QUNIE

2020.05.26

インシデントリスクと向き合い有事に備えよ

【第3回】企業に巣くう不正の兆候を見つけるには

定期メール監査の活用による不正の早期発見

伏見 知寿 

Summary

  • 企業における不正を完全になくすことはできない。不正の「機会」を抑制するとともに、不正を早期に発見することが肝要
  • 子会社では不正への十分な対策が行われておらず、監査などによる不正の発見にも限界があるのが実態
  • 専門的な知見と経験を有する外部リソースをうまく使い、不正を早期に発見、対処できる体制を構築すべき

増え続ける企業不正

昨今、企業における不正・不祥事のニュースを聞くことが増えている。東芝の会計不正や2017年後半から2018年に紙面を賑わせた自動車、機器部品など各種製造業における品質不正問題なども記憶に新しい。第三者委員会などが設置され、対外的に公表されている不正・不祥事は2019年度だけでも68件発生しており[1]、公表されていない件数を含めると、これらは氷山の一角に過ぎないといえる。

不正・不祥事の発生する要因は、今も昔も変わらない。アメリカの組織犯罪研究者であるドナルド・R・クレッシー(Donald Ray Cressey)が提唱した「不正のトライアングル」とは、動機・機会・正当化という3つの要素がそろった時に人は不正を行うという理論であり、不正や不祥事が発生する要因として広く認識されている。

簡単にそれぞれの要素について説明すると、以下の通りである。

【動機】

不正行為を行うための心理的なきっかけ
例)会社の売上や個人のノルマ達成などに対するプレッシャー、個人的な借金の返済など

【正当化】

不正行為を積極的に是認する主観的な言い訳
例)会社のため、他の担当もやっていること、自身の能力に対する処遇への不満など

【機会】

不正行為を実行可能にする状況・環境
例)検査データの書き換えが可能、請求業務と入金業務の担当者が同一など

上記3要素は、どれほど企業が努力しようともゼロにすることはできない。誤解のないよう付け加えると、社内教育の効果を否定するわけではない。不正を起こすことがもたらす社会的影響や企業へのダメージについて徹底的に教育し、コンプライアンス意識を高めることで、不正の発生件数を下げることは可能だが、完全になくすことはできないということである。

では企業として、どのように不正と向き合えば良いのだろうか。3つの要素のうち、まずアプローチすべきは「機会」だ。業務所掌の分割などによるけん制機能の強化や、システム化によるチェック機能の強化を行い、不正の「機会」を抑制する。それとともに、早期に不正を検知できる仕組みや体制を整えていくことで、不正発生件数の最小化につながる。

子会社における不正対策の実態

不正・不祥事対策は、本社や重要拠点ですら優先順位が下げられ不十分な状態が散見されているのに加え、子会社となると更に惨憺たる状況である。上記2019年度の不正件数68のうち、36が子会社で発生した事案であり、概ね次のような背景が要因となっている。

  • 子会社の規模によりシステム化するための費用が捻出できない
  • 人員不足により1名の担当者が複数の役割を兼務し、けん制機能がない
  • 海外子会社では現地採用の人員が自国の商慣習で悪意なく不正を働き、管理のために本社からトップマネジメント要員を派遣するも「ミイラ取りがミイラになる」状態となっている

このため、本社機能による業務監査が重要になってくるのだが、一般的な業務監査だけで内在する不正を発見するのは容易ではない。通常、往査の前に子会社から本社へ資料を提出させ、内容をチェックの上、日程を決めて現地での確認を実施する。そのため、子会社側には不正を隠ぺいする時間が与えられてしまうのだ。また、専門性の高い業務においては、監査部門側では担当者の説明が虚偽であるかの判断が難しく、どうしても書類上の整合性などだけを確認してしまい、不正の発見ができないというのが実態だ。

不正の兆候を発見するメール監査とは

では、どのようにすれば不正行為に対する効果的なモニタリングを行えるのか。ここでは一つの方法として、定期メール監査を紹介したい。

定期メール監査とは、その言葉の通り、従業員のメールデータを定期的にチェックし、不正の兆候をとらえる手法だ。コミュニケーションにおいて不正をにおわす表現が使用されているメールを抽出することで、事実確認や是正を速やかに行うためのソリューションである。

このメール監査を導入する際には、次のような点に留意する必要がある。

1.検索と抽出

膨大なメールデータを全てチェックするのはあらゆる面で非効率であり、不正要素を含む可能性があるものだけを効果的に抽出することが重要である。造語や隠語で表現される不正の可能性を、広範囲に網羅できる検索ワードを設定することがポイントとなり、検索に用いるキーワードの設定には高い専門性が必要となる。また、検索行為は一般的なメールシステムでは機能が不足しており、高度な検索と効率的なレビューが実施できる専用のシステムの活用が求められる。

2.中立性と第三者性

法的措置や当局対応が必要になるケースにおいては、対象のエビデンスとなるメールデータの絶対性が求められ、次のような要件を満たす必要がある。

  • データの抽出に恣意的な判断が行われていないこと
  • 内容が改ざんされておらず原本性が担保されていること

このため、利害関係を持たない第三者が中立的な立場で作業と確認を行い、そのデータを正しい手順で保管することが有効である。

3.速度と正確性

カルテルなど、発生しているケースによっては対応速度が極めて重要であり、抽出した対象メールに対し、迅速かつ正確なドキュメントレビューを実施する必要がある。隠語や造語で語られる不正に関するコミュニケーションを見つけ出すためには、不正の知識や経験が必要となるため、ただ人数を増やすだけでは対処が難しい。

これらを全て解決することは非常にハードルが高いと感じるかもしれない。新しい人材の確保や設備の導入となると、費用だけではなく、稼働面での負担も大きい。それであれば、外部への業務委託を検討することも一つの手だ。監査は全て社内で行う必要はなく、積極的に外部を利用することで、社内での不正抑止、早期発見のための体制を構築することが可能となる。

もし自社の対策に不安を感じているのであれば、まずは専門家に相談をするなど、気軽に始めてみることをお勧めする。さまざまな企業や業種での不正対応を経験しており、今までにない気づきや、自社にあった解決方法が見つかることだろう。

  1. [1] 右記をもとに当社で独自集計 第三者委員会ドットコム, "年度別公表データ", http://www.daisanshaiinkai.com/, (参照 2020年5月25日)

伏見 知寿

インシデントリスクマネジメント担当

マネージャー

デジタル・フォレンジック技術を用い、多くの企業不正調査の経験を有する。QUNIEではインシデント対応にとどまらず、平時のインシデントリスクマネジメントとして、内部監査業務支援やシステムリスクアセスメントなどについてのコンサルティングを担当する。

  • facebook

ページ先頭へ戻る

CLOSE