データ分析から始める不正リスク低減と業務プロセス改善

データ分析から始める不正リスク低減と業務プロセス改善


発見的統制として活用されているデータ分析、その導入に際して内部統制の見直しを行うことで、不正リスク低減や業務プロセスの改善を同時に実現することが可能です。単なるDX化に留まらないデータ分析導入事例をご紹介します。


要点

  • 内部監査やモニタリングの領域でもDX化が進み、データ分析の導入事例が増えている
  • 実際のデータ分析の導入事例では、企業内のデータ品質が不足しているなどの理由で、やりたかったデータ分析が出来ていないことが多い
  • 発見的統制としてデータ分析を導入する本来の目的は不正リスクを低減させることであり、データ分析はあくまでその手段にすぎないため、それを見失わないことが重要
  • 旧来の内部統制では不正リスクを想定してない場合も多く、発見的統制のみならず、予防的統制の観点からもデータ分析を活用することが望まれる
  • データ分析の導入検討過程で不正リスクを併せて検討することで、統制の不備や業務プロセス再構築の必要性を把握可能


1. 内部統制と不正

改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第1回:会計不正の傾向と求められる不正リスク対応」でも取り上げられているように、「直近5年間における会計不正の傾向」を見る限り、内部統制が整備されているはずの上場企業において思いのほか多くの不正が報告されています。これは、やはり、企業が内部統制を構築する際に適切な不正リスク評価ができておらず、不正リスクを想定した内部統制が構築できていなかったからではないでしょうか。その事例として、以下のようなことが見受けられます。

  • 業務上の例外が多くあり、内部統制の想定外となる場合がある
  • 証憑の整合性を機械的に確認するにとどまっているため、隠蔽を伴う不正を発見できない
  • 悪意を想定していないので、証憑を偽造されると無効化されてしまう
  • 本来、相互けん制することが期待される両者が結託している
  • 「顧客都合」を優先して、内部統制の逸脱が許容される場合がある
  • 「現場の業務効率」を優先して、内部統制の無効化が発生している

これらの事例への対応はそれほど容易ではなく、「分かってはいるけれど難しい」ということばかりと思われます。

今回、このような課題にデータ分析をどのように活用していくのか、というテーマで話しを進めるために、以下のような具体的な不正事例を用意しました。

  • 検収確認書を偽造して架空の売上を計上、別の売上に対する入金を用いて消込処理を繰り返すことで不正を隠蔽

この不正事例を題材にして、以下で具体的に解説したいと思います。


2. 不正リスク評価から不正リスク低減へ

不正リスクへの取り組みとして、まずは以下の図のような「不正リスク評価プロセス」を参考に不正リスク低減策の検討を行うことが考えられます。つまり、どのような不正リスクについて検討するのかを明確にした上で、そのフォーカスした不正リスクに対応する既存の内部統制を識別し、その有効性を評価します。

その結果、受容できない残存リスクには、例えば既存の統制活動の強化、統制活動の追加といった対応、並びにデータ解析の検討を行うこととなりますが、効率性や網羅性という観点から、ITの活用、すなわちデータ分析を導入することが有効です。

不正リスク評価プロセス

不正リスク評価プロセス

※1   出典:COSO・ACFE(八田進二・神林比洋雄・橋本尚監訳、日本内部統制研究学会・不正リスク研究会訳)『決定版COSO 不正リスク管理ガイド』(日本公認会計士協会出版局、2017年)  P.23
※2   不正リスク管理の原則2の不正リスク評価は、当該不正リスク評価プロセスとなる


3. 不正リスクシナリオとデータ分析で業務プロセスのリスク低減を実現する

不正リスク評価の一環として不正リスクシナリオに基づくデータ分析を行うことで、残存リスクを把握することができます。その際、データ分析の結果として既存業務プロセスにおける異常性を発見することもあります。例えば、すでに廃止されたはずの手続きをまだ実施している担当者がいたり、存在しないはずの例外的な取引が実在したり、全く異なる取引にもかかわらず入力内容のほとんどがコピー&ペーストにより同一であったりなど、思いもよらない事実を見つけることがあります。これは、データ分析を行う際には、利用するデータがどのように生成されたものか、ITシステムや業務プロセス、さらにはどのようなビジネス行為の結果がデータとなっているのかなどを理解することが必要となるため、正しくデータ分析を導入する際の過程においては各種の気付きが多くあることに起因します。

このようにデータ分析の導入に伴い、業務プロセスにおける不正リスクへの対応策を検討する場合、以下のようなステップで進めます。

ステップ1:特定の不正リスクへのフォーカス

まず、企業ごとに重点的に対応すべき特定の不正リスクへフォーカスします。以降、前述の不正事例「検収確認書を偽造して架空の売上が計上される」というリスクについてフォーカスします。これは役務提供を行っている企業でよくみられる典型的な不正リスクです。

ステップ2:既存内部統制の理解

不正リスクに対応する既存の内部統制を識別します。内部統制だけではなく、周辺の業務プロセス、分析対象となり得る各種データ、ITシステムについても整理、理解しておくことがポイントとなります。その際、単に業務文書や書面を読み解いていくのではなく、実際の業務担当者からのヒアリングや現場視察などを行って整理・理解していくことをお勧めします。不正は例外的な処理の中で行われることが多く、文書化された手順には表れてこなかったり読み取れなかったりすることがあるからです。前述の不正事例の場合、以下のような情報が得られるかもしれません。

  • 顧客によって検収確認の手段が統一されておらず、正しい検収状況は担当者しか把握していない
  • 経理部門では、検収確認書についてチェックする内部統制が存在するが、押印の有無や日付の整合性を確認するにとどまっている
  • 経理部門が売上債権と入金の消込を行っているが、適時性を優先するため営業部門の上席者の確認をスキップし、営業担当からの提出資料に従って債権と入金の対応を確認し消込することが実務上よくある

ステップ3:残存リスクの検討

ステップ2で識別した既存の内部統制の有効性を評価し、カバーできない残存リスクを検討します。その際、「不正には隠蔽や改ざんを伴う」ということを前提に評価することがポイントです。前述の事例で考えると、

  • 営業担当が検収確認書を偽造しても、経理部門ではその真贋(しんがん)を確認することができず、偽造資料に従って売上を計上してしまう
  • 営業担当が付替えを企図して入金消込資料を偽造しても、経理部門は付替え行為に気付かずに偽造資料に従って入金消込を実行してしまう

ということが考えられます。すなわち、この場合の残存リスクとして、次のような不正リスクシナリオを導くことが可能となります。

「営業担当が売上プレッシャーのために検収確認書を改ざん・偽造して架空の売上を計上するとともに、発生した売上債権は滞留する前に消込が行われるように入金消込資料を偽造し、別の売上入金を付替えて不正を隠蔽する。これを継続的に繰り返すことで発覚を逃れる。」

ステップ4:対応策の検討

ステップ3で整理した不正リスクシナリオに基づき、既存の統制活動の見直しや強化、新規統制活動の導入などを行うことで、残存リスクに対応することができないかを検討します。その際、不正リスクシナリオに関連するITシステムのデータを解析することで新たな発見的統制を追加できないかという観点についても検討します。

ここでは実現可能性はさておき、まずはどのような対応が可能かを検討します。例えば、以下のような対応策が考えられるでしょう。

① 売上債権の発生状況を定期的に確認し、滞留額が増加傾向である、常に期日ギリギリの回収となっている、などの兆候を示すデータの詳細モニタリング(データ分析)を実施する(「不正の機会」の低減)

② 検収確認書の様式を統一し、顧客の社印が押された原本を経理部門に提出する(偽造防止)

③ 顧客から検収確認を電子メールで受領することとし、そのメールの宛先に経理部門を含めるようにする(偽造防止)

④ 顧客からの入金情報の摘要欄などに請求書番号を入力してもらい、経理部門で入金消込ができるようにする(入金に対応する売上債権の実在性確保)

⑤ 営業部門の上席者が、営業担当者の作成した入金消込資料についてその内容の妥当性を確認した上で、経理部門に提出する(入金消込時の付替え防止)

通常、データ分析の導入を検討している企業では、①のみを採用しようとすることが多いですが、②から⑤の対応策の導入も、不正リスク低減のために有効です。

ステップ5:実現可能性についての検討

さらに先ほど検討した対応策について、実現可能か、効果はどうか、というレベル感での落とし込みを行います。特に、統制活動を強化することで発生する「ビジネスのスピード低下」「手続きの煩雑化」などトレードオフ要素に対して、現場の抵抗感や拒否感についても考慮し、実現可能な対応策を決定することがポイントです。

前述の例で考えると、以下のように、実現が難しい、または効果が不十分であると判断したり、こうすれば実現できるのではないか、と結論づけたりといった検討を行います。

  • 検収確認書の様式統一や、電子メールによる検収確認は、顧客との調整が困難でありビジネス機会の喪失が懸念されるため、実現が難しい
  • 入金情報の摘要欄などへの請求書番号の入力は、顧客によっては対応の負担が大きく、一部のみの対応にとどまる可能性があるため、すべての入金消込を経理部門で実施することが難しく、統制としての効果が不十分である
  • 営業部署上席者が従来行っていた売上管理業務を変更し、売上に対する請求情報を含めた資料を経理部門に提出するようにすることで、経理部門では入金消込資料の様式統一による業務効率化と付替え防止を実現できる
  • 売上債権の発生状況についてのデータ分析の実施が可能であれば、売上債権のトレンド分析から営業担当者別のリスク評価をすることで不正リスクの低減につながるモニタリングを構築できる

4. まとめ

DX化を進める企業は、データ分析を導入すること自体に力を入れてしまいがちですが、発見的統制としてこれを導入する本来の目的は、不正リスクを低減させることにあります。すなわち、データ分析はあくまでその手段にすぎないため、本来の目的を見失わないことが重要です。

不正リスク低減についてステップを踏みながら整理し検討することで、その検討過程で得られる知見を活かした発見的統制の構築を含む内部統制の強化や既存プロセスの改善などを実現することができ、単なるデータ分析の導入にとどまらない費用対効果が高い取り組みとなります。


EY Forensicsは、ビッグ4で唯一、監査法人に所属しており、監査人としての視点を生かして、内部統制基準の改訂に伴う不正リスク評価及び対応支援を行っています。実際の不正事案に基づく豊富な知見と実務経験を有し、また、内部統制監査の経験を有する公認会計士・公認不正検査士・当局出身者・ITのプロフェッショナル等が連携し、内部統制の現状評価から改善策の実行支援まで一貫したスピーディーで柔軟なサポートの提供が可能です。


共同執筆者

乾 可矢子/Kayako Inui
EY Japan Forensic & Integrity Services シニアマネージャー

「組織の不正リスク低減」をダウンロードする


関連コンテンツのご紹介

改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第1回:会計不正の傾向と求められる不正リスク対応

2024年4月1日以後開始事業年度から改訂後の内部統制報告制度が適用となりました。改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。

内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応

内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応

15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。

デジタル化・コロナでより巧妙に 会計不正にどう立ち向かうか 内部統制基準改訂で見直す不正リスク対応

内部統制基準が改訂され、不正リスクの考慮や経営者等による無効化への対応、評価範囲の見直しが求められることとなりました。


関連イベント・セミナー

内部統制基準改訂に係る実務 ~不正リスクや経営者等による内部統制無効化リスクへの対応~

【EY Japan】内部統制基準の改訂で不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応の必要性が明確化されました。本セミナーでは、企業が実務対応を進める上で想定される課題やそれらに対する具体的なソリューションを紹介します。

【EY・TMI共催】「あなたの会社は、不正リスクに本気で向き合っていますか?」-不正・不祥事に対するリスク管理体制の実態とその解決策-

近年の不正・不祥事の動向を見ると、会計不正のみならず品質不正や情報漏えいの件数も増加しており、企業の経営上の問題(業務停止や決算遅延など)に発展したケースもあります。また、EYグローバルインテグリティレポートによれば、経営者に対する従業員の信頼が薄れているとの傾向が見られます。このような状況下で、いかに不正・不祥事リスクに適切に対応し、インテグリティに対する経営者の本気度を示すかは、従業員をはじめ多くのステークホルダーにとって重要であると考えます。 以上の問題意識から、本ウェビナーでは、企業の不正・不祥事に対するリスク管理体制の実態や体制強化のポイントについて、実務的な視点も踏まえ議論します。



    サマリー 

    発見的統制としてデータ分析を導入する本来の目的は不正リスクを低減させることにあり、その目的を見失わないことが重要です。データ分析の導入検討過程で、不正リスクの低減策についても整理し検討することで、内部統制の強化などを実現することができ、単なるデータ分析の導入にとどまらない費用対効果の高い取り組みとなります。


    この記事について