データ分析を活用した不正リスク低減への取り組み

Ⅰ はじめに

データ分析を企業活動に活用すべし、とうたわれて久しく、多くの企業においても導入が進んでいる状況かと思います。特に営業や企画の世界では予測や計画において華々しい活躍を見せていることも多数あり、データ分析が日常になっている例もあるのではないでしょうか。

同様の動きが不正リスクに対応したモニタリングや内部監査の領域においても、DX化の波とともに聞こえてきますが、なかなかうまくいかないという声をよく聞きます。これは、一般にデータ分析で行うと認識されている役割とモニタリングで求められる役割との間にギャップがあることによるものと推察しています（＜図1＞参照）。

このギャップを認識せずに営業や企画部門での成功事例をそのまま導入しようとした結果、期待したような効果が出なかったり、データ分析を行うことが目的となって何となく分析をしているだけになったり、といった弊害が出ていることはないでしょうか。

本稿では、データ分析を活用することをキーワードとしながらも、不正リスクをいかに低減するかという本来の目的に主眼を置いた上で、モニタリングとデータ分析、そして内部統制の在りようについて考えます。

Ⅱ 不正リスクモニタリングにおけるデータ分析

データ分析は非常に有用な手段で、モニタリングにおいても既に多くの企業で活用されています。不正リスクを対象としたモニタリングにおいては、ほとんどの場合、会計システムや業務システムのデータが分析対象となりますが、実はこれらは分析対象としては非常に難しい種類のデータであることから、なかなか効果的に不正リスクを検出することができずに悩まれている方も多いのではないでしょうか。細かな解説は省略しますが、例えば＜図2＞のように実際の活動がデータに落とし込まれていない場合が多数あると考えられ、単にデータと格闘しても適切な分析ができない、ということになりかねません。

そのため、不正リスクモニタリングでは、分析をデータサイエンティストにだけ任せるのではなく、業務や会計、内部統制、ITシステム、不正リスクなど、多方面にわたる知見を集約して取り組む必要があります。

つまり不正リスクモニタリングにおけるデータ分析の仕組みを構築する際には、社内の知見を集めて使えるデータかどうかの判断が重要になりますが、これを逆に捉えると、使えないデータがなぜ「使えない」のか、深掘りする機会が得られたと捉えられないでしょうか。社内データを「分析には使えない」と判断する場合、その主たる理由としてITシステム上のバリデーションチェックが機能していない、業務プロセスのルールがあいまいで入力方法や入力値がまちまち、といったデータの質を落とすような問題を見つけることがあります。発見的統制の構築だけが目的であれば、他の使えるデータを探すことになりますが、不正防止の観点からはITシステムや業務プロセスに見つけた問題を放置すべきではないでしょう。一方で、データが利用可能で、うまくデータ分析の仕組みを構築できた場合には、異常として検知されるデータが生成されるタイミング、つまり不正が起きたかもしれないタイミングが把握できるため、その手前の業務プロセスに予防的統制を組み込んだり強化したりすることで、異常行動を抑制できるようになります。係る予防的統制としては、入力制限や承認行為などが考えられますが、データ分析をITシステムに組み込むことで、不正リスクの見える化を実現する、ということも有用です。例えば、販売プロセスでは案件の引き合いや検収条件などは営業担当者だけが管理する情報としている場合が多くありますが、引き合いから受注、検収、請求、入金まで、一貫して案件単位での受注実態の可視化を業務システム上で実現し、どのような営業活動をしているのかを他の営業担当者や上席者が見ることができれば、「見られている」という、衆人環視の状況をITシステム上に生み出すこととなり、不正・不適切行為に対する強いけん制となります。

ここまで大まかな流れの説明となりましたが、データ分析の導入と同時に、このような予防的統制やITシステムの改善を行うにはどのように進めるのか、順を追って説明します。

Ⅲ データ分析からプロセス改善へ

前述の通り、社内の知見がないままデータ分析に取り組むと、データの質が悪いのか業務上の問題や制約によるものなのか、あるいは例外として許容された処理なのか、判別がつかずにすべてを「異常」と捉えてしまう可能性があります。十分な不正リスクモニタリング体制の構築は人もコストもかかってしまう非常に難しい取り組みです。コストパフォーマンスの面からもデータ分析を発見的統制の役割に限定せず、より広範に活用するべきであると言えるでしょう。不正リスクに対するモニタリングの本来の目的は、不正を起こしにくい環境を作ること、不幸な職員を生み出さないこと、であるべきではないでしょうか。そのためには、データ分析の導入過程で見つけた問題に対し、業務プロセスや内部統制を改善することで、不正を起こさせない環境にすることこそが本質的な取り組みになると考えられます。以下ではその流れについてステップごとに解説します。

1. 業務プロセスの整理とデータ分析手法の検討

不正リスクモニタリングの一環としてデータ分析を導入する際、まずは過去の不正事案や想定される不正シナリオについて、規程や証跡の確認や、業務担当者から実情の聞き取りなどを実施します。また関連する業務データを入手し、実際に発生した不正事案について特定できるよう日付、金額、担当者など詳細の情報まで取得した上で、データから異常性が見える不正を選別、過去事案に類似する異常性を検出する分析手法の検討を行います。

2. 不正リスクと不正リスクを取り巻く環境の整理

過去の不正事案で行われた手口を整理し、なぜそれが行われたのか、なぜ実行可能だったのかを環境面からも検討します。例えば、不正リスクとして、「請求内容の操作」、「検収確認書の偽造」、「営業における業界慣習の悪用」などのレベルで整理します。同様に、不正リスクを取り巻く環境としては、「実態が見えにくい複雑な個別受注取引」や「ITシステムの高すぎる自由度」、「営業担当者への極端な情報集中」などが挙げられます。また、1．で入手した業務データを使い、実際にどのようなことが起きていたのかを確認しながら進めることで、より深度ある検討が可能となります。

3. 不正リスク低減に向けた対応策の検討

データ分析からスタートし、結果としてITシステムや業務プロセスの見直しも含めた不正リスク低減策の検討まで行います（＜図3＞参照）。

(1) 即効性のある対応策

1.で検討したデータ分析手法を試験的に導入し、その有効性を評価します。実際に有効であると判断できたデータ分析手法について発見的統制として運用することを、不正リスク低減策とします。これにより、業務に影響することなく即時にモニタリングへの活用が期待されます。

(2) 根本治癒のための対応策

2.で整理した不正リスクと不正リスクを取り巻く環境に対して、その根本治癒のための対応策として、ITシステムの見直しによる不正リスクの現状の「見える化」とともに、業務プロセスの見直しによる統制活動の追加について検討します。どちらも主に予防的統制と機能する一方、業務プロセスの変更やITシステムの改修を伴うため、その実現には相応の時間とコストを伴いますが、不正を未然に防ぐという観点からは重要なリスク低減策となります。

Ⅳ おわりに

データ分析を活用した発見的統制の構築には多くの利点があります。その代表的なものに、既存の業務プロセスやITシステムに影響を与えない、対象を網羅的にチェックできる、短時間で実施できるなどがあります。興味深いことに「データ分析によるモニタリングを始めると言っただけで不正行為がなくなった」という効果があったとの声も耳にしました。特殊な事例かもしれませんが、不正行為に手を染める職員をなくすという意味では非常にコストパフォーマンスの良い対策と言えるでしょう。また不正リスク対策においては特にモニタリングを担当する職員の心理的安全性についても配慮することも必要です。そのためには経営陣からのトップダウンでの指示出しや、最終結果は会社外部からのレポートとして整理するなど、モニタリング担当者に心理的負担が集中しないような施策を必要に応じて検討します。

本稿で示したように、データ分析によるモニタリング体制の構築は、単独で実施するよりも同時にITシステムの見直しや業務プロセス改善についても検討することが効果的かつ効率的です。単にデータ分析ツールを導入する、IT部門に任せきりにする、という「形だけのDX化」ではなく、実のある投資を実施し、結果として不正リスクの低減を実現できる企業が増えることを期待します。