社内システム内のBig Dataを活用した不正リスク管理 ~SAP Fraud Management


10月7日に開催された「SAP All Cloud Connect 業務部門がリードする経営改革フォーラム」。経理財務部門向けトラックでは、「社内システム内のBig Dataを活用した不正リスク管理~SAP Fraud Management」と題して、SAPジャパンの関口善昭より経営管理のなかでも内部監査、特に不正監視とアクセスリスク管理に重点を置いた講演が行われました。

社内ルールとシステムの組み合わせで不正行為を未然に防ぐ 

sekiguchi-sanここ数年、第二のグローバル展開で、日本企業による海外での事業展開が盛んですが、現地法人の一つひとつに対して、国内のグループ企業と同様にきちんと目を行き届かせるのは難しいようです。2014年1月8日に有限責任監査法人トーマツが公表した『企業のリスクマネジメント調査』(2013年度版)によると、優先すべきリスクのランキング第1位は「海外拠点運営に関するリスク」でした。

不正行為は機会、動機、正当化の3つが揃ったときに発生する確率が高まると考えられています。SAPでは、この3つの要素を成立させないためには、

①社是・基本理念
②ポリシー・制度
③プロセス
④システム

の合わせ技で対応することが必要だと考えます。「SAP Fraud Management」と「SAP Access Control」はこのうちの4番目の「システム」において、各々不正パターンを検知する仕組みと、権限分離チェックを行う仕組みを提供しています。

SAP Fraud Management」でビッグデータを活用したリスク管理

SAP Fraud Managementは、企業が持つビッグデータを活用します。ビッグデータと言うとSNSやPOSレジなどを思い浮かべる方も多いかもしれませんが、企業の基幹システムの中にも膨大なデータが格納されており、これもビッグデータの一種と言えます。

SAPが提供する超高速のプラットフォーム「SAP HANA Platform」(以下、SAP HANA)上に、基幹システムで管理するさまざまなデータ、たとえば、マスターの変更履歴や発注・検収・支払に関するデータ、受注・出荷・請求・回収や権限の変更、在庫修正のデータなどをSAP HANAにリプリケーションし、リアルタイムに異常な取引を検出し分析を行うのがSAP Fraud Managementです(なお、SAP以外のシステムからデータを取り込んで分析を行うこともできますが、その場合は、1時間に1回とか1日1回などのバッチ処理となります)。

SAP Fraud Managementについて弊社の関口は「サンプリング検査ではなく、取引の全数検査を行えるのが大きな特長の1つ」だと強調します。「すべての取引をチェックし、あらかじめ登録しておいた異常値パターン(例:不正取引パターン)と突合させてアラートを内部監査部門や工場のラインなどに通知し、不正支払の可能性のある条件が満たされれば支払いそのものを停止させることもできる」(関口)

不正パターン検知

70種類のテンプレートが「あやしい取引」を見逃さない

ひとくちに不正取引といっても、実にさまざまなタイプのものがあります。たとえば、振り込み先情報や商品単価の改ざん、分割支払いを悪用した多重チェックの回避、同一の請求番号を使った複数回の支払いなどは代表的なものでしょう。ときには、発注データの頻繁な変更や前年比での取引件数の急増、新規の仕入れ先との取引などの裏に不正が隠れていることもあります。

ユーザーが使いやすいように、SAP Fraud Managementには現時点で70種類の「想定される不正取引のシナリオ」がテンプレートとして登録されており、今後は100種類まで拡大する予定です。 また、テンプレートを利用する以外にも、既存のCAAT(コンピュータを利用した監査技法)ツールで把握した自社固有の取引パターンも登録できる仕組みになっています。 未知のシナリオに対しては「SAP InfiniteInsightという予測分析ツールで分析を行い、不正発見にもっとも貢献する説明変数とモデリングを決定しSAP Fraud Managementに新たな不正シナリオとして反映させることができる」と関口は解説します。

実際にSAP Fraud Managementの導入にあたっては、不正リスク検知ルールの作成(不正の定義づけやデータソースの決定など)がとても重要です。講演では、海外の某大手通信会社が社員の出張旅費精算の不正検知の事例を解説しました。この会社は30カ国で約10万人が働く大手企業で、年間27万5千件の旅費及び経費精算が処理されます。本社経理部門で20人、ローカル各拠点で合計20人、内部監査部門で10人のトータル50人が旅費及び経費の分析に従事しているものの、近年、相当数の旅費及び経費精算に関する事故が発生し、年間2億円以上の不正が行われたという背景があり、SAP Fraud managementを導入されました。その結果、不正が疑われる支払いについては、SAP ERP上の処理をストップすることによって、未然に防げるようになるとともに、牽制効果で不正な精算そのものが大幅に減少した効果が表れました。

旅費及び経費の不正分析事例

質・量の両面で内部監査に多大な効果を発揮

SAP Fraud Managementの導入は、企業の内部監査に定性的・定量的どちらの面でも一定の効果を発揮します。定性的な効果としては、まず「データの自動収集・変換による恣意性の排除と正確性の向上」です。人が介在することで起きるデータの改ざん防止は大きなメリットとなるでしょう。

続いて全数検査やチェックの自動化による「不正監査のカバー率の向上」や「監査手法や手続きの統一」によって調査結果や経験値の蓄積・共有・活用がしやすくなるので均一したアウトプットが行えるようになります。

定量的な効果としては、なにより不正防止に伴った財務損失の低減が挙げられますし、運用の仕方によっては監査日程や監査にかかる想定工数の短縮も可能なため、人的資源の選択と集中にも貢献できます。

権限分離の徹底で従業員を保護する「SAP Access Control

内部監査に役立つもうひとつのアプリケーションが「SAP Access Control」です。不適切な権限保持者の自動検出、特権ユーザー管理などを自動で行います。不適切な権限としては、たとえば「発注者が検収入力をしている」「物品管理者が在庫修正を入力している」など、よくない権限の組み合わせが発生していないかをチェックします。

もし、不適切な権限の組み合わせを持つユーザーによってデータの更新が行われた場合には瞬時にアラートが上がります。リアルタイムでの即応的なチェック以外にも、毎月定期的にチェックが行われるよう設定することで、定点観測的にモニタリングを行えるのはSAP Access Controlの大きな特長のひとつと言えます。

SAP Access Control特権ユーザーの管理は、申請された作業内容と実際に行われた作業とが一致しているかを照合しワンセットで管理するものです。作業者の自己申告に依存することなく「どのIDを使って、どのテーブルのどの項目の数値が、何から何に変更されたか」といった詳細なログまでシステム管理者は確認することができます。これには不正防止の目的以外に、作業内容の正当性をシステムで担保することで従業員を守るといった狙いがあります。

ビジネスがグローバルに展開し、業務の複雑性が増す今日、故意または意図しないケースで本人が知らないうちに不正を行ってしまうということは十分ありえます。そんな中で、事前に不正を取り締まる「牽制」の仕組みを導入することは、働く人を守る仕組みづくりでもあるのです。

ぜひ、不正リスク管理にも事後的な調査ではなく、予防的統制の発想で取り組んでみてください。

保存版PDFレポートはこちら:

SAP All Cloud Connect レポート】グローバル化で待ったなし。次世代の会計基盤

ご質問はチャットWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する 
Web問い合わせフォーム 

電話: 0120-554-881(受付時間:平日 9:00~18:00)