信頼の裏切り 電子購買システムの悩み(その4 全4回)
「文字通り全ての取引の分析を可能にすることで、CCMは不正対策のコントロールを大きく改善します」とローセンは、詳細な例を提示しながら述べる。「もし、ある製造業の会社が入荷した原材料の電子的「納品書」、納入業者への「発注書」や支払のための「請求書」の全てを含むエンタープライズ・リソース・プランニング(ERP)システムを完全に導入し運用しているのであれば、ERPのCCMモジュールでは、それらの三方向からの比較(スリーウェイマッチング)を実行し、これらの記録の中に何らかの矛盾があった場合、自動的に警告を発することができます。
大規模なERPシステムのベンダーは、顧客のビジネス環境や内部統制のニーズに合わせてカスタマイズすることができるCCMモジュールを提供しています」とローセンは言う 。(参照:後述の「CCM購入ガイド(A CCM Buying Guide)」)。
もし何かを目に(耳に)したら・・・(If you see (or hear) something)
「私が相談を受けた積極的なクライアント企業は、従業員が遭遇した適切とは思えないあらゆる物事を報告するための方法を持つことを望んでいました」と、Giuniperoは言う。彼は、クライアントのマルチメディアホットラインを開設するという決定を支援し、従業員が望めば匿名性を保証する、電話、ウェブ、電子メールで簡便に問題を報告することが可能になった。
「一度ホットラインが設置されると、従業員は部署の内外で見聞きしたことを報告するためにそれを利用するようになりました」とGiuniperoは回想する。 「様々な通報と内報がとても印象的でした」。ある時、一人の従業員が匿名で、自分の同僚は会社の納入業者の営業担当者と同じゴルフクラブに所属していることを通報した。そしてその思わぬ結末は、伝えられるところでは、同僚が納入業者とのビジネスを進めようとしていることだった。利益相反が存在するか、もしくはただ単に無邪気な社会的関係に関するゴシップや誤解の産物であったかどうかを確認してみる価値があった。
Giuniperoが語るもう1つのホットラインへの通報は、納入業者の営業担当者が自分の勤務先は従業員に何週間も給与を支払っていないと話すのを立ち聞きしたというものである。これがもし本当なら、その業者による不正のリスクが高まる可能性のある財務上の問題の兆候となり得る。
それぞれの事例では、重要な不正リスク要因である業者との関係は、購買業務の不正の危険信号になるかもしれない重要な要素だった。Giuniperoは、この2つの調査に関与しなかったが、彼のクライアントは、発生の可能性があるまたはその高い信頼の裏切りの報告が機密性の守られた容易な方法でできるようにしたことで、従業員と会社自身に正しいことをしたと理解していた。
二種類のクライアント(Two kinds of clients)
経験豊富なCFEは、次のクライアントのいずれかを持ったことがあるはずだ。一方は、一見信頼できる人々による被害を受けた人達、もう一方は、もし、あなたが防止に注目させなかったら被害を受けていた人達である。持続的な不正リスクアセスメントプログラムと継続的コントロールモニタリングの利点を説明しなければならない。そして、ロシアの諺「信頼せよ、されど検証せよ」をためらわずに引用することだ。この諺は、レーガン大統領にとっても非常に役に立ったのだ。
CCM購入ガイド(A CCM buying guide)
ザカリー・ローセン、CFE, CIAは継続的コントロールモニタリング(CCM)システムの導入と購入についてクライアントに助言する時に次の項目を検討することを推奨している。
1. 現在の内部監査とリスクアセスメントプログラムを評価すること。CCMが統制の欠陥を減少させ、不正の兆候の検出をより容易にできるか判断すること。
2. クライアントのビジネスとリスクに直接関連するような重要な統制を監視できるように調整されたCCMモジュールのデモをするように依頼すること。
3. 評価したそれぞれのCCM製品について、クライアントのビジネス成長にあわせて取引量が増加しても分析的能力が追いつくかどうかを判断すること。もし、クライアントの組織の子会社が全く別のシステムを持つ場合、CCM製品が、その全てと共に問題なく機能するかどうかを判定すること。
4. 完全導入の前にパイロットフェーズを含めて、CCMソフトウェアのユーザー受入テストを実施すること。システムが簡単に運用できるか、機能がモニタリングのために選択したコントロールに直接的に適用できるかをユーザーに質問すること。
---------------------------------------
初出:FRAUDマガジン48号(2016年2月1日発行)
