不正のトライアングル分析論
Fraud Triangle Analytics
クレッシー理論を用いたEメールの内容分析
Applying Cressey’s Theory to E-mail Communications
後編
Part 2 of 2
ダン・トーピー(CPA) ヴィンス・ウォルデン(CPA、CFE) マイク・シェロド(CPA、CFE)
By Dan Torpey, CPA; Vince Walden, CPA,CFE,; and Mike Sherrod CPA,CFE
調査によれば、Eメールでのやりとりは不正のトライアングルの3要素、すなわち不正の動機(インセンティブまたはプレッシャー)、不正の機会、不正の正当化に対する従業員の認識の強力な指標を示し得る。
この記事は前号に掲載した「Eメール分析と不正のトライアングルを融合した不正発見」の後編である。Eメールでのやり取りに関連した不正のトライアングル分析論と調査結果について考察し、この革新的なモニタリング手法を内部監査や不正対策の計画に盛り込むための実務的な指針を提供する。
ご存知のとおり、ACFEによる「不正と濫用に関する国民への報告書」2008年版には、不正事件の66%は内部監査や内部統制などの対策ではなく、匿名通報または偶然により発見されたとの結果が示されている。同報告書(30ページ)によれば、内部監査により発見された職業上の不正は全体の19.4%に過ぎなかった。
これらの統計数字は、内部監査人に厳しい現実を突きつける。昨今組織が時間もお金もつぎ込んでいる内部監査による不正の発見割合がなぜこれほど低いのだろうか。その答えの一部は、多くのCFEの目の前に示されるだろう。
ガートナー・リサーチ・グループが2005年5月に実施した調査「ハイ・パフォーマンスな職場の実現:競争優位性と従業員の影響力の向上」によると、企業でやりとりされるEメールや書類、プレゼン資料、ウェブ上の素材などの内容の8割は体系化されていない。しかしながら、内部監査や不正対策の検査の大部分は、財務会計システムや取引データベースなど、体系化されたわずか2割のデータを対象にして実施される。
役職員のEメールの内容をチェックして不正の発生を探るのは、それこそ干草の山の中にある一本の針を探し出すがごとく至難の業であろう。また、企業では通常、様々な脅威から身を守るために、従業員のメールのやり取りを日々スキャンしているものの、メールの具体的な内容をチェックするのは従業員のプライバシーを侵害にあたるのではないかと神経質になるかもしれない。
しかし、組織に出入りする膨大な量のEメールデータを選別し、整備された効果的な不正対策のソリューションに結び付ける体系的な方法は従来存在しなかった。ここに紹介する不正のトライアングル分析論は、正にそのようなソリューションとなり得るものである。
リスク検知のためのキーワード、用語、表現の整理 (ALIGNING KEYWORDS, TERMS AND PHRASES TO DETECT RISKS)
前編「隠れた不正リスクを暴き出す」において、かの有名な不正のトライアングルの3要素に直接関連するキーワード、用語、言い回し(以下、単に「キーワード」と呼ぶ)をもとに従業員のEメールを分析することにより、不正を発見する方法を紹介した。
不正のトライアングルは、不正の抑止および発見に関するいくつかの基本概念を示すものである。1950年代に犯罪学者のドナルド・R・クレッシー(ACFEの前身である財務不正防止協会の共同設立者の1人)が、人はなぜ不正を犯すのかを説明するために不正のトライアングルの仮説を構築した。彼の仮説の論拠は、動機/プレッシャー、機会、そして正当化という3つの要素が並存する状況で不正は起こるというものである。
過去数年にわたり、(本稿の執筆者をリーダーとする)アーンスト・アンド・ヤング(以下「E&Y」の不正調査担当者と(ACFEの調査担当ディレクター、ジョン・ギル氏をリーダーとする)ACFEの調査チームが、不正のトライアングルの各要素に特有のキーワードに関するリストを作成した。
調査チームは、主要な不正の類型(財務諸表不正、資産の不正流用、汚職)に特有の3,000以上に上るキーワードを収集、整理、検証した。また、この方法論の精度を高めるべく、FBIやフォーチュン500企業数社とも協力した。
不正リスク要因の強力な指標 (STRONG INDICATORS OF TRIANGLE COMPONENTS)
Eメールでのやりとりの内容が、従業員による不正のインセンティブ/プレッシャー、機会、正当化の指標として有効かどうかを見出すために、我々はE&Yが調査した2つの事例を対象に検証を行った。1つは、会社がカットオフ後の収益を当期の収益に算入したという財務諸表不正の事例で、最終的に決算修正に至ったものである。もう1つは、海外における汚職の事案で、米国海外不正支払防止法(the U.S. Foreign Corrupt Practices Act、 海外腐敗行為防止法などとも訳される、以下「FCPA」)違反で関与者に有罪判決が下された。
これら2つの事例において、21人に関連する2百万件以上のEメールが調査対象となった。両事例とも、我々が分析を行った時点ですでに解決済であった。我々は「不正行為が行われている最中には、Eメールにおいて不正のトライアングルの各要素に関連するキーワードが使用される頻度が高まる」という仮説を立てた。
最初の事例、収益認識に係る財務諸表不正はある多国籍企業において発生したものである。市販のテキスト検索ソフトウェアを使って、不正への関与が疑われた18人の経営幹部が発信した190万件のEメールおよび添付ファイルについて、我々が収集した「財務諸表不正ライブラリ」内のキーワードの有無を検索した。調査対象期間は、2008年9月から11月の3ヵ月間とした。
3種類のリストすべてにおいて、不正の実行が疑われた期間中のキーワード出現率(各月の調査対象Eメール総数のうち、キーワードが含まれていたEメールの割合)が急上昇した。
各リストには、3つの不正リスク要因それぞれに特有のキーワードが含まれていることから、3種類のリストにおけるキーワード出現率が「同時に」上昇したことは、少なくともこの事例に関しては、3つの要因が同時に存在する時に不正が起こるという不正のトライアングルの理論を裏付ける結果となった。
「財務諸表不正ライブラリ」に収められたキーワードのうち、調査期間中に頻出した上位10語を図4にまとめたとおりである。
図4 「財務諸表不正ライブラリ」における頻出キーワード
「インセンティブ/プレッシャー」関連キーワード |
problem, committing, creative, concern, not sure, clarify, split, spread, revise, sorry |
「機会」関連キーワード |
correct, appropriate, reserve, misconduct, conditional, departing, discount, difficult, fail, critical |
「正当化」関連キーワード |
therefore, find out, it’s OK, get back, challenge, find it, figure out, catch, does not make sense, doesn’t make sense |
もう1つの汚職/FCPA違反の事例もまた、多国籍企業において発生したものである。このケースに関しては、容疑者3人による105,000件以上のEメールを対象に「汚職ライブラリ」内のキーワード検索を実施した。検索は2000年にまでさかのぼって行ったが、主要な期間は2006年9月から2007年3月とした。
最初の事例と同様に、対象期間におけるキーワードの出現率が全てのリストにおいて急上昇した。この事例でもまた、クレッシーの理論が立証された。
「汚職ライブラリ」内のキーワードのうち、調査対象期間中に頻出した上位10語は図6に記載されている。詳細は割愛するが、我々はさらに2つの汚職事例についても検索を実施し、同様の結果を得た。これらの結果をもって、Eメールのやり取りの内容と不正のトライアングルの3要素の関係について確固たる結論を導き出すことはできないが、不正関与者のEメールで使用される言葉とインセンティブ/プレッシャー、機会、正当化の兆候を示す行動との間には何らかの相関関係がありそうである。
恐らく、さらに重要なのは、不正が行われている期間中に不正のトライアングルの各要素が同時に高まるということである。警察も含めて、捜査・調査業務に携わる人々がこの方法を活用することを推奨したい。
図6 「汚職ライブラリ」における頻出キーワード
「インセンティブ/プレッシャー」関連キーワード |
manage, risk, ethical, problem, commit, concern, clear, fake, cover, protect |
「機会」関連キーワード |
policy, fund, complain, investigate, process fee, consult, audit, offshore, renewal, commission |
「正当化」関連キーワード |
therefore, challenge, complex, entitled, get back, catch, mistake, justified, find out |
不正のトライアングル分析論の適用 (APPLYING FRAUD TRIANGLE ANALYTICS)
本稿の前編で登場した架空の内部監査ディレクター、ボニー・パーカーが率いるチームは不正リスク評価を終えた。その結果、アフリカの販売部門で働く21人について、政府関係者との不適切な関係という明らかな不正の兆候が疑われたため、彼女らは追加の検査を実施する必要があると判断した。パーカーは、汚職の証拠を見出すため、同部門のEメールに関して「汚職ライブラリ」のキーワード検索を実施しようと考えた。
内部監査チームは、キーワードのリストをカスタマイズし、社内で使われている隠語や業界や調査対象地域に特有のキーワードを盛り込む工夫を凝らした。IT部門と協力して、サーバ内に保存されている、21人の調査対象者が過去90日間に交わしたEメールのデータを収集した。その際には、社内の法務室と連携し、会社が採用しているEメール記録の取扱方針を遵守するよう留意した。
この例においては、このような調査分析を行うことを対象者21人に知らせる必要はない。なぜならば、内部監査部門は対象者各自の端末のハードドライブを検査するわけではなく、単にEメールの内容が保存されている会社のサーバにアクセスするだけだからである。この段階はまだ不正調査ではなく、不正防止・発見のための積極的なモニタリングの一部といえる。しかし、米国外でデータを収集する場合には、特にヨーロッパ各国においては、データ・プライバシーに関する国際法が適用される可能性がある。そのため、国外でEメールデータをチェックする際には、事前に法的なアドバイスを得ることが重要である。
ここで若干の数学を (NOW FOR A LITTLE MATH)
(1)インセンティブ/プレッシャー関連用語(Pスコア)、(2)正当化関連用語(Rスコア)、そして(3)機会関連用語(Oスコア)を含む「汚職ライブラリ」をもとにEメールの検索を行った結果、パーカー率いる内部監査チームは、3つのスコアを総合した「不正スコア」をもとに調査対象の21人をランクづけした。不正スコアは各スコアの2乗を合計したもの(√O2+P2+R2)であり、それをもとにパーカーはランキングのリストおよびプロット図を作成し、各スコアの上位3名を見出した。不正のトライアングル理論によれば、この3名が汚職に関与した可能性が最も高いと考えられる。
この結果をもとに、パーカーは、3人に関して追加のEメール「テキスト」分析手続を実施することができる。この手続を進めるにあたっては、以下のような着眼点を含めるとよい。
・誰が誰とやりとりしているのか?(ソーシャル・ネットワーク分析)
・何について?(概念クラスタリングおよび自然言語処理)
・どのくらいの期間にわたって?(時系列分析)
対象を21人から3人に絞込み、上記の着眼点からテキスト分析を実施することにより、パーカーは、書類を1つずつチェックする手間を省きつつ、主要なリスクや不正行為の疑いを効率的に識別することができる。
不正のトライアングル分析論と不正対策への取組み (FRAUD TRIANGLE ANALYTICS AND YOUR ANTI-FRAUD EFFORTS)
Eメールデータに基づく内部調査を実施したならば、不正のトライアングル分析論を組織の不正対策プログラムに組み込むことができる。このプロセスの鍵を握るのは、不正のトライアングルの3要素に関連したキーワードを3つに分けてリスト化することである。
不正のトライアングル分析論の可能性
(FUTURE POTENTIAL FOR FRAUD TRIANGLE ANALYTICS)
世界的な経済情勢が収益目標達成へのプレッシャーを強め、人員削減による内部統制の弱体化をもたらす中で、不正リスクの嵐が吹き荒れている。そして、ボーナスがカットされる一方で仕事量が増える状況下では、不正を正当化する従業員も増えるかもしれない。世界中の企業が不正リスクに積極的に対応するためのプロセスと方法論を模索している。
本稿に示した概念は、従業員のEメールの内容を分析することから、前例のない「行き過ぎた」やり方と感じる向きもあるであろう。確かに、この方法は、ACLやマイクロソフトのエクセル、アクセスを使った従来の仕分記入分析とは異なる。それらのツールは通常「規則に基づく(ルール・ベースの)質問」に依存するもので、監査人には既知の事実をベースに「データに関する質問をする」ことが要求される。このアプローチを用いて不正行為の兆候を含む異常値をデータの中から発見するためには時間が掛かり、かつ運次第という場合も多い。
しかし、我々は、既に確立された不正に関する理論に新たな技術を組み込むことにより、企業における不正発見への取組み強化を支援したいと考えている。不正のトライアングル分析論を従来のルール・ベースの分析論を組み合わせれば、リスクの高いビジネス事象を取り巻くEメールのやりとりにおける多面的な属性分析を通じて、重大な異常値を検出するための強力なツールとして活用することができる。そのうえで、検出した異常値を帳簿記入の内容と再び関連付けることで、貴重な裏づけ証拠とすることができる。
不正のトライアングル分析論は、十分な統制手続が存在しなかったり、無視されてしまったりしているようなリスクの高い分野に焦点を合わせる。したがって、組織の不正リスク評価能力を高めるために最適な手法である。
今回ACFEと共同で作成したキーワードのリストは、今後我々が様々な業界のクライアントに関する不正調査や未然防止のための不正リスク評価を重ねる中で、さらに充実していうであろう。このE&Y/ACFEキーワード・リストは独自に開発されたものであり、今後も資源を投じながら、我々のクライアントにのみ利用可能なツールとしてライブラリのアップデートを続けていく。しかしながら、各企業には、過去の不正リスクや経験をもとに、独自のキーワード・ライブラリを構築することを強く推奨する。E&Yと同様に不正のトライアングル分析論を既に活用している企業も、既存のリストのアップデートを怠ってはならない。なぜならば、不正リスクは絶え間まく変化するからである。企業が国際化するにつれて、賄賂や汚職の問題、そしてFCPAの遵守は経営者の重大な懸念事項となる。それに応じて、汚職リスク関連のキーワードの国際化も必要となる。例えば、ブラジルにおいて「コーヒーを一杯買う」という表現が、賄賂を渡すことの隠語として使われることがある。
E&Yの世界各国の事務所の協力を得て、我々はキーワード・ライブラリを、中国語、スペイン語、ロシア語を含む6ヶ国語に翻訳し、各地域に特有の慣用句も追加した。最終的には、E&Yがビジネスを展開する140カ国における慣用句を含むライブラリを作り上げることを目標としている。
コスト削減と不正抑止 (CUTTING COSTS, DETERRING FRAUD)
事件発生後の不正調査において、容疑者のEメールの内容に不正を強く疑わせる証拠が見出されたことには目を見張るものがある。しかし、リスクの高い領域において不正が疑われる者たちが作成した何千件ものEメールから積極的に不正の兆候を探知する任務を受けた不正検査士は、どう対応すべきか戸惑いがちである。
不正のトライアングルの理論を活用した分析を定例的に実施すれば、不正を早期に察知することにより、調査プロセスを簡略化し調査・訴訟に係る費用を節減することが可能となる。不正リスクに関する従業員への教育訓練を実施し、不正リスクへのエクスポージャーが増大している領域に関する理解を深めることにより、組織全体の不正リスクへの認識を高めることができる。
不正リスクを根絶することはできないが、本稿で紹介した不正のトライアングル分析論は最新の不正リスク発見方法であると考える。監視など他の不正リスク統制手段と併用すれば、強力なツールとなる。いつの時代にも不正を犯す者はおり、この分析論がすべての不正を発見できるものではないが、不正の減少や早期発見には資するであろう。
執筆者のダン・トーピー氏(CPA)、ヴィンス・ウォルデン氏(CPA, CFE)、マイク・シェロド氏(CPA, CFE)は、アーンスト・アンド・ヤングの不正対策・係争サポート部門に所属している。 |
執筆者は、本稿の執筆にあたり、以下の方々の支援に謝意を表する(敬称略)。
・ACFE調査担当ディレクター、ジョン・ギル(J.D., CFE)
・ACFE会計分野エディター、ドーン・タイラー(CFE)
・ACFE調査プログラムマネジャー、アンディ・マクニール(CFE, CPA)
・アーンスト・アンド・ヤング、パバン・ジャンキラマン(CFE)
・アーンスト・アンド・ヤング、アニル・マーコス(CISSP)
・アーンスト・アンド・ヤング、ジェイムズ・ファング |
本稿に示された見解は著者のものであり、必ずしもアーンスト・アンド・ヤングLLPの見解を反映するものではない。
不正のトライアングル分析論
注視する領域を識別するための不正リスク評価の実施 |
・ |
経営者の意向(tone at the top)の健全性、不正対策教育訓練の実施状況、倫理規範の整備状況の評価 |
|
・ |
組織内外の不正リスクの評価 |
・ |
内部監査部門以外での「ファシリテーター(進行役)による不正リスク評価のワークショップ」の実施 |
・ |
従業員意識調査の実施(インターネット、Eメール、ウェブなどによる) |
|
・ |
「顕在化の可能性(X軸)」「顕在化時の事業への影響度(Y軸)」に基づくリスクの重要度評価と対応の優先順位づけ |
|
・ |
ブレインストーミングによる、インセンティブ/プレッシャー、機会、正当化に関連する自社独自のキーワード・ライブラリの作成。リスクの変動に合わせたライブラリの見直し。翻訳による多言語対応および各言語独自の慣用句追加の検討。 |
|
重要性の高いリスクと事業部門、主要な従業員のマッピング |
・ |
重要性の高いリスクの識別と主要な従業員のマッピング |
|
・ |
調査対象とする従業員の選別とデータ・ソースの検討(比較分析のための十分なデータを得るため、最低10人を目安とする。) |
|
・ |
社内のEメール取扱い方針について法務または経営管理部門と協議(注:米国外でデータ収集を行う場合、特にヨーロッパ各国においては、データ・プライバシーに関する国際法の遵守に留意する。米国以外の会社で国外のデータを調査する場合には、法務部門に事前に相談する。) |
|
・ |
IT部門との協調による、会社のサーバ上で利用可能なEメールデータの識別。3〜6ヶ月間のデータで十分であるが、1年分あれば理想的(個人のハードドライブ内のEメールをレビューすることは可能だが、この段階はあくまでも積極的なリスク評価の取組みであり、内部調査ではない。したがって、時間、出費、調査のための業務中断などは保証されない。) |
|
・ |
オフライン処理を可能にするため、IT部門にサーバから外部保存デバイスへのEメールファイルのコピーを依頼。 |
|
Eメールデータの処理および調査・分析 |
・ |
分析サーチエンジンまたはEディスカバリ・ソフトウェアへのEメールデータのアップロード(外部のサービス業者の中には、1ギガバイトのデータにつき1,500ドル未満でデータ処理ならびに検索を請け負うところもある。その場合には、業者にEメールデータとキーワード・ライブラリを提供するだけでよい。) |
|
・ |
キーワード・ライブラリに基づく検索を実施 |
・ |
従業員に関する分析:3つのライブラリのキーワードへのヒット率の高い順に従業員をランクづけ |
|
・ |
時系列分析:Eメールのヒット率を(データベース内の文書/Eメール全体に占める割合)を月次ベースでグラフ化し、3つのライブラリへのヒット率が同時に高まっている(すなわち、不正のトライアングルが形成されていたと思われる)ポイントを探す。 |
|
・ |
対象者を絞り込んだ時系列分析:ヒット率の高い従業員に限定した分析を実施 |
|
「不正スコア」が最も高い個人に的を絞った追加分析 |
・ |
不正が疑われる時期に交わされた主要なやりとりを「誰が」「何を」「いつ」の観点から理解するために、Eメールの追加調査を実施 |
|
・ |
調査の結果不正が疑われる場合には、重要な時期に受発信されたEメール(適切に的を絞れば100件未満で十分)の内容の詳細なレビューを実施 |
|
・ |
違法行為の疑いが濃厚となった場合には、即座に法務部門および/または経営管理部門に報告 |
|
・ |
追加情報収集のため、容疑者の上司または容疑者本人との面接を実施 |
|
・ |
通常の不正検査と同様に、結論を急がず良識を働かせる。CFEとして適正な手続を踏む。 |
|
|