EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
「改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第1回:会計不正の傾向と求められる不正リスク対応」でも取り上げられているように、「直近5年間における会計不正の傾向」を見る限り、内部統制が整備されているはずの上場企業において思いのほか多くの不正が報告されています。これは、やはり、企業が内部統制を構築する際に適切な不正リスク評価ができておらず、不正リスクを想定した内部統制が構築できていなかったからではないでしょうか。その事例として、以下のようなことが見受けられます。
これらの事例への対応はそれほど容易ではなく、「分かってはいるけれど難しい」ということばかりと思われます。
今回、このような課題にデータ分析をどのように活用していくのか、というテーマで話しを進めるために、以下のような具体的な不正事例を用意しました。
この不正事例を題材にして、以下で具体的に解説したいと思います。
不正リスクへの取り組みとして、まずは以下の図のような「不正リスク評価プロセス」を参考に不正リスク低減策の検討を行うことが考えられます。つまり、どのような不正リスクについて検討するのかを明確にした上で、そのフォーカスした不正リスクに対応する既存の内部統制を識別し、その有効性を評価します。
その結果、受容できない残存リスクには、例えば既存の統制活動の強化、統制活動の追加といった対応、並びにデータ解析の検討を行うこととなりますが、効率性や網羅性という観点から、ITの活用、すなわちデータ分析を導入することが有効です。
※1 出典:COSO・ACFE(八田進二・神林比洋雄・橋本尚監訳、日本内部統制研究学会・不正リスク研究会訳)『決定版COSO 不正リスク管理ガイド』(日本公認会計士協会出版局、2017年) P.23
※2 不正リスク管理の原則2の不正リスク評価は、当該不正リスク評価プロセスとなる
不正リスク評価の一環として不正リスクシナリオに基づくデータ分析を行うことで、残存リスクを把握することができます。その際、データ分析の結果として既存業務プロセスにおける異常性を発見することもあります。例えば、すでに廃止されたはずの手続きをまだ実施している担当者がいたり、存在しないはずの例外的な取引が実在したり、全く異なる取引にもかかわらず入力内容のほとんどがコピー&ペーストにより同一であったりなど、思いもよらない事実を見つけることがあります。これは、データ分析を行う際には、利用するデータがどのように生成されたものか、ITシステムや業務プロセス、さらにはどのようなビジネス行為の結果がデータとなっているのかなどを理解することが必要となるため、正しくデータ分析を導入する際の過程においては各種の気付きが多くあることに起因します。
このようにデータ分析の導入に伴い、業務プロセスにおける不正リスクへの対応策を検討する場合、以下のようなステップで進めます。
まず、企業ごとに重点的に対応すべき特定の不正リスクへフォーカスします。以降、前述の不正事例「検収確認書を偽造して架空の売上が計上される」というリスクについてフォーカスします。これは役務提供を行っている企業でよくみられる典型的な不正リスクです。
不正リスクに対応する既存の内部統制を識別します。内部統制だけではなく、周辺の業務プロセス、分析対象となり得る各種データ、ITシステムについても整理、理解しておくことがポイントとなります。その際、単に業務文書や書面を読み解いていくのではなく、実際の業務担当者からのヒアリングや現場視察などを行って整理・理解していくことをお勧めします。不正は例外的な処理の中で行われることが多く、文書化された手順には表れてこなかったり読み取れなかったりすることがあるからです。前述の不正事例の場合、以下のような情報が得られるかもしれません。
ステップ2で識別した既存の内部統制の有効性を評価し、カバーできない残存リスクを検討します。その際、「不正には隠蔽や改ざんを伴う」ということを前提に評価することがポイントです。前述の事例で考えると、
ということが考えられます。すなわち、この場合の残存リスクとして、次のような不正リスクシナリオを導くことが可能となります。
「営業担当が売上プレッシャーのために検収確認書を改ざん・偽造して架空の売上を計上するとともに、発生した売上債権は滞留する前に消込が行われるように入金消込資料を偽造し、別の売上入金を付替えて不正を隠蔽する。これを継続的に繰り返すことで発覚を逃れる。」
ステップ3で整理した不正リスクシナリオに基づき、既存の統制活動の見直しや強化、新規統制活動の導入などを行うことで、残存リスクに対応することができないかを検討します。その際、不正リスクシナリオに関連するITシステムのデータを解析することで新たな発見的統制を追加できないかという観点についても検討します。
ここでは実現可能性はさておき、まずはどのような対応が可能かを検討します。例えば、以下のような対応策が考えられるでしょう。
① 売上債権の発生状況を定期的に確認し、滞留額が増加傾向である、常に期日ギリギリの回収となっている、などの兆候を示すデータの詳細モニタリング(データ分析)を実施する(「不正の機会」の低減)
② 検収確認書の様式を統一し、顧客の社印が押された原本を経理部門に提出する(偽造防止)
③ 顧客から検収確認を電子メールで受領することとし、そのメールの宛先に経理部門を含めるようにする(偽造防止)
④ 顧客からの入金情報の摘要欄などに請求書番号を入力してもらい、経理部門で入金消込ができるようにする(入金に対応する売上債権の実在性確保)
⑤ 営業部門の上席者が、営業担当者の作成した入金消込資料についてその内容の妥当性を確認した上で、経理部門に提出する(入金消込時の付替え防止)
通常、データ分析の導入を検討している企業では、①のみを採用しようとすることが多いですが、②から⑤の対応策の導入も、不正リスク低減のために有効です。
さらに先ほど検討した対応策について、実現可能か、効果はどうか、というレベル感での落とし込みを行います。特に、統制活動を強化することで発生する「ビジネスのスピード低下」「手続きの煩雑化」などトレードオフ要素に対して、現場の抵抗感や拒否感についても考慮し、実現可能な対応策を決定することがポイントです。
前述の例で考えると、以下のように、実現が難しい、または効果が不十分であると判断したり、こうすれば実現できるのではないか、と結論づけたりといった検討を行います。
DX化を進める企業は、データ分析を導入すること自体に力を入れてしまいがちですが、発見的統制としてこれを導入する本来の目的は、不正リスクを低減させることにあります。すなわち、データ分析はあくまでその手段にすぎないため、本来の目的を見失わないことが重要です。
不正リスク低減についてステップを踏みながら整理し検討することで、その検討過程で得られる知見を活かした発見的統制の構築を含む内部統制の強化や既存プロセスの改善などを実現することができ、単なるデータ分析の導入にとどまらない費用対効果が高い取り組みとなります。
EY Forensicsは、ビッグ4で唯一、監査法人に所属しており、監査人としての視点を生かして、内部統制基準の改訂に伴う不正リスク評価及び対応支援を行っています。実際の不正事案に基づく豊富な知見と実務経験を有し、また、内部統制監査の経験を有する公認会計士・公認不正検査士・当局出身者・ITのプロフェッショナル等が連携し、内部統制の現状評価から改善策の実行支援まで一貫したスピーディーで柔軟なサポートの提供が可能です。
乾 可矢子/Kayako Inui
EY Japan Forensic & Integrity Services シニアマネージャー
改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第1回:会計不正の傾向と求められる不正リスク対応
2024年4月1日以後開始事業年度から改訂後の内部統制報告制度が適用となりました。改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。
内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応
15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。
デジタル化・コロナでより巧妙に 会計不正にどう立ち向かうか 内部統制基準改訂で見直す不正リスク対応
内部統制基準が改訂され、不正リスクの考慮や経営者等による無効化への対応、評価範囲の見直しが求められることとなりました。
関連イベント・セミナー
内部統制基準改訂に係る実務 ~不正リスクや経営者等による内部統制無効化リスクへの対応~
【EY Japan】内部統制基準の改訂で不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応の必要性が明確化されました。本セミナーでは、企業が実務対応を進める上で想定される課題やそれらに対する具体的なソリューションを紹介します。
【EY・TMI共催】「あなたの会社は、不正リスクに本気で向き合っていますか?」-不正・不祥事に対するリスク管理体制の実態とその解決策-
近年の不正・不祥事の動向を見ると、会計不正のみならず品質不正や情報漏えいの件数も増加しており、企業の経営上の問題(業務停止や決算遅延など)に発展したケースもあります。また、EYグローバルインテグリティレポートによれば、経営者に対する従業員の信頼が薄れているとの傾向が見られます。このような状況下で、いかに不正・不祥事リスクに適切に対応し、インテグリティに対する経営者の本気度を示すかは、従業員をはじめ多くのステークホルダーにとって重要であると考えます。 以上の問題意識から、本ウェビナーでは、企業の不正・不祥事に対するリスク管理体制の実態や体制強化のポイントについて、実務的な視点も踏まえ議論します。
EYの関連サービス
2023年4月、15年ぶりに内部統制基準が改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、これに伴う内部統制の基本的枠組みの変更により、不正リスクや経営者等による内部統制の無効化リスクへの対応も考慮することが必要となりました。
続きを読むEYが提供する「連結会計クイックアナリティクス」は、本社で取得可能な連結会計システムのデータに対して、EYの会計監査・不正対策等の知見に基づく分析を行うことで、短期間で子会社の財務数値の異常な傾向の有無を検出し、内部統制制度の見直しに合わせた子会社リスク評価をご支援します。
続きを読む発見的統制としてデータ分析を導入する本来の目的は不正リスクを低減させることにあり、その目的を見失わないことが重要です。データ分析の導入検討過程で、不正リスクの低減策についても整理し検討することで、内部統制の強化などを実現することができ、単なるデータ分析の導入にとどまらない費用対効果の高い取り組みとなります。