潜在的な不正を排除し、ビジネス・インテグリティを維持する仕組み作り


企業や組織における不正や不祥事が明るみに出ると、信用が失われ、取り返すまでにかかるコストや代償は計り知れない。SAPジャパン株式会社、CFOソリューション推進室 専任部長(公認内部監査人)の関口善昭は、2018年3月13日に開催されたセミナー「SAP Finance Day 2018、CFO領域におけるデジタルテクノロジーの活用」の中で、企業組織におけるビジネス・インテグリティ(完全性、整合性)を保つ為には、何を考え、何を整備する必要があるのか、機械学習などの最新テクノロジーの活用も踏まえながら紹介した。

リスクの背景にある「性善説の限界」と「成文法と判例法の違い」

Sekiguchiグローバル展開する企業が直面するリスクは多岐にわたるが、リスクを生む要素は大きく2つある。

1つ目は「性善説の限界」だ。例えば不正会計、架空売り上げや利益の水増しでは、取引先と共謀し、多めに支払いをして後でキックバックを受けるなどの手法が使われる。さらに、コンサルタントやエージェントを介しての贈収賄などもある。ビジネスがグローバルに拡大する中で、性善説に依拠するのは限界がある。

2つ目は、成文法か判例法かという「法律のあり方の違い」だ。日本の法律は成文法で、法は条文に書きあらわされている。このため、どこからどこまでが適法/違法かは、厳密に法律の表現に照らして判断すべきという意識が強い。一方、アメリカなどの判例法の国は、裁判の判例が力を持つ。裁判では、社会の変化や国民のニーズなどの状況を見て判断が下されるので、国民のニーズの変化が反映されるスピードは成文法の国よりも速い。

つまり、成文法の日本は「ルールさえ守っていればいい」、判例法のアメリカは「法律だけを見るのではなく、立法の背景や主旨を踏まえて判断が下される」。このため、日本企業はルールを守っているつもりでも、判例法のアメリカではクロとみなされて賠償金を課されるなどの事例が起きている。

効率的・効果的な不正管理を実現するSAP Business Integrity Screening

ガバナンス(G)、リスク(R)、コンプライアンス(C)を支援するSAPのGRCソリューションは、幅広くGRC領域をカバーする統合されたスイートソリューションだ。本日はこのうち、効率的・効果的な不正検知を実現するSAP Business Integrity Screeningと、取引先のスクリーニングを自動化するSAP Business Partner Screeningを紹介する。

まず、SAP Business Integrity Screeningは、膨大なトランザクションデータの中から、不正会計や横領などの不正パターンの予兆を検知するものだ。マネーロンダリング、不正購買、保険金の不正請求、架空売り上げなど、さまざまな不正の手口の内、約70種類がテンプレートとして登録されている。これらのパターンと、基幹系システムの取引を全件突き合わせしてリアルタイムで検査し、不正の兆候を検知できる。不正と認識された場合は、あらかじめ設定した閾値に基づいて、警告を出すだけで終わらせる場合と、取引をブロックする場合などに分けて対応できる。

SFD_Sekiguchi_01

あらかじめテンプレート化されている既知のシナリオに加え、機械学習を使った未知の不正シナリオの提案も可能だ。SAP Predictive Analyticsを組み合わせると、過去の手口を踏まえ、新たな不正の手口を提言し、そのモデルをインポートして組み込むことができるのだ。既知のシナリオと未知のシナリオを組み合わせた、ハイブリッドな不正検知が実現できる。

SAP Business Integrity Screeningは、もともとSAP自身の課題認識から開発が始まっている。現在は、グローバル120カ国の173以上の法人すべての取引を常時チェックしており、不正調査のデータ準備や報告作業の効率化で年間約750人日分、金額にして1億円以上の削減効果が上がっている。

30カ国で約10万人が働く大手通信企業、ボーダフォンでも、導入により出張経費や交通費の不正申請防止に、大きな効果を上げている。同社では年間、27万5000件の精算申請があるが、導入後は、それまで発生していたと推定される、年間2億円以上の不正による損害を防止できた。

欧州の大手家電メーカーB/S/Hでは、贈収賄や不正購買取引の防止に活用されている。アンチマネーロンダリング、汚職防止法、海外貿易と支払に関する法律などは、国によって異なるため、複数のシナリオを設定して全件チェックを実施。コンプライアンス強化とプロセスの自動化、最適化を実現している。

取引先スクリーニングを自動化するSAP Business Partner Screening

SAP Business Partner Screeningは、懸念取引先の洗い出しを行うソリューションだ。

グローバル企業にとって、取引先のスクリーニングは大変な作業だ。
例えば、懸念国に対して、3次元CADを直接輸出する企業は通常はなく、香港のとある企業を通して輸出するのが常だ。しかし、その仲介企業が懸念国の政府関係者が設立したペーパー・カンパニーかどうかは、なかなかわからない。

SAP Business Partner Screeningは、別途ロイターなどの情報サービスと契約することで、最新のブラックリストの提供を受け、それをシステムにアップロードし、受注、請求、出荷などのタイミングで取引先をスクリーニングできる。リストは四半期に1回更新され、「この企業は、禁輸国の高官が設立したペーパーカンパニーだ」などの情報がわかる。 SFD_Sekiguchi_02

SAP S/4HANAとSAP Access Controlで、J-SOX対応も

所謂J-SOX(内部統制報告制度)とSAPのソリューションの関係についても触れておきたい。J-SOXは、財務諸表の信頼性を棄損するリスクを最小化するという目的を持つ。これは、ERP又はSAP S/4HANAとSAP Access Controlを組み合わせることによって対応が可能だ。

SAP Access Controlは、適切な権限を持った人が業務に当たっているかを管理し、不正アクセスを防止するためのアプリケーションだ。例えば、発注する権限を持つ人が、検収をする権限もあわせて持っていると、検収の意味がなくなってしまう。棚卸の結果入力をする人と、マスターの変更権限を持つ人が同一だと、不正ができてしまう。このように、良くない権限の組み合わせになっていないかを自動的にチェックするのがSAP Access Controlだ。J-SOXの対応だけでなく、不正防止の面でも効果が高い。

監査人の役割は「チェッカー」から「アドバイザー」へ

新幹線やスポーツカーが加速性能を発揮できるのは、高性能のブレーキがあるからだ。ブレーキが利くからこそ、思い切ってスピードが出せる。ビジネスも同じだ。抑えるところをきちんと抑えてこそ、思い切って勝負ができる。積極的なリスクテイクが行えるような環境を作るために、監査人の役割も、変えていかなくてはならない。

これまでの監査業務は、非常に手間がかかっていた。このため、内部監査人の役割は、不正が起こっていないかを確認するチェッカーであり、ゲートキーパーだった。しかし、これほどグローバルにリスクの種類が多様化し、変化する中では、経営幹部に対してリスク対応への提案を行うアドバイザーの役割にシフトする必要があるだろう。

SAPのGRCソリューションがもたらす不正の排除や監査の効率化・自動化が、多くの企業の監査人の役割をシフトさせ、企業が適切にリスクテイクできる環境を構築する上での一助になればと考えている。

 

ご質問はチャットWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881(受付時間:平日 9:00~18:00)