ニューノーマル時代の不正リスク管理

本稿では、ニューノーマル時代において注意すべき不正リスクと、「リモート監査・調査」の手法を構築する際のポイントについて解説します。

本稿では、ニューノーマル時代において注意すべき不正リスクと、「リモート監査・調査」の手法を構築する際のポイントについて解説します。

新型コロナウイルス感染症(以下「COVID-19」という)の発生により、従来型のリスク管理活動の限界が露見しました。リスク管理活動を抜本的に見直し、「想定外リスク」を「想定内」にしていく取組みが不可欠といえます。
COVID-19に伴う景気低迷と社会構造の変化にともない、企業における「不正リスク」が高まっています。一方、感染症の蔓延下では従来型の内部監査等の実施が難しいため、企業における「不正発見・対応力」が低下することが予想されます。これらの状況より、不正が長期にわたり発見されず「想定外」の損害が発生する可能性も懸念されます。
不正による想定外の損害発生を避けるためには、ニューノーマル時代に適した「リモート監査・調査」の手法を確立する必要があります。そこで本稿では、ニューノーマル時代において注意すべき不正リスクと、「リモート監査・調査」の手法を構築する際のポイントについて解説します。なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

ポイント

  • COVID-19に伴う景気低迷等により、企業の不正リスクが高まる可能性があるが、従来型の内部監査等の実施が難しくなるため「リモート監査・調査」の手法確立が必要となっている。
  • ニューノーマルの時代では、1. 現地訪問型の監査・調査の困難さ、2. 精査対象資料をデータで受領する必要性、3. 社内コミュニケーション手法の変化等を考慮して内部監査等を変革する必要がある。
  • これらを踏まえた「リモート監査・調査」の導入時のポイントとして、1. データを積極活用した不正検知、2. 受領データの改ざんリスクへの対応、3. コミュニケーションデータの分析、等が挙げられる。

I. 「想定外リスク」への取組み

1. 従来型のリスク管理活動の限界

COVID-19が発生し、従来型のリスク管理活動の限界が露見しました。COVID-19の発生を予測することは困難であり、まさに「想定外リスク」であったといえます。一方、2019年12月末から翌年1月にかけて中国におけるCOVID-19の蔓延が報道され始めた頃に、グローバルベースでの情報収集、ビジネスへの影響の見積り、出勤停止・テレワーク導入等の方針決定を迅速に実行できた企業とそうでない企業で明暗が分かれました。
COVID-19の発生以前からリスク管理活動の形骸化に悩んでいた企業は少なくないと思われます。具体的には、リスク管理活動が「単体思考」「部門縦割り」「事業軸でのリスク認識」に偏重しており、グループ全体の視点での重要リスクが漏れたり、グループ本社の経営層が参加する会議体における海外の重要リスクの検討が不十分なこと等の問題がありました。

2. 「想定外」を「想定内」にする取組みの必要性

ニューノーマル時代におけるリスクをすべて予測することは難しいかもしれませんが、経営への悪影響を最小限に抑えるためには、事業環境の変化を正確かつ迅速に把握し、将来発生し得るリスクを可能な限り予測したうえで、「想定外」を「想定内」に変えていく必要があります。すなわち、COVID-19のような「想定外」の重大リスクの兆候を本社が早期に集約し、迅速に対応策を実行していくリスク管理の仕組みへ抜本的に見直す必要があります。
COVID-19の影響により様々な経営上のリスクが高まっていると考えられますが、景気低迷等を契機として発生する不正リスクには特に注意が必要です。「わが社は大丈夫」と思いこむ中で「想定外」の損害が発生する前に、「想定内の事象」として不正リスクを管理していくことが肝要です。
次章以降では、景気低迷等により不正リスクが高まる理由を説明したうえで、ニューノーマル時代に対応したリスク管理活動の高度化の一環として「リモート監査・調査」手法を構築する必要性およびポイントを解説します。

II. ポストコロナの不正リスク

1. 「景気低迷」が不正リスクに与える影響

COVID-19は景気低迷をもたらしていますが、不正リスクにどのような影響を及ぼすのでしょうか。この点について、2008年に発生したリーマン・ショックを例に検討します。COVID-19とリーマン・ショックは、経済に与える影響の性質が異なりますので単純比較は難しいですが、過去の教訓から学ぶことは将来のリスクを想定するうえで有用です。

(1)米国公認不正検査士協会(ACFE)の研究
米国公認不正検査士協会(ACFE)は、リーマンショックが不正リスクに与えた影響に関する研究結果において、景気低迷下では不正発生の3つの要因である「不正を働く動機」「不正を働く機会」「不正の自己正当化」が生じやすくなるため、様々な不正リスクが高まると結論付けています(図表1参照)。

図表1 景気低迷が不正リスクに与える影響

不正を働く動機 不景気により、企業・個人の両方において経済的なプレッシャーが高まる。
不正を働く機会 人員削減等のコスト削減を行うことで、内部統制や積極的な不正防止策の簡略化をもたらし、不正を働く機会が増加する。
不正の自己正当化 景気悪化を伝えるニュースが相次ぐ中で、無力感、悲愴感、孤立感などに苛まれ、不正行為を正当化する感情を生む。

出典: Occupational Fraud: A Study of the Impact of an Economic Recession(ACFE)

(2)日本公認会計士協会による分析
2010年4月に日本公認会計士協会が公表した「上場会社の不正調査に関する公表事例の分析」には「昨今の景気低迷、ならびに企業・個人の業績へのプレッシャーに繋がる成果主義等の企業風土が影響したと思われる不正行為が行われた上場企業数が増加している」と記されています。
実際に、リーマンショックによる景気低迷が契機となり、多くの企業において不適切な会計処理が行われました。筆者の複数企業における監査・不正調査の経験を踏まえても、景気低迷により企業の不正リスクは確かに高まるものと考えられます。

2. COVID-19による「社会構造の変化」

COVID-19の発生は、社会構造の変化をもたらしています。具体的には、ヒトは移動せずモノが移動する社会への急速なシフト、在宅勤務・テレワーク導入等による働き方の変化、事業継続等の観点でのサプライチェーンの見直し等が挙げられます。
COVID-19の影響で想定される不正リスクを検討する際には、前項で挙げた「景気低迷」に加えて、これらの「社会構造の変化」を考慮する必要があります。

3. COVID-19の影響で想定される不正リスク

「景気低迷」や「社会構造の変化」により企業・事業が受ける影響は様々ですが、一般的には次のような不正リスクが高まると考えられます(図表2参照)。

図表2 ポストコロナで想定される不正リスクと発生要因

会計不正
  • 売上・利益確保
  • 事業存続
  • 財務制限条項の抵触回避
カルテル
  • 価格・シェア維持
贈賄
  • 受注確保
  • 物流混乱に伴う通関における贈賄要求
  • COVID-19関連寄付を装った贈賄要求
キックバック
  • 個人資産の減少/借入金返済
  • 取引業者の損益維持インセンティブ
  • 取引業者の変更
情報漏洩
  • テレワーク導入に伴うセキュリティ脆弱性を突いたデータ持ち出しやサイバー攻撃
取引詐欺
  • COVID-19対策に関連する取引等を装った詐欺の増加(巻き込まれ)

まず、会計不正、カルテル、贈賄等のリスクが挙げられます。事業モデルが「景気低迷」「社会構造の変化」に対応できない場合、とにかく売上・利益を確保したいとの動機が生じ得ます。
次いで、キックバックのリスクが挙げられます。取引先見直しの機会が増える中で受注を確保したい取引先と、個人資産の減少や将来の雇用不安等を抱く調達担当役職員との利害が一致する可能性があります。
さらに、サイバー攻撃や、社員や外部委託先の担当者による情報の持ち出しによる情報漏洩リスクが想定されます。テレワークの急速な導入により、セキュリティの脆弱性が顕在化する企業が増加するためです。また、COVID-19対策に関連する取引等を装った詐欺等に巻き込まれるリスクにも注意が必要です。

III. 監査・調査手法の再構築

1. 不正発見・対応力の低下

COVID-19の蔓延下では、拠点や子会社(特に海外)に赴き監査や調査を行うことが難しくなりますので、企業の「不正の発見・対応力」は大きく低下します。現代社会は、地球温暖化等による環境変化や移動手段の発達に伴い、COVID-19に限らず感染症の蔓延リスクが高いと指摘する専門家も見られます。これを踏まえ、ニューノーマル時代に適した監査や調査の手法を構築することが喫緊の課題といえます。

2. 監査・調査手法の再構築に向けて- リモート監査・調査のポイントと注意点 -

現地に赴かず内部監査を効率的に行うためには、データを有効活用した「リモート監査」の仕組みを確立する必要があります。
また、感染症の蔓延下で重大な不正が発覚した場合、従前の方法で不正調査を行うことが難しくなるため、危機管理の観点から「リモート調査」の準備も必要です。
特に、不正が発覚した際に、監査・調査の不備により投資家・社会に対して説明責任を果たすことができない場合、企業のレピュテーションに大きな影響を与えますので、「リモート監査・調査」による不正発見・対応力の再構築は重要課題といえます。
KPMG FASフォレンジック部門では「Fraud Data Analyticsチーム」を設置して不正検知技術の研究開発を行っています。また、COVID-19の蔓延下において複数の不正調査を行った実績があります。これらの経験を踏まえて、企業がリモート監査・調査手法を構築する場合における重要ポイントと注意点を解説します。

(1) 不正検知(データ活用型のモニタリング)
従来型の内部監査の手法を見直し、データ活用型のモニタリング(不正検知)の仕組みを構築する必要があります。近年、機械学習等の解析技術や分析結果の可視化ツールの進歩に伴い、不正検知の仕組みを導入する企業が増えつつありますが、COVID-19の影響でこの動きはさらに加速すると考えられます。不正検知の仕組みを導入する際のポイントを以下に挙げます。
検知対象とする不正リスクの検討:企業が有するデータ量は膨大で不正の種類・手口も様々のため、すべての不正を検知対象とすることは不可能です。不正リスク評価を行い、重大な影響を与える不正の種類・シナリオを選定することで、検知対象とする不正リスクを絞り込む必要があります。
データの棚卸・検知対象データの検討:検知対象として選定した不正リスクに関連するデータの棚卸を行ったうえで、各データに含まれる情報の内容、内部監査人等によるアクセス可否、データの取得方法、データの更新頻度、データ形式・項目の統一性、データ加工の難易度等、様々な観点から検知対象とするデータの検討を行います。
検知条件の検討:検知対象とした不正リスクシナリオを踏まえて、データの検知条件を検討します。検知データ件数が多すぎると、監査等の業務が非効率となり、見落としの原因になります。したがって、検知データを絞り込む条件設定ノウハウが重要になります。過去に発生した不正を分析し、類似不正を検知する条件を見つける方法が有効です。
検知方法・結果表示方法の検討:不正検知を行うアルゴリズムや、検知結果を表示するツール等を検討します。特に、大容量データを分析する場合や常時モニタリングを実施する場合には、Excel等で実施するのは困難です。近年、KPMGをはじめ様々なベンダーが不正検知ツールをリリースしていますので、内製で対応する方法と比較して活用を検討することが有用です。

(2)データ受領・閲覧
不正検知の分析対象データや、検知されたデータに関する証憑・契約書等を受領する機会が増加しますので、グループ内の共有フォルダやファイル共有システムの準備が必要になります。
また、監査・調査において、証憑・契約書等を画像データ(PDF、JPEG等)を取得して確認する際には、改ざんリスクに注意する必要があります。画像データは画像編集ソフトによる虚偽情報の切り貼りで容易に改ざんが可能ですが、その痕跡を目視で発見するのは極めて困難です。実際に、近年では通帳データを書き換えて不正を行っていた事案が複数発生しています。
改ざんリスク対策には図表3に記載した方法が考えられますが、各方法にはメリット・デメリットがありますので、監査・調査の目的や状況によって、最適な方法を選択することが有用です。特に、「画像改ざん検知ツール」は、画像処理技術を用いて改ざん箇所を特定できるため有効な手法ですので、今後の技術進化動向は注目に値します。

図表3 画像データの改ざんリスク対応策

  方法 メリット(上段)
デメリット(下段)
郵送
  • 被監査・調査先に対象取引を伝える
  • 証憑を郵送させる
証憑が偽造されるリスクが低い
通常業務に支障のある証憑は郵送が難しい
オンラインインタビューで確認
  • オンラインインタビューで被監査・調査先に対象取引を伝える
  • その場で証憑を準備させWebカメラで写す
証憑が偽造されるリスクが低い
鮮明に映らない場合、詳細確認が難しい
画像改ざん検知ツールの利用
  • 被監査・調査先に対象取引を伝える
  • PDF等の電子ファイルで証憑を受領する
  • ツールを利用して改ざん有無を確認する
文書改ざんの有無を確認することができる
ツールの限界により検知できない場合がある

(3)電子メール・チャット等のレビュー
近年、平時から電子メールをモニタリングすることで、不正検知に取り組む企業が増えつつあります。また、不正調査では電子メールレビューが一般的な調査手法となっています。
COVID-19により在宅勤務の環境整備が進んだ結果、ビジネスチャットアプリが急速に普及しました。これに伴い、チャットで社内コミュニケーションを行う機会が急増しています。そのため、自社が導入しているコミュニケーションツールの利用状況等を踏まえて、監査・調査対象を検討する必要があります。
なお、チャットデータをクラウド環境で保管している場合、ベンダーとの契約形態によっては、データのダウンロードができない場合があるので注意が必要です。チャットを含めたコミュニケーションデータを容易に閲覧できる環境にあるか確認しておくことが重要です。

(4)インタビュー
現地に赴きインタビューを行うことが原則難しい状況にありますので、ウェブ会議システム等を活用しつつ、顔の表情やしぐさを見ながら質問を変え、適時に資料依頼を行ったり証拠資料を提示する等、不正の事実確認に最新の注意を払う必要があります。
被疑者に直接インタビューを行う必要がある場合には、感染対策を行いつつ、臨機応変に対応することが必要となります。なお、不正調査の事案で、発熱を理由にインタビューへの協力が拒まれた事例も実際にありますので、このような点にも留意しながら監査・調査の計画を策定することが必要です。

IV. おわりに

企業情報のデジタル化・クラウド化に伴い、企業経営におけるデータ活用戦略の重要性が高まっていますので、リモート監査・調査の推進により監査・調査の効率化・高度化を図ることは時代の要請だと考えられます。
ただし、本稿で取り上げた不正検知(データ活用型のモニタリング)を実施するためには、データを分析可能な状態で保持していることが大前提となります。ニューノーマル時代におけるデータ活用戦略を検討する際には、「不正検知」の視点も考慮したうえでデータ保持のあり方を検討することが不可欠といえます。
リモート監査の導入には、重大リスクの内容・シナリオの想定とデータ抽出条件の設定などのノウハウが必要になります。また、リモート調査を実施する際には、従前にも増して証拠保全や調査手続の設計において慎重な対応が求められます。これらを円滑に行うためには、早い段階から不正リスクの専門家に相談し、知見・ノウハウを活用することが成功の鍵といえます。

執筆者

株式会社 KPMG FAS
フォレンジック部門
マネージング・ディレクター 林 稔
ディレクター 佐野 智康
アソシエイト 廣原 茉耶

お問合せ