HOME コラム一覧 信頼の裏切り 電子購買システムの悩み(その3 全4回)

信頼の裏切り 電子購買システムの悩み(その3 全4回)

コンプライアンス その他
post_visual

不正リスクアセスメント:誰が何をいつ(Fraud risk assessments: Who, What, When)

 「不正リスクアセスメントチームは、キーとなるクライアントの担当者が含まれていないと、目標を達成することはできません」と、ザックは述べている。 「全てのシステムと組織は、日々それらと関係を持つ人にしか分からない独特の特徴を持っています」
‌ そのため、例えば調達機能に関連するリスクアセスメントを評価する場合、ザックは、少なくとも4つのクライアント部門のスタッフをBDOチームに加える。1つ目は最も多く購入する部門、2つ目は調達部門、3つ目は財務部門、そして最後に、IT部門である。プロジェクトの成功に不可欠なもう1つの要素は、ハイレベルな全ての部署からの支持である。
 「プロジェクトの唯一のスポンサーが財務部門や社内CFEの場合、彼らはおそらく非協力的なグループを強制的に参加させる権限を持っていません。それが、役員会またはその監査委員会からの支援が重要である理由です」とザックは言う。
 さらに、「クライアントの購買システムが人々に悪用されることを待ってはいけません。『正義のハッカー』で構成される『タイガーチーム』(システムの問題を検討する専門家のチーム)を雇うことを助言しなさい」。そして、タイガーチームに可能性のある購買不正のリストを渡して、統制に関係なくどれだけ多くの不正を実行できるか観察することである。「それが高いレベルでの不正リスクアセスメントを本当に実施したということなのです」とザックは述べている。

駆け引きへの支払い(Pay to Play)

 「『狡猾な手段(Sharp practices)』は、実際の不正ではないがバイヤーによる不正表示を表す丁寧な用語です」と、タラハシーにあるフロリダ州立大学のサプライチェーンマネジメントの教授であるLarry Giunipero, Ph.D., CPSM, CPSD, CPMは言う。
 彼は次のように説明する。「1つの例があります。悪意のある購買部長が、実際に購入取引をすることのない粗悪な納入業者からの安値の入札に興味があるように装います。その後、その購買部長は、立派な高品質の納入業者にそのことを知らせ、非常に低い入札が契約を獲得することを示唆します。良い納入業者に値引きさせるにはこれだけで十分な時もあります」
 「信頼できる購買の専門家が『シャープ』と呼ぶ時、それは『最先端』ではなく、『非倫理的』の意味です」とGiuniperoは述べている。彼はさらに続けて言う。「『シャープ・プラクティス』の他の例には、納入業者の財務上の事情を利用し、競争入札の情報を共有することによって優位性を実現するために意図的に納入業者を欺くことも含まれます」
 CFEは、購買部長が見え透いたキックバックを要求し、望まれた納入業者が当初予定された価格を提示しながらも他の納入業者の価格との差額の一部あるいは全額に等しい賄賂を支払うというケースを目にすることもあるだろう。この場合、購買部長は自分自身と組織の利益相反にあり、自分の雇用主の最善の利益のために働くという信認義務に違反することになる。
 雇用主は、どうすればこのような微妙だが重大な利益相反を発見できるのだろうか? 結局のところ「シャープ・プラクティス」を好む者は、組織のCOI部隊が(存在する場合)、彼に尋ねたとしても自らの背信を暴露する可能性は低い。
 解決法は、全ての不正の兆候に網をかける2つの不正検出ツールを一緒に使用することである。1つ目の(前述の)不正リスクアセスメントは、貸借対照表に似ており、特定の日付におけるリスク・エクスポージャーのスナップ写真としての状態を提供する。もう1つの継続的コントロールモニタリング(Continuous Control Monitoring, CCM)は、キャッシュ・フロー計算書に似ており、映画のように活動を続け、統制違反が起きたらすぐに報告する。

ダッシュボードからの眺め(View from the dashboard)

 「CCMは、実行したドキュメントやトランザクションに『リアルタイム』でのアクセスを提供します」と述べるのは、米国および世界の製造、IT、金融業界で不正の調査と業務監査を実施して20年以上の経験を持つコンプライアンスの専門家であるザカリー・ローセン(Zachary Rosen)CFE、CIAである。
 「CCMは、1990年代の終わり頃から開発されました。当時、手作業での統制はつぎはぎでした。しかし、サーベンス・オクスリー法[SOX法]とCOSOのリスク・フレームワークにより、電子調達システムなどの財務アプリケーションでの不正リスク・エクスポージャーを積極的に監視するために先端技術を利用することが盛んになりました」
 
(その4に続く)
---------------------------------------
初出:FRAUDマガジン48号(2016年2月1日発行)



この記事の執筆者

RobertTie, CFE,CFP
ニューヨークのライターであり、FRAUDマガジンの寄稿者。
Eメール:robertxtie@gmail.com
翻訳協力:山内哲也、CFE、CIA、CISA
※執筆者・翻訳協力者の保有資格等は本記事の初出時のものである。

関連リンク

不正リスク(バックナンバー一覧)

愉快犯による横領 不正のトライアングルは愉悦でのみ盗みをする不正実行者を説明しない(その1 全4回)

禁輸国への迂回輸出の防止 輸出規制・経済制裁違反の回避(その1 全4回)

オクラホマ州ヒールトンの災難 事例が明かす非営利団体不正の高い発生率(その1 全4回)

信頼の裏切り 電子購買システムの悩み(その1 全4回)

信頼の裏切り 電子購買システムの悩み(その2 全4回)

コラム
/column/2018/img/thumbnail/img_24_s.jpg
 「不正リスクアセスメントチームは、キーとなるクライアントの担当者が含まれていないと、目標を達成することはできません」と、ザックは述べている。 「全てのシステムと組織は、日々それらと関係を持つ人にしか分からない独特の特徴を持っています」‌ そのため、例えば調達機能に関連するリスクアセスメントを評価する場合、ザックは、少なくとも4つのクライアント部門のスタッフをBDOチームに加える。1つ目は最も多く購入する部門、2つ目は調達部門、3つ目は財務部門、そして最後に、IT部門である。プロジェクトの成功に不可欠なもう1つの要素は、ハイレベルな全ての部署からの支持である。 「プロジェクトの唯一のスポンサーが財務部門や社内CFEの場合、彼らはおそらく非協力的なグループを強制的に参加させる権限を持っていません。それが、役員会またはその監査委員会からの支援が重要である理由です」とザックは言う。 さらに、「クライアントの購買システムが人々に悪用されることを待ってはいけません。『正義のハッカー』で構成される『タイガーチーム』(システムの問題を検討する専門家のチーム)を雇うことを助言しなさい」。そして、タイガーチームに可能性のある購買不正のリストを渡して、統制に関係なくどれだけ多くの不正を実行できるか観察することである。「それが高いレベルでの不正リスクアセスメントを本当に実施したということなのです」とザックは述べている。
2018.09.14 15:35:06