【事例から学ぶ「有効な不正対策」】　隠れた不正リスクを暴き出す

隠れた不正リスクを暴き出す
EXPOSING THE ICEBERG
Ｅメール分析と不正のトライアングルを融合した不正発見
Detecting Fraud by Integrating E-mail Analytics with the Fraud Triangle
前編
Part 1 of 2

ダン・トーピー（ＣＰＡ）
ヴィンス・ウォルデン（ＣＰＡ、ＣＦＥ）
マイク・シェロド（ＣＰＡ、ＣＦＥ）
By Dan Torpey, CPA; Vince Walden, CPA,CFE,; and Mike Sherrod CPA,CFE

　世界経済の悪化により、不正行為のプレッシャー、機会、正当化の要素が強まる中、企業や組織における不正リスクは危険水域に達しつつあるといえる。本稿では、不正のトライアングルの考え方を活用して従業員のＥメールの内容から不正リスクを察知する画期的な方法を示す。この方法を用いることにより、企業は水面下に隠れた氷山を探知し、より積極的な不正発見を可能にする環境を整備することができるであろう。

　あるフォーチュン５００企業の監査委員長が、新任の内部監査部長であるボニー・パーカーに社内の不正発見手続を強化するよう依頼した。ボニーはその要請を受けて、仕訳記入内容の試査や基本的なアンケート調査といった旧来の不正防止策から脱却し、社内の不正防止プログラムをより強固で効果的なものに進化させる時期が来たということに気づいた。

　パーカーは、現状のプログラムは目に見える状況の分析に終始しており、水面下に隠れた不正の「氷山」をほとんど考慮していないと認識していた。彼女はその時、自分の取り組みがあの不正のトライアングルと会社のＥメールを組み合わせた最先端の分析手法を生み出すことになるとは思ってもいなかった。（ボニー・パーカーは架空の人物であるが、真実を探し求めるすべての不正検査士を象徴する存在である。）

景気後退によりすべてが一変　（ECONOMIC DOWNTURN CHANGES EVERYTHING）

　最近行われたレイオフ、景気低迷、株式アナリストの期待に応えなければならないプレッシャーなどにより、従来の不正対策プログラムや自動化された検査だけでは、重大な不正の早期発見は不可能であるということをパーカーは知っていた。通常、会社では不正リスクの領域を識別し、それに対する低減要素を見出すという対応をする。しかし、現在のように不確実な環境下では、各リスク要因に対処する統制手続の評価、データ分析理論を用いた実証性テストなどの追加的な対応が必要である。

　パーカーは、コストを掛けずに創造的なプログラムを開発するためには何から着手すべきか考えた。不正対策に関する彼女の経験は、少額の従業員不正への対応くらいしかなかったが、現状の防止・発見計画を拡大させ、目に見えないリスクにも対応しなければならなかった。彼女は、自分が不正リスクをどう評価するかを整理することから始めた。

　・社内の誰が不正リスク評価プロセスを支援し、最終責任を負うか。
　・内部不正リスクを評価するにあたり、どの分野に注目すべきか。
　・どのような段取りで評価を行うか。
　・評価を実施するにあたり、利用可能なツールやプロセスは何か。

　彼女を究極のゴールに導く質問は、次のとおりであろう。「不正リスク評価の結果を実践可能な年次内部監査計画に落とし込むにはどうすればいいか」

企業不正リスクの深刻化　（PERFECT STORM FOR CORPORATE FRAUD？）

　世界中の組織が、不祥事の当事者としてニュースで取り上げられないように、不正への積極的かつ創造的な対応策を見出さなければならない。

　最近では、バーナード・マドフによるポンジー詐欺、その結果摘発された「ミニ・マドフ」たち、そしてサティアム社における巨額不正疑惑などの事件が多くの企業を震撼させたが、エンロン、ワールドコム、タイコ、パルマラット、アデルフィアそしてソシエテ・ジェネラルなどの破綻の教訓も忘れてはならない。

　皮肉なことに、多くの企業が未だに不正リスクの深刻さを認識していない。しかし、ＡＣＦＥが公表した「職業上の不正と濫用に関する国民への報告書」が示しているように、あらゆる組織が不正リスクにさらされている。同報告書は、毎年企業収益の７％が不正により失われていると試算しており、その数字は、不正対策プログラム整備への投資価値を証明するのに十分である。

　不正のトライアングルを構成する３つの要因は、現在でも十分に適用可能である。不正のトライアングルは、不正抑止・発見の基本概念を示す。１９５０年代に、犯罪学者のドナルド・Ｒ・クレッシー博士（ＡＣＦＥの前身となる金融犯罪防止協会の共同設立者）が人はなぜ不正を犯すのかを説明すべく提唱したもので、不正が起こる際には、インセンティブまたはプレッシャー、機会、正当化という３つの要素すべてが存在するという前提に立っている。（不正のトライアングルは、ＡＣＦＥの教材や試験、アメリカ公認会計士協会の監査基準書９９号（ＳＡＳ９９）「財務諸表監査における不正についての考察」などにおいて広く取り上げられている。）

　経営幹部に対する数値目標達成のプレッシャーが高まると、彼らの中には、目標をクリアして自分の地位を守ろうと、異常なまたは異例の会計処理を用いてしまう者もいるかもしれない。多くの企業が人員削減を進め重要度の低い目標に対する支出を減らしているため、この問題は深刻化している。内部統制手続にも多大な負荷がかかり、不正の機会が増大する。最後に、ボーナス制度の廃止、福利厚生の削減、さらには減給などが相次ぐと、従業員が不正を正当化しやすくなる。

　本稿は２回にわたり、水面下に潜む不正リスクの氷山にメスを入れるために、既存の不正対策プログラムに先進的な分析技術をどう組み込むかに焦点を絞って解説する。具体的には、不正のトライアングルの理論をＥメールの内容分析に適用することにより、不正リスクのスコアリングをするという画期的な方法を示す。

Ｅメールを通じて正当化要因を探知　（FINDING RATIONALIZATION VIA E-MAILS）

　プレッシャーまたはインセンティブは、従業員意識調査の内容確認や面接の実施、行動規範の見直しなどにより評価することができる。機会は、既存の統制手続および方針を評価することにより識別できることがある。しかし、他人が不正を正当化するかどうかはどのようにすれば評価できるだろうか。不正検査士にその質問をすると、彼らはＥメールの文面に答えが見出せると答えるだろう。

　Ｅメールまたはテキスト分析は、誰が、何に対して、いつ不正を犯すのかに関する有益な手掛かりを提供する。ＦＢＩの金融犯罪部門で監督特別捜査官を務めるマイケル・カフは、ＦＢＩが事件を捜査する際には、捜査対象者が組織内でどのような地位にあるか、疑われている不正行為を犯す動機となり得るものはあるかなど、様々な要因を勘案するという。

　「Ｅメールのやり取りは、時間の事実関係を理解するうえで重要な要素となります」とカフは語る。「Ｅメールの交信内容をレビューすることにより、調査担当者は企業内の実際の報告経路、アクセスの種類または取られた行動、さらにはある意思決定をした根拠や意図などを窺い知ることができます」

　パーカーは、先進的なＥメール分析技術を使って不正の動機を探り出したい衝動に駆られたが、先ずは不正対策プログラムを策定しなければならないということが分かっていた。

不正対策プログラムとは何か　（WHAT IS AN ANTI-FRAUD PROGRAM）

　２００８年に、ＡＣＦＥ、内部監査人協会（ＩＩＡ）そしてアメリカ公認会計士協会（ＡＩＣＰＡ）が大手監査法人などと共同で「企業不正リスク管理のための実務ガイド」を策定した。（www.ACFE.com/documents/managing-business-risk.pdfを参照）

　このガイドは、不正リスクの主要な原則を示すとともに、組織内外の不正を防止、発見、報告、調査する目的で策定する総合的な不正対策プログラムの基本を解説している。

　当然のことながら、強固な不正対策プログラムは、経営者および従業員に以下についての理解を促す効果をもたらす。

　・会社が自分に何を期待しているかを理解するために与えられる機会、指導そして支援
　・許容されない行動の種類
　・会社の事業活動に特有の不正リスクの例
　・不正の疑いを報告するために踏むべき手順
　・不正を発見したときに取るべき行動

　有効な不正対策プログラムを策定するために不可欠な第一歩として、経営者は不正リスク評価についての理解を深め、それを実践しなければならない。徹底した評価を行ったと思っても、実際には表面をなぞっただけで水面下に広がる巨大な氷山を見過ごしているということが、往々にして起こりうる。

不正リスク評価の実施　（CONDUCTING FRAUD-RISK ASSESSMENT）

　パーカーは、不正リスクのガイドを活用して意識調査、面接、主要な経営幹部とのファシリテーター付のミーティングなどを含む、費用対効果に優れ、創造的かつ包括的な不正リスク評価を支援するためのアプローチの策定に取り掛かった。

　パーカーのチームは、先ず４０問からなる意識調査を無作為に選んだ５００人の従業員に対して実施した。この調査は、会社の経営トップの意向、不正リスク、実際に起こっている不正についての認識、社内における不正への対応方法の理解などに関する従業員の意識について貴重な示唆を与えてくれる。

　それと並行して、パーカーらは各部署の経営幹部２５人と面談し、彼らが自分たちの部署の不正リスクをどう捉えているかについての理解を深めようとした。これらの面談に続いて、パーカーらはファシリテーターによる質疑応答を行い、面談で識別した不正リスクを確認し優先順位付けを行った。

　その後、面談、意識調査、質疑応答の結果を取りまとめ、不正リスク評価における最も重要な要素の１つである「ヒートマップ（heat map）」上にその結果をまとめた。グラフ上に示された数字は不正リスクの度合いを示す。マップは、緑で示された低温ゾーン（不正が発生する確率は低い）から赤で示された高温ゾーン（深刻な影響を伴う不正が発生する確率が高い）までに分けられており、数字自体も白（高い）、灰色（中程度）、黒（低い）とリスクに応じて色分けされている。

　パーカーが次にすべきことは、最も高いリスクを低減するための内部統制手続の評価およびモニタリングに資源を集中することであった。彼女は、内部監査チームのメンバーに該当する統制手続を識別、文書化、テストするように指示し、その結果を別のメンバーにレビューさせた。

　パーカーはヒートマップを用いて不正リスクへの対応の優先順位を付け、その結果を経営上層部および監査委員会に提出した。しかし、それらのツールは氷山の一角を指摘するに過ぎない。ここからは、選定したリスクの高い項目に関するデータ分析を含む実証性テストを実施する段階に入る。

データ分析論への高度なアプローチ
（AN ADVANCED APPROACH TO DATA ANALYTICS）

　「国民への報告書」によると、職業上の不正の６６％は通報によってまたは偶然に発覚する。技術が進歩し規制環境が厳しさを増しているにもかかわらず、大半の不正が通報や偶然により発見されるというのは直感的には理解しがたい。そのため、不正を発見するためには高度な分析論を用いる必要がある。

　ガートナー・リサーチ社によると、文書やプレゼン資料、ウェブサイト、Ｅメールなどの「企業データ」の８割は、事実上体系化されていない。しかしながら、現在利用されている自動化された不正摘発ツールや監査技術は、残り２割の体系化されたデータに着目している。

　高度な不正摘発プログラムは、関連する様々なデータソースを考慮しなければならない。テキストベースの情報は、読むのではなく分析することにより、誰が、何に対して、いつ不正を犯すのかについて、特に不正のトライアングルの第３の要素である正当化に関連する有益な手掛かりを得ることができる。

　メタ・リサーチ社（現在のガートナー）が２００３年に実施した調査によると、調査に協力したビジネスパーソンの８割は、ビジネス上のコミュニケーションには電話よりもＥメールのほうが役に立つと考えていた。Ｅメールの内容は、司法省の検事などが調査を行う際に最初に求めるデータソースの１つに含まれる。

　アルゴリズムにより数字を客観的に分析するためにベンフォードの法則を活用するのと同じように、人間のコミュニケーションのパターンを分析することによりその人の感じているインセンティブ／プレッシャー、正当化そして機会のレベルを計測することができるとしたらどうだろうか。（ベンフォードの法則とは、物理学者フランク・ベンフォードの名に由来するもので、実生活で用いられている多くのデータソースからリストアップされた各の数値の最高桁は、特定かつ不均一な分布を示すという法則である。それによると、ほぼ１／３の確率で最高桁は１となり、数字が大きくなるに従って最高桁への出現率は低下して、最高桁が９である確立は１／２０に満たない。）

キーワード　（KEY WORDS）

　筆者が率いるアーンスト・アンド・ヤング（ＥＹ）の不正調査専門家チームとＡＣＦＥの調査担当ディレクターであるジョン・ギル氏をリーダーとするＡＣＦＥの調査チームが共同で、不正のトライアングルの各要素に特有のキーワードをリストアップしている。

　これまでに、（財務諸表不正、資産の不正流用、汚職などの）主要な不正類型別に３千語以上を蓄積し体系化した。その理由は、インセンティブ／プレッシャー、正当化、機会に関わる言葉は、不正の類型ごとに異なるからである。

　そのうえで、不正のトライアングルの各要素に関連する言い回し・表現のマスターリストを抽出すべく、我々はＥＹおよびＡＣＦＥが有する膨大なデータベースや参考資料を収集した。

　プレッシャーの存在を探るための表現としては「切羽詰っている（under the gun）」や「期限に間に合わせる（meet the deadline）」が含まれており、「それでいいだろう（sounds reasonable）」や「当然の権利だ（I deserve）」などは正当化に関連するキーワードとしてリストアップされている。最後に、機会の存在を示しうる表現には「無視する（override）」や「償却（write-off）」などが含まれている。

　次号においては、パーカーの不正リスク評価プログラムに関連づけて、この客観的な不正リスクスコアリング法について詳しく解説する。また、実際の不正検査をもとに、この方法の適用テストについても詳説する。

　このモデルを組織内に適用するためのフレームワークを示すことで、各組織が最先端の手法および技術を活用した不正対策プログラムの策定に取り組めるようにすることが、本稿の目的である。

後編に続く。

執筆者のダン・トーピー氏（CPA）、ヴィンス・ウォルデン氏（CPA, CFE）、マイク・シェロド氏（CPA, CFE）は、アーンスト・アンド・ヤングの不正対策・係争サポート部門に所属している。

執筆者は、本稿の執筆にあたり、以下の方々の支援に謝意を表する（敬称略）。
　・ＡＣＦＥ調査担当ディレクター、ジョン・ギル（J.D., CFE）
　・ＡＣＦＥ会計分野エディター、ドーン・タイラー（CFE）
　・ＡＣＦＥ調査プログラムマネジャー、アンディ・マクニール（CFE, CPA）
　・アーンスト・アンド・ヤング、パバン・ジャンキラマン（CFE）
　・アーンスト・アンド・ヤング、アニル・マーコス（CISSP）
　・アーンスト・アンド・ヤング、マット・マカートニー（EnCE）

本稿に示された見解は著者のものであり、必ずしもアーンスト・アンド・ヤングＬＬＰの見解を反映するものではない。