論づけたりといった検討を行います。
- 検収確認書の様式統一や、電子メールによる検収確認は、顧客との調整が困難でありビジネス機会の喪失が懸念されるため、実現が難しい
- 入金情報の摘要欄などへの請求書番号の入力は、顧客によっては対応の負担が大きく、一部のみの対応にとどまる可能性があるため、すべての入金消込を経理部門で実施することが難しく、統制としての効果が不十分である
- 営業部署上席者が従来行っていた売上管理業務を変更し、売上に対する請求情報を含めた資料を経理部門に提出するようにすることで、経理部門では入金消込資料の様式統一による業務効率化と付替え防止を実現できる
- 売上債権の発生状況についてのデータ分析の実施が可能であれば、売上債権のトレンド分析から営業担当者別のリスク評価をすることで不正リスクの低減につながるモニタリングを構築できる