【事例から学ぶ「有効な不正対策」】　テクノロジーを用いたＦＣＰＡ対策の向上

「十分な」対応とは？
HOW VIGILANT IS VIGILANT ENOUGH?
テクノロジーを用いたＦＣＰＡ対策の向上
TRANSACTIONAL DATA TESTING CAN MULTIPLY YOUR FCPA COMPLIANCE AND INVESTIGATIVE EFFORTS

BY EDWARD A. RIAL, J.D.
DANIEL KRITTMAN
ANTHONY DESANTIS, CFE：著

企業が汚職に関係するスキームや取引などの不正の兆候とパターンを発見するためには、テクノロジーやテストの方法論を利用する必要がある。
　最新ツールの活用により、バーチャルに企業内のすべてのデータや情報の全体を検索することができるとともに、さらには、問題点や脆弱性の予測も可能となる。

　４５ヶ国で事業を展開し急速に成長を続けるソフトウェア会社のテック社（Tech Inc.）は、米国司法省（ＤＯＪ）と米国証券取引委員会（ＳＥＣ）がブラジルと中国にあるテックの子会社の支出について、米国海外腐敗行為防止法（ＦＣＰＡ）違反の可能性があるとして調査中であることを知った。テック社の法務担当弁護士であるボブは、匿名の社員からの内部通報に、テック社が１）独立販売代理人に多額のコミッションを支払っていること、２）一部のチャネル顧客や代理店に大幅な値引きや割戻しを提供したこと、の二点について申し立てがあったことが調査の端緒となったのではないかと考えている。当社員によると、他の複数の社員の会話の内容から、さらに同様の問題がブラジルや中国以外の国にも広がっていると考えられるということであった。

　ボブはこの申し立ての事実自体についての懸念の他、これまでテック社の成長を促進してきた数多くの企業、特に新興マーケットの個人企業の買収が、汚職行為に対する脆弱性を招いているのではないかという恐れを抱いた。というのもテック社はＦＣＰＡのためのデューディリジェンスを買収前にほとんど行ってこなかった上、買収先企業への腐敗行為防止プログラムの展開が遅れていたからである。

　ボブの心労はこれにとどまらず、顧問弁護士は、ＤＯＪとＳＥＣが、買収先企業に汚職問題があった場合にテック社が責任を継承するかどうか買収前のデューディリジェンスを精査するだろうということ、そして、テック社に対しては、ブラジルと中国以外についても包括的な汚職行為防止コンプライアンス・プログラムが有効に機能しているか確認し報告を求めるだろう、と告げられた。そこで、顧問弁護士によると、さまざまな要素、例えば、官公庁への直接および間接販売の売上高、第三者仲介代理店利用の有無、カントリー・リスク情報、現地の許認可や法令上の要請、過去のコンプライアンス上の問題や実施した研修などに基づいた評価プロセスによって地域拠点を選択し、現地で聞き取り調査、文書確認、取引記録のテストを実施する必要があるだろうということである。

　以上の想定シナリオは、発展途上かつリスクの高い市場で事業を展開または進出しようとする企業によく見られるものである。ボブの悩みは、他の企業の弁護士、ＣＦＥ、コンプライアンス担当者や内部監査担当者などリスクマネジメントやコンプライアンスに取り組む担当者と共通している。少ない予算の中で、このようなグループはより少ないコストでより多くの対応を求められており、過大な費用をかけずに、評価、監視、リスクの軽減、不正調査の実施、買収先やビジネス・パートナーに対する適切なデューディリジェンスを実施することとの間で、バランスをとらなければならない。本記事では、企業がテクノロジーやテスト方法論を適用して、潜在的な汚職や不正な取引の可能性があるかどうかを示す兆候やパターンを見つけ出す方法を論じる。

法の執行状況　（ENFORCEMENT TRENDS）

　もしも、企業が新興マーケットやリスクの高い国際市場でビジネスを行っているか進出を検討しているのであれば、FCPA遵守への対応を怠ってはいられない。

　２０１０年には、ＤＯＪとＳＥＣによるＦＣＰＡ違反の最高検挙件数を記録した２００９年の二倍近く検挙された1。ＤＯＪの指摘によると、２０１１年はさらに検挙が強化された年でもあった2。さらに、イギリスの贈収賄防止法が２０１１年７月１日に施行され、おそらく２０１１年の米国愛国者法以来、世界の汚職防止法における最も大きな変化であった。

　企業は汚職防止違反による法的責任の追求や、評判が傷つくリスクを軽減するために、特定の地域、業種、ビジネスリスクに対応できるコンプライアンス・プログラムを導入することで未然に防止しようとする。

　このようなプログラムには、不適切な支払いやその他の汚職行為などのリスクエリアの監視および潜在的な不正の兆候となる指標のテストを実施する典型的な手順が含まれるこれらの対策の中には疑わしい単語やフレーズを見つけるためのeメール・フィルタリングや、リスクの高い地域でのコンプライアンス・レビューが含まれ、例えば第三者による証拠保全や監視手順が守られているかもある。

　ときに見過ごされがちであるが、汚職行為防止法遵守のための重要かつ強力な監視方法は、不適切である可能性の高い支出についてトランザクション・データのテストを実施することである。大量データの処理と分析を実行し、その中から追加調査が必要な取引を特定することができるツールの開発が、大幅に進んできている。

トランザクション・データのテストについての詳細な検討
（A CLOSER LOOK AT TRANSACTIONAL DATA TESTING）

　トランザクション・データのテストの目標は、ルールベースフィルタリングを用いたテクノロジーにより、組織のデータの中から疑わしいパターンや異常値を特定することにある。取引に関係する会計データは、通常、総勘定元帳、買掛金勘定、売掛金勘定、給与から抽出される。

　分析ソフトウェアは、サンプルデータだけではなく、効率的に全データについてテストすることができ、関連するトランザクション・データをテストの範囲から取りこぼすといったリスクを軽減できる。

　異常検知ソフトウェアは、通常、パッケージ製品、企業内の統合業務（ＥＲＰ）アプリケーションの既存のサービス、あるいは汚職行為防止サービスに特化したコンサルティング会社で開発された専用ツールとして購入することができる。ツールの選択に際しては、データや処理要件に適合した処理能力を備え、複数のシステムから得られるデータを取り扱うことができる柔軟性を持ったテクノロジーを選ぶべきである。

トランザクション分析に対する高度な分析手法の導入
（LEVERAGING ADVANCED ANALYTICS IN TRANSACTIONAL ANALYSES）

　通常のデータ異常やリスクの高い支出に対するテストの他に、さらに高度な分析手法が不正の検知と抑止におけるさらに高度な分析手法が出現しており、ゲームチェンジャーとなる可能性がある。現在開発中であるものは、社内外で発生した過去の問題のプロファイルから潜在的な違反行為を予見する予測モデルである。さらに、取引に対してリアルタイムあるいはほぼリアルタイムで継続的に監視を行うソリューションは、潜在的な問題が実際に発生し蔓延する前に社内の担当者に対して注意を喚起することができる。最後に、コンテンツをｅメール、電子文書、その他の非構造化情報から選択して引き出し、その結果をトランザクション・データと結びつけるツールでは、社内の関連するシステムを包括的にしかも効率的に見渡すことができる。

　担当者については、汚職行為について十分理解していて、特に会計データの中から高リスクの支払いを発見しその取引の結果を確認してさらなる精査が必要かどうかを判断できる人材が必要である。

　というのも、分析結果はいずれかの時点で政府による確認検査の対象になる可能性があるため、アプローチ手法、プロセス、文書化を慎重に検討する必要がある。プロセスについては効率的で再実行可能、タイムリーかつ、一貫して関連性の高い結果を得られるものでなければならない。プロセスには下記３つの特徴的なステップが必要である。１）テスト計画を策定する。２）関連するデータを特定する。３）集中分析データベースを作成する。

１）テスト計画の策定（Formulating a testing plan）

　おそらく、テストプロセスの中で最も重要なステップは初めの計画を立てることである。構成要素、勘定、事象などに対する理解が深まるとともに、当初の計画から変化することもあるだろうが、収集するデータ、検討すべき手法、実行する個別のテスト、対象となる地域などを決定するためには強固な基礎を築くことが鍵となる。また、初期におけるリスクアセスメントはテストプランの幅と潜在的な深さの閾値の設定を決定するために役立つ。このときのアセスメントで検討すべき要素は、国や業界別のリスクプロファイル、官公庁への売上高、地域別の法令環境、販売代理店や運送代理店の利用の有無、コミッション率の高さ、過去と現在のコンプライアンスに関する問題、現地の経営者の経験や独立性である。

　分析ツールの生産性と高度な機能を利用することで、的を絞った作業で、無理なくより広い範囲の取引を網羅することができる。例えば、対象範囲を必要に応じて広くあるいは狭く設定した検索クエリーを用いることで、海外の拠点や納入業者に対する支払いの総額や一定の限度額以上の支払いがただちに認識できる。初期の段階では、よく定義されたテストを１０～１５回繰り返すことで取引の範囲を網羅する代表的なテストができるだろう。そしてその後に改善することで、このテスト手法を会社全体としてのコンプライアンスプログラムの中に統合することができるだろう。

　また、計画の策定や、実施、報告と結果のフォローアップにわたる過程については徹底して文書化をしなければならないが、特に、潜在的な違反を発見し、説明が必要な場合や、プロセスを保護する必要がある場合の文書化については留意すべきである。

２）関連するデータとデータソースを特定する（Identifying relevant data and data sources）

　このステップは一見単純に見えるが、驚くほど複雑であることがある。データやデータソースを正しく特定するための鍵となる質問は:

・どの期間についてテストを行うか。

・	このデータが保管されているシステムが複数あるか－具体的には、過去に、対象期間中に稼動していた別のシステムがあったか。
・	総勘定元帳には十分詳細なデータが含まれているか、または補助元帳が必要か。
・	現在どこにデータが存在するか：国内か、あるいは集中管理されたロケーションか、オフサイトか。

　データを収集する際には、フィールド、期間、表計算シートやテキストファイルなどのデータ形式、さらにＣＤ、ＤＶＤ、オンライン送信などの送付方法などについて正確で詳細なリクエストを作成するべきである。データのリクエストには一回ごとにコストや時間を有するため、少なくリクエストするよりも多めにするほうがよい。多忙な企業のＩＴ担当者に、何度もお願いしなくて済むように正確、妥当、且つ十分わかりやすくリクエストをしよう。

３）集中分析データベースを作成する（Creating a central analytics database）

　分析のために収集されたデータ量が表計算ソフトの制限を超えてしまうことはよくあることである。集中分析データベースを、Microsoft

、SQL Server

、Oracle

Database などのスタンダードなＲＤＢ（リレーショナルデータベース）製品を利用して設定すれば、単一のロケーションから異なるデータソースを統合してアクセスやテストをすることができる。これにより、あらかじめ計画されていた作業計画以外にも、調査担当者が柔軟にテストを実行することができるといった効率化がもたらされる。特に重要なのは、クエリーやテストプランをを保存して、必要に応じて同じプロセスを組織内の別の事業体についても繰り返すことができるようにすることである。

トランザクション・データテストで落とし穴を避けるには
（AVOIDING PITFALLS OF TRANSACTIONAL DATA TESTING）

　トランザクション・データをテストすることには多くの利益があるが、一方で課題もある。下記にいくつかの重要かつ潜在的な落とし穴と、その回避方法を述べる。

異なるデータ・システム（Disparate data systems）

　多国籍大企業の会計システムや企業内の統合業務（ＥＲＰ）は、複雑且つ分散化されていることが多い。初期段階で時間をかけて、どのようにデータが組織、国、あるいは事業単位の中で体系化されているかを理解していれば、特に、複数で重複した情報ソースや大量で統一性のないデータフォーマットのため標準化されたアクセス方法がない場合などに、時間を大きく節約することができる。

　また、買収先企業は、システム統合のコストや時間がかかることから、相当の期間、独自のシステムを保持し続けることがある。どこのどのシステムに関連するデータが存在しているかを正確に把握することが肝要である。

アーカイブデータと実データ（Archived versus live data）

　多くの企業では、スペースやコストの節約とパフォーマンスの向上のために過去の情報をアーカイブしている。企業の規模によって、頻繁なリストアやアーカイブデータの取り込みが必要となる「生」のデータのボリュームは異なる。よくある問題としては、オフサイトの地点にあるテープへのアクセスが困難であること、不適当または不明瞭なインデキシング、会社の実データと同じユーザーインターフェースが必要な読み取り専用アプリケーションで保管されていることがあげられる。

　データテストの目的でユーザーインターフェースを利用することは、稼動中のシステムを遅くさせるか（業務の中断につながる）または、ミラー環境（実行環境とは別に元のシステムと同一のコンポーネントを複製したサーバー環境）が必要となる可能性がある。どのようにアーカイブされているか、読み出しする際の制限があるかどうか、などについてのストレージ環境の理解があれば、読み出しにかかる時間の短縮とコストの削減となる。

自社製システム（Homegrown systems）

　多くの組織、特に小さい国々に子会社を有する場合に、自社製もしくは現地の会計システムを使っている場合がある。一般的にデータ統合のために会計データは集中データベースに吸い上げられているが、効率的なデータ分析に必要となる取引の詳細が含まれないサマリー形式で提供されることが多い。

　また、現地のシステムでは、テスト用に取引の詳細な記録や適切なフォーマットでデータを提供できる設計がされていないこともある。このような制限を調査の初期の段階で知っておくことで、そのまま利用することができるデータの収集に貴重な時間を振り分けることができる。

海外環境における注意点（Cross-border considerations）

　トランスペアレンシー・インターナショナルの「２０１０年版腐敗認識指数」（http://tinyurl.com/387x658）によると、現在汚職リスクが高い、中国、インド、ロシア、ブラジル、メキシコなどの国々に進出する企業が増加している。これらの企業は、販売促進、ビジネス･センター拠点の設置、運送手配や行政対応のために、新規あるいはほとんど知らないパートナーや納入業者、代理店を使わなければならないことがある。仲介関係は買収問題の温床になりがちであるため、高リスクの環境でこのような相手方との取引を監視することは、多大な売上手数料や売上報酬、サービス提供前の支払いや一括支払いなど精査の必要な疑わしい支出を見つけ出すことにつながる。さらに、取引データを入手する際には、個人情報保護法にも配慮しなければならない。会計データは、通常であれば多くの国で定義されるプライバシーに該当することはないが、特定の勘定（給与など）には、他国への転送が制限されている個人を特定する情報が含まれているかもしれない。

　この他にもデータの移動に関する法律、特に中国の営業秘密保護法では、データの収集とテスト計画の実行に影響を与える恐れがある。ときにはトランザクション・テストの作業も、ｅメールや文書のレビューなどの他の調査作業と共に、対象となる国の現地で実施する必要があるかもしれない。これらの問題にあたっては違反行為に対する罰則規定が相当重大なものとなることがあり、専門家による法的分析が必要である。

網を広げる　（CASTING A WIDER NET）

　企業やその顧問は、汚職行為法の遵守や法令の要請に対応するための最適なテストの実施を決める際にデータ・システムの重大性と複雑性で四苦八苦することが多い。企業がビジネスチャンスを新興のリスクの高いマーケットに求め、国際的な汚職行為防止法の検挙が積極的に行われ続ける限り、効率的で費用効果の高いテストソリューションを開発することが急務になってきている。よい知らせであるのは、時間、コスト、人的要件の削減ができる高性能で機能の向上が著しいテクノロジーツールを利用し、システムの評価、データ抽出、取引テスト実施に対して構造化された論理的なアプローチをとることによって、これらの目標を達成することができるということである。

Edward A. Rial, J.D.
デロイト・フィナンシャル・アドバイザリー・サービスＬＬＰ、海外腐敗行為防止法コンサルティング・プラクティスのプリンシパル兼リーダー。

Daniel Krittman
デロイト・フィナンシャル・アドバイザリー・サービスＬＬＰ、分析調査テクノロジー・プラクティスとデータ分析ナショナルリーダー。

Anthony DeSantis, CFE
デロイト・フィナンシャル・アドバイザリー・サービスＬＬＰ、海外腐敗行為防止法コンサルティング・プラクティスのプリンシパル。

1	“2010 Year-End FCPA Update,” Gibson Dunn, Jan. 3, 2011.
2	Assistant Attorney General Lanny A. Breuer, The American Conference Institute’s 24th National Conference on the Foreign Corrupt Practices Act (FCPA), Nov. 16, 2010.