【事例から学ぶ「有効な不正対策」】　誰もが直視しようとしない問題

誰もが直視しようとしない問題
Elephant in the Room:
重要度の低い不正リスク
Sub-material Fraud Risk

ジェフリー・Ｔ・ヘアー　（ＣＰＡ、ＣＩＳＡ、ＣＩＡ）著
By Jeffrey T. Hare, CPA, CISA, CIA

　米国サーベンス・オックスリー法とその監査基準第５号の要件は、企業で財務文書の虚偽記載を招く不正の対処を主とする。しかし企業は「重要度の低い」不正を発見できず、数千ドルの損害を被っている。

　イワン（Ivan）はバクメ・コーポレーション（Bacme Corporation）に勤務する優秀な買掛金係だった。企業側は彼に絶対の信頼を置いていた。イワンは新規納入業者のデータをシステムに入力し、それらの業者に関する請求書の情報も入力していた。彼にすべてを任せたのは大きな間違いであった。イワンは自由にシステム入力ができる立場を悪用し、架空の新規納入業者数社をねつ造して、自分宛に数千ドル相当の小切手を振り出したのである。ある外部監査人のねばり強い検証により、ついにイワンの不正は発覚した。

　イワンはどのようにして、見つかることなく不正を犯したのか。イワンのシステムアクセスに掛かる主要な軽減コントロールは、３万ドル超の小切手全てに関する証憑書類を含む最終支払登録をレビューするというものであった。イワンは４大監査法人の１つが整備した、このコントロールのことを知っていたため、３万ドルを超える小切手を自分宛に振り出すことは決してしなかった。このコントロールは財務諸表の重要な虚偽記載は防止したが、バクメ社は重要ではないと想定した不正リスクにさらされていた。おそらく、専門的には重要ではないと判断されたかもしれないが、実際には多額の損失が発生したのである。

　これは架空の事例だが、その事例を引き起こした要因は実在のものである。

サーベインズ＝オクスリー法における重要な虚偽記載
（SOX MATERIAL MISSTATEMENTS）

　米国サーベインズ＝オクスリー法（ＳＯＸ）は、様々な重大不正事件の発生が契機となって施行された。サーベインズ＝オクスリー法およびその監査基準第５号（ＡＳ５）の要件は、主に企業の財務諸表における重要な虚偽記載をもたらし得る不正に関係する。ＡＳ５の指針によれば「監査人は、企業の統制手続が不正による重要な虚偽記載のリスクに十分対応しているか、経営者が統制を無視するリスクへの対応を目的とした統制手続が有効に機能しているかどうかを評価しなければならない」。ＳＯＸ法、具体的にはＡＳ５は、重要な不正の防止に焦点を絞っている。

　しかし企業経営者は重大なリスクのみに目を奪われてはならない。小規模で重要とはいえないが、企業にとって重大なリスクとなり得る不正（筆者が「重要度の低いリスク」と呼ぶ）が存在するのである。

　ところで、重要でない不正（immaterial fraud）とは財務諸表監査で使用する用語で、定められた重要性のレベルに満たない不正を指す。immaterialをウェブスター英語辞典で調べると「重要な結果を全くもたらさない」または「とるに足らない」と定義されている。いかなる不正の重要性も極小化されることのないように、本稿では「重要度の低い」という用語を使用する。最高財務責任者（ＣＦＯ）が会社に対する１０万ドルの不正を「全く重要でなく、とるに足らない」と思う最高財務責任者（ＣＦＯ）はいないだろう。

企業２社との取組み　（ENGAGEMENTS WITH TWO COMPANIES）

　本稿は、当社がコンサルティングを担当した大手上場企業２社の取組みに基づく。各社とも４大監査法人の１つに外部監査を依頼し、内部監査機能および（または）統制手続の設計を別の４大監査法人に委託していた。いずれの場合も、弊社は、重要度は低いが確固たる不正リスクを識別した。

　弊社が発見した潜在的リスク要因には以下のようなものがある。

１．ＳＯＸ法４０４条（企業に対して「年次報告書で財務報告に係る内部統制構造および手続の範囲と妥当性に関する情報を公開」し「それらの有効性を評価する」ことを求める条項）に関連する内部統制のほとんどが、重大な不正を防止・発見することのみを目的に整備されていた。

２．外部監査人が第一に憂慮するのはＳＯＸ４０４と財務諸表監査に関連した重大な不正である。

３．ＩＴ監査人は職務分掌（segregation of duties, 以下「ＳＯＤ」)の検査を行ったが、主にシステム統制手続に重点を置いていた。

４．業務プロセスおよび内部統制の検査は十分に文書化されていたが、不正を計画する者は新たな抜け道を見つけるであろう。

５．ＳＯＤの検査において、システム外のプロセスおよび実際に起こりうる窃盗の手口が考慮されていなかった。

６．新しいＥＲＰパッケージが、過去１０年以内に導入された。（ERP, Enterprise Resource Planningとは組織のデータや業務プロセスを１つのシステムに統合する手法のこと。）ＥＲＰシステムは主に組織の効率化を目的に設計されており、それにより内部統制が改善するとは限らない。

７．ＥＲＰシステム導入に携わった人員は、通常、内部統制整備の知識をほとんど持っていない。

１．ＳＯＸ法４０４条に係る統制手続は、重要な虚偽記載を防ぐ目的で整備されている

　これまで多くの場合、企業の財務報告に係る内部統制は、外部監査人以外の会計事務所が構築してきた。これらの統制は、企業の財務諸表における重要な虚偽記載を防ぐ目的で整備されている。例えば、弊社がコンサルティングを行ったある企業では、買掛金係が納入業者情報とその業者宛の買掛金明細をどちらも入力できる状態だった。冒頭で触れた架空事例のように、４大監査法人の１つが設計したそのようなアクセスによるリスクを低減する主な統制は、３０，０００ドルを超える全ての小切手について最終支払登録と証憑書類を点検するというものだった。しかし、それにより企業はその金額以下の支払取引については不正リスクにさらされていた。

２．外部監査人が重視するのは重大な不正リスクである

　ＳＯＸ法施行の要請は、複数の公開企業における不正が財務諸表の虚偽表示につながり、そのうちの数社が崩壊、倒産したことに端を発していた。外部監査人は常に、企業の財務諸表が重要な点において正確に記載されているかどうかに着目する。そのため企業側は、重要度の低い不正を発見する統制手続を設計または再設計する必要がある。

３．ＳＯＤの検査が主に着目するのはシステム統制手続である

　ＳＯＸ法監査に「合格」するため、多くの企業がＳＯＤのコンフリクト・リストの作成を自社の監査人やリスクコンサルティング会社（多くの場合、外部監査人以外の４大監査法人）に依頼している。しかし４大監査法人でもＳＯＤの模範的な手法に一致した見解があるわけではなさそうだ。４大監査法人から受領した「コンフリクト・マトリクス（conflict matrix）」を評価検証すると、様々なアプローチがあることがわかる。（コンフリクト・マトリクスはＳＯＸ法施行後に普及した手法である。）

　ＳＯＸ法施行以前は、不正検査士などの内部監査人がＳＯＤを組み込んだ不正防止のための統制手続を整備していた。そもそもＳＯＸ法施行以前の監査法人には、全社標準のコンフリクト・マトリクスなど存在しないところが多かった。ＡＳ５の導入により、全社統制もしくは決算プロセスの統制に依存して、ＳＯＤ統制が軽視されたり、完全に廃止されたりする方向にあるのではないかと懸念している。

　内部統制の検査は、主として企業の財務記録の重要な虚偽記載を防止するために行われる。多くの企業で統制手続の定義が不明確であったり、重要ではない統制手続に検査資源を配分したりしている。さらに、ＩＴ監査人がシステム内のコンフリクトを探そうと、ほとんどのＳＯＤ検査をする場合が多い。しかしシステム外の手作業プロセスにかなりのリスク、特に重要度の基準未満のリスクが存在しており、ＩＴ監査人はそのようなプロセスを監査する訓練をほとんど受けず、経験も浅い。

　全社共有の標準化したＳＯＤコンフリクト・マトリクスを有する会社であっても、そのリスク評価プロセスは、おそらくまだ成熟段階にある。特定のＳＯＤリスクを適切に評価するためには、コンフリクト毎に手作業のまたはシステム化されたプロセス内のリスクを完全に理解し、全般的リスクの評価プロセスを慎重かつ綿密に構築する必要がある。そして、リスクの低減に資する統制手続を識別したら、残余リスクも識別しなければならない。

　識別した残余リスクを許容範囲とみなすか追加的な統制手続を導入するかは、適切なレベルの経営管理者による判断を要する。このプロセスには、リスク評価プロセスの適切な実施に対する経営上層部の支援、ならびに様々な技能を有する人材（部門責任者、ビジネス・アナリスト、セキュリティ担当者）が欠かせない。

４．抜け道の存在を認識する

　ＳＯＸ法施行で統制手続の定義が明確になったがゆえに、企業がさらされる不正リスクは高まったという議論も可能だろう。ＳＯＸ法施行以前は、企業の経営管理者が内部統制を検査することはめったになく、内部監査人がその職務を担っていた。不正を犯そうとする者は、いつ、どのように検査が実施されるのか、ほとんど知る由もなかった。しかし現在では、不正リスクの高い従業員（ＩＴスタッフ、ビジネス・アナリスト、経営管理者など）は多くの場合、検査実施に関する情報を事前に入手しており、監視の目を逃れてシステムを巧みに操作し、不正を犯す方法を認識しやすい立場に置かれている。

５．システム外のプロセスに着目する

　リスクの高い分野を識別するコンフリクト・マトリクスを適切に作成するためには、従業員が会社から資産を盗みその行為を隠蔽する手口を理解する必要がある。そのためには、以下の点について知らなければならない。

　・顧客からの現金や小切手に直接触れるのは誰か。
　・支払処理をすることができるのは誰か（自動支払、小切手もしくは電信送金）。

・	在庫品の宛先を変更したり、持ち出したりすることができるのは誰か（システム外で起きるプロセス）。

　しかし同時に、資金流用に関する隠蔽の手口にも精通しなくてはならない。例えば、債権回収の代理業者が顧客からの支払金を盗めても、隠蔽できなければ最終的に小切手が現金化された場所がわかり、横領を暴ける。しかし、同じ業者が小切手額の帳尻を合わせるため、貸方伝票の発行と勘定残高の償却を求めることができるとしたら、現金を着服し、その行為を隠蔽できるかもしれない。これでは不正は発覚しにくくなる。

６．ＥＲＰシステムの導入で内部統制が向上するとは限らない

　レガシーシステム（既存の旧式のシステム）からＥＲＰシステム（ＳＡＰ、オラクルなど）への移行を望む企業は導入作業のあまりの煩雑さに驚くことが多い。ＳＯＸ４０４要件への対応も必要な企業は、統制手続や検査の戦略に加えて業務プロセスの変更に取り組まなければならない。その上、ＥＲＰシステムの導入で、企業はＩＴセキュリティの手順や変更管理プロセスを更新することが求められる。そのためＥＲＰシステムを初めて導入する企業の多くが、システムインテグレーターに頼りきってしまうことになる。

図１供給業者に関する「職務分離」のリスク

プロセス１	プロセス２	指摘されたリスク
供給業者	カード・プロフィールカード・プログラムコード・セット経費報告書総勘定元帳勘定セット	費用の不適切な支払
	買掛金会計期間銀行バイヤー銀行手数料の定義発注書の管理発注書と受領品の照合オープンインターフェイスの請求書支払条件返品署名限度供給業者の商品カタログ供給業者一覧表納税証明書タックス・グループ勘定項目更新	不適切な支払
	支払バッチセット	支払の不適切な処理
	購入期間の管理	支払時期の相違
	費用勘定のルール請求書供給業者の統合支払バッチ支払反復継続する請求書請求テンプレート大量のキャンセル発生	架空業者への支払

７．システムインテグレーターは不正発見目的のＥＲＰ構築手法に精通していない

　さらにやっかいなことに、顧客が運用面およびコンプライアンス面で必要な目標を達成できるシステムの設計・設定を支援する技能を有しているシステムインテグレーターは数少ない。その結果、プロセス設計やシステム設定における内部統制リスクを発見することが多い。なぜならば、重要度の低いリスクの発見・防止のためのベストプラクティスはまだ開発途上であるからだ。

　これまで、ほとんどのＥＲＰシステム開発の主な原動力となってきたのは、業務の効率性および有効性の向上であって、内部統制の強化ではなかった。中には、何のためにＥＲＰを導入するのか誰も理解していないという場合すらある。

図２　銀行に関する「職務分離」のリスク

プロセス１	プロセス２	指摘されたリスク
銀行	請求テンプレート	不適切な銀行口座への支払
	返金
	勘定項目更新

単一のリスク評価により重要度の異なる不正リスクを評価
（EVALUATING MATERIAL AND SUB-MATERIAL FRAUD RISKS VIA SINGLE-RISK ASSESSMENT）

　経営管理者は、包括的アプローチを確立し、単一のリスク評価プロセスにより重要な不正リスクと重要度の低いリスクの双方を評価し対応するという課題に直面している。まず、ある監査法人によるリスク識別への対処例を見てみよう。

例１：供給業者

　図１は、ある監査法人が識別したいくつかのコンフリクトを示している。彼らは「供給業者」（新規納入業者をシステムに入力）というハイリスク機能を取り上げ、それを他の機能と組み合わせた。しかし、これは真のリスクを反映しているとはいえない。例えば、供給業者と納税証明書、支払条件またはタックスグループ（Tax Groups）の組み合わせが、どうすれば「不適切な支払」に結びつくのか。また、供給業者と大量のキャンセル発生（Run Mass Cancel）または請求テンプレート（Requisition Templates）の組み合わせが、どうすれば「架空業者への支払」につながるのか。

例２：銀行

　図２は、ある監査法人が別のハイリスク機能に関連したコンフリクトにどう対処したか示している。その機能は銀行口座への記入である。銀行口座を管理する従業員は、納入業者の銀行口座情報を変更し、自動支払サービスにより支払うことができる。しかし、この従業員は不正を働くのに請求テンプレート、返金もしくは勘定項目更新機能にアクセスする必要はない。

　この監査法人は、リスクベースのアプローチによりコンフリクト・マトリクスを作成したわけではなかった。これらのコンフリクトそれぞれについて指摘されたリスクは同一で、プロセス２（請求テンプレート、返金、勘定項目更新）はリスクを高める要因でないようである。この場合、銀行自体が、ハイリスクで細心の注意を払うべき機能なのだ。

例３：プロセスの欠如

　重要度の低い不正リスクへの着目がなされない状況を説明するために、見落とされやすいリスクの例を挙げる。不正実行者は、顧客が支払う現金（または小切手）を着服し、クレジットメモ（入金取消伝票）を作成することにより隠蔽できる。図３は、複数の大手監査法人が行った、クレジットメモを入力できる従業員に関するリスクに限定した分析結果を示している。現金着服について指摘した監査法人は１つもなかった。

　多くのコンフリクト・マトリクスにおいて欠如していた他のプロセスとしては、現金へのアクセス、電信送金や小切手への署名権限、勘定照合などがある。

図３．クレジットメモに関する「職務分離」のリスク

プロセス１	プロセス２	指摘されたリスク
クレジットメモの入力	顧客情報の入力	「クレジットメモ」および「顧客情報」の両方を入力できるユーザーは、自分自身を顧客として入力し、その顧客に対するクレジットメモを作成することにより、不正な返金を得ることができる。その結果、収益および売掛金の過不足が生じ得る。
クレジットメモの入力	顧客情報の管理	「クレジットメモ」および「顧客情報」の両方を入力できるユーザーは、架空の顧客情報を入力し、その顧客に対してクレジットメモを作成することにより、不正な支払を受けることができる。その結果、クレジットメモが不適切に処理され、会社の収益に悪影響が生じる可能性がある。
受注の記帳	クレジットメモの入力	「受注の記帳」および「取引バッチ」へのアクセスができるユーザーは、受注記録を捏造し、それに対して請求書発行などの売掛金関連取引を不正に入力することができる。その結果、売掛金および現金の過小計上が生じ得る。
売掛金の入力（請求書発行）	クレジットメモの入力	「請求書発行」および「クレジットメモの作成」ができるユーザーは、架空の請求書を発行し、それに対するクレジットメモを作成して、請求書発行先に対する不正な支払を試みる可能性がある。その結果、売掛金および現金の過小計上が生じ得る。

リスクベースの「コンフリクト」マトリクスの構成要素
（COMPONETS OF A RISK-BASED ‘CONFLICT’ MATRIX）

　包括的なリスク評価プロジェクトは、対象となるプロセスの固有リスクの識別から始まる。初期段階でリスクの抽出数が不正確であったり、抽出範囲が限定的であったりすると、当然のことながら、リスク低減に必要不可欠な統制手続が漏れてしまう可能性が生じる。

　自社に特有のリスクを評価し、次のことを行う。

１．リスク低減のために既に整備されているすべての統制手続を識別する。

２．残余リスクを評価する。既存の統制手続の有効性を、設計と実践の両面から検討する。

３．残余リスクへの対応を決定する。選択肢として、アクセス・コントロールまたはプロセスの変更、関連する統制手続の追加または変更、リスクの許容などが考えられる。真正なリスク分析用に作成されたコンフリクト・マトリクスは以下の点を考慮に入れている。

・	供給業者情報、銀行口座または送金先住所の管理権限などのハイリスクの機能を有するだけで、不正が実行可能となる場合もある。特定のリスクと共に識別されるハイリスクの単一機能を含むマトリクスを探す。
・	場合によっては、ハイリスクの単一機能と「照会のためのアクセス」との間にコンフリクトが生じる。例えば、銀行口座の管理を任された従業員が、ある特定の納入業者への支払期限を知っていれば、どのタイミングで業者の銀行口座を変更すれば、架空口座に入金できるかがわかる。
・	従業員による不正の手口には、在庫品などの資産、入出金された現金を盗むというものがある。コンフリクト・マトリクスを使って「現金へのアクセスｖｓ．クレジットメモの入力」のコンフリクトを識別し、経営管理者または内部監査人が不正流用の発生可能性やその隠蔽手法を調べられるようにする。
・	コンフリクトの詳細とリスクについて文書化する際には、システム外のリスクも考慮する。例えば、供給業者の入力について検査する場合、システムに新規業者を入力できる者だけでなく、新規業者の社内申請から承認までの手順も考慮する。業者情報の入力を担当する者が単に承認済の業者を要求に基づいて入力するだけであるならば、入力段階と申請・承認プロセスは個別のリスクとして評価する必要がある。

重要度の低い不正リスクも顕在化する　（SUB-MATERIAL FRAUD IS REAL FRAUD）

　サーベインズ＝・オクスリー法とその４０４条の要件により、監査人と企業経営者には不正防止プログラムを見直す新たな理由と動機が与えられた。しかし、不正を発見・防止するための従来のアプローチは、重大な不正の防止を主たる関心事とする外部監査担当の監査法人に強く依存してきた。これにより、多くの企業における業務プロセスと統制手続は、重要度は低いが厳然と存在する不正リスクにさらされやすくなっている。私は、それらの企業においては、重要度の低い不正リスクの存在が見落とされているか、誰もが見てみぬふりをしているのではないかと懸念している。

ジェフリー・Ｔ・ヘアー（CPA, CISA, CIA）は、業界アナリスト、著述家、コンサルタントであり、コロラド州プラットビルにあるERP Seminars社の創業者兼最高経営責任者（ＣＥＯ）である。