コロナ禍の収束で企業活動が回復していく中、コロナ禍の間に見逃されてきた不正行為の露見や、アフターコロナの経済情勢下において不正を誘発する要因が増えることで、不正件数が増加していくことが考えられます。本稿では従来型の不正調査よりも低コストでありながら予防策ともなり得る調査手法の「不正監査」についてお届けします。

※当記事はACFE MAGAZINE Vol.81(2021年8月1日発行)にて掲載された記事を、掲載元の許諾を得て、一部改訂して転載しています。

中島 祐輔

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
パートナー

会計不正、品質偽装、贈収賄など様々な不正・不祥事事案に調査委員や責任者として関与。ステークホルダー対応などの危機管理や再発防止策導入など危機に直面した企業を信頼回復まで一貫して支援している。不正調査や危機対応のみならず、会計監査、M&A、企業再生、組織再編など広範な領域でプロジェクトマネジメントの経験を有する。大手監査法人で会計監査を経験後、2002年に当社に参画。2018年よりフォレンジック&クライシスマネジメントサービス統括。

アフターコロナは不正の発見が増える見通し

――米国や欧州ではアフターコロナの経済に関して議論が始まっています。今後「不正」とその対抗策はどう変化するでしょうか。

まず、不正件数は今後増えると予測しています。理由は主に2つ、まず1つは新型コロナ禍のもとでの不正行為が露見していくことです。コロナ禍の収束で企業活動が回復していく中、内部監査や管理業務も過去の水準に戻りつつあります。その結果、近時はリモートなどで十分とは言い難かった監査や業務統制が従来通り実施されることで、この間に見逃されてきた不正行為の摘発が増えると思われます。もう1つは、アフターコロナの経済情勢において、新たな不正の誘発要因がいくつも想定されます。例えば▽公的給付金や金融機関からの借り入れで延命した企業による財務粉飾▽V字回復を目指す過程での業績プレッシャー▽リモート環境下で普及した新しいビジネススタイルによる従来型の内部統制や子会社ガバナンスの弱体化などです。

――日本企業の現状はいかがでしょうか。

後手に回っている印象があります。意外かもしれませんが、「委員会方式の不正調査」もその象徴の1つだと感じます。客観性や専門性の担保が目的ですが、諸外国ではあまり類を見ない仕組みです。私も委員を務めることもありますし、いわゆる性善説に立ち、不正対応に不慣れな日本の企業風土に適している側面があり、今後も重要な役割を果たすことが期待されます。ただ、日本企業の自浄作用が弱く、放置されがちで、第三者が介入しないと解決できないなどの背景の存在に気付いている人は少ない。本来、問題が小さいうちに「早期発見」し、委員会に頼らず社内で「早期解決」を図るのがあるべき姿だと考えます。

不正発見の遅れは様々な弊害をもたらします。不正には累積性があり、例えば、財務諸表不正は、一旦不正に手を染めると業績維持のために継続的に不正が実行され、発見が遅れるほど粉飾額、つまり不正の規模は雪だるま式に膨れ上がります。日本の上場企業の場合、適時開示に関する厳格なルールがあり、限られた期間内で不正の実態を明らかにし、財務諸表を是正しなければなりません。十分な調査時間がない中で対応を迫られるケースも少なくないのが実態です。初期段階で不正を見逃し深刻化してしまうと、皮肉なことですが、結果的に対応コストが膨大な額になった事例も、少なからず見受けられます。こうしたケースではさらにレピュテーション失墜による顧客や従業員の離反も起きかねず、広い意味での「損失」は、計り知れない規模へと膨れ上がります。

「不正監査」メソッドを取り入れ、内部監査を強化

――経営陣が早期発見・未然防止に舵を切るには、まず何から着手すべきでしょうか。

グローバルにみて、不正の早期発見の2大ルートは内部通報と内部監査です。その次に、内部統制活動からの発見、決算手続からの発見が挙げられます。能動的な不正発見は、やはり内部監査に依拠するでしょう。ただし、日本企業において、大半の内部監査部門の実情は、リソースや予算が潤沢ではなく定型の継続的な監査手続の実施で手一杯、という状況です。それゆえ、従来型の内部監査を通じた不正の早期発見は、現実的には非常に難しいと言わざるを得ません。多くの不正事案において、不正実行者による隠蔽工作は付きもので、取引先と結託した巧妙な共謀もしばしば発生します。表面的な監査手続では、不正の端緒を掴むことも難しいのが現実です。そこで、我々は新たに「不正監査」というコンセプトを提唱しています。不正調査のメソッド(方法論)を内部監査に導入するもので、企業に当てはめると、内部監査部門のスタッフに不正調査のメソッドを理解してもらい、これを応用すれば、効率的かつ効果的に企業内に潜む不正リスクを洗い出せると期待しています。

――「不正監査」は具体的にどのように行うのでしょうか。その特徴も教えてください。

私たちの提唱する「不正監査」の実施ステップは「不正リスク評価」「兆候把握」「判定」の3段階に分かれます。不正リスク評価は、不正発生の懸念が高く、発生時の影響度合いが大きな不正シナリオ、つまり、「誰が」「どのような目的で」「どのような手口を用いて」不正を実行するのかという仮説を特定する手法です。シナリオの特定によって、高リスク要因が企業内あるいは業務のどこに存在するかの抽出にも役立ちます。具体的には不正のトライアングル(動機・機会・正当化)の考え方に沿い、分析項目を設定していきます。

動機:無理な業績を達成したい事情。事業計画の達成状況。マーケット環境。社内における当該事業の位置付け。マネジメントや職員の評価体系など。
機会:キーとなる内部統制の整備状況。マネジメント・管理職が長期間変わっていない。MAにおける買収企業ではないか。システム統制の導入が進んでいるかなど。
正当化:地域的なリスク。過去の違反実績など。

影響の度合いについては、財務諸表数値に基づく財務インパクトの大きさが基礎となりますが、事業の性質を踏まえたレピュテーションリスクなど、定量化、数値化が難しい定性的項目も検討要素に含むことが望ましいです。

どのように兆候を把握するか?

――リスク位置のマッピングやシナリオ化によって、どの業務、部門、工程で不正が起きやすいかなどを予測できるでしょうか。

ある程度は可能になります。分析精度の向上には相応の情報が必要になりますが、注意すべき領域などは特定できるでしょう。「どこで/どんな不正を/どの職位の人間が起こしやすいか」といった点のアセスメントは人的コンサルティングの領域です。▽会社の経営環境▽ビジネスモデル▽ガバナンス▽内部統制などの諸要素を踏まえて判断していくスキームとなります。他方、AIやコンピューティングモデル解析は、財務数値や取引データなどに基づいて、通常ではないデータの動きを検知し、そこで不正が発生しているかもしれない、といった分析予測を可能にします。

不正兆候把握は、データ・アナリティクスの導入による不正検知が主たるものです。不正検知アナリティクスでは、様々な構造化・非構造化データを組み合わせたうえで、リスク評価で特定された不正シナリオに従って兆候把握のためのルールをセットし、リスクの高い取引や行動を抽出します。例えば、営業担当者のスケジューラ上の営業行動履歴と、交際費や旅費といった取引データ上の発生時期や内容を照合し、経費流用や贈賄リスクを検知することなどをイメージしてください。近年では、AIを導入した不正検知アナリティクスも実用化されています。さらに、デジタルフォレンジック技術を応用したメールモニタリングも不正兆候把握に有効な方法の1つといえるでしょう。ただし、ここで大切な点は、リスク評価や兆候把握で抽出された「リスクの高い取引や行動」が、実際に不正行為に該当するか否かの判断も、人的コンサルティングで下すべきという点です。AIやコンピューティングは有益な道具ですが、現時点では、専門性の高いコンサルティング、つまり人の判断を超えるには至っていません。

従来の内部監査との違い

――「不正監査」は従来型の監査と不正調査を補完できるコンセプトでしょうか。

内部監査や会計監査に限らず、監査とはリスクベース・アプローチが一般的です。これは企業における重要なリスク—例えば財務諸表監査でいえば、財務諸表の重要な誤謬や虚偽が生じる確率――を評価してその発生確率と影響額の度合いに応じ、監査手続きの実行を設計してリソースを配分する、という考え方です。監査には、対象が面的で広範囲になりがちな課題があります。一方の不正調査は、仮説検証アプローチという概念に沿って調査手続を実施し、「点」として特定のリスクを発見し、深く分析できるメリットがあります。ただし、先に述べたように、不正行為の発見や掘り起こしには、不正実行者による隠蔽や偽装も乗り越えなくてはならず、詳細な調査を実行するには、相応のリソースとコストが必要です。

私たちが提唱する「不正監査」は、従来型の監査の中に不正調査の要素技術を単に落とし込むだけではありません。不正に対するアプローチ全体について、根本から見直すことを提起したいと考えています。従来の「テーマ監査」のような建て付けがイメージしやすいと思いますが、不正に絞り込み、さらに仮説検証アプローチという具体的メソッドを導入することで、監査対象におけるリスクの高さ、影響度を体系的に判断できます。さらに、どこから手を付けるべきかの優先順位も理論的に決定でき、さらに深堀りの手順・手法も整理されているので、リソースの効率的な配分も可能にできます。不正監査の事例データを積み重ねていけば、将来的には「業種」「サプライチェーン」、管理職や経営陣といった「職層」などの分析軸を加え、マトリクス分析も可能になります。

不正監査はより低コストな予防策

――不正調査を「対症療法」とすれば、不正監査は「予防策」です。予防の方が低コストの場合が多いものの、企業や法人はなかなか踏み出せないのも実情です。

コロナ禍のため、内部監査もリモート対応を余儀なくされている中、監査の品質の維持に現場の方々は苦心し、工夫を凝らしています。私たちが提唱する不正監査は、往査前の計画段階において監査対象から情報を収集し、分析・評価する方法ですから、リモート環境とも親和性があると考えています。企業の経営環境はまだ厳しく、内部監査部門あるいは不正調査の担当部署なども厳しい状況に置かれていると察します。しかし、不正監査という「視点」「考え方」を共有していれば、ナレッジやリソースが不足している場合でも私たちのようなアドバイザーの起用でスムーズに効率的な不正対策が講じられます。私たちの提言が企業、特に効率的な不正リスク対応を模索している経営陣の意思決定の一助になれば幸いです。

FAポータル編集部にて再編