【会計コラム】リモートワーク下の不正対応

alt

1.リモートワークで不正は増えたか

公認不正検査士協会(ACFE)が「不正に対する新型コロナウィルスの影響 ベンチマークレポート(評価報告書)」という調査資料を発行しています。いま公表されているのは2020年12月発行と少し古い資料になりますが、大まかな傾向は読み取れます。

まず同レポートでは、2020年5月/8月/11月/その後12カ月の予想と不正全体の発生頻度をアンケート調査により定点観測しています。その結果、不正が「著しく増加」していると回答した人が、25%⇒34%⇒38%⇒44%とどんどん増えている状態です。

また不正の種類別に見ると、個人情報窃盗、保険受給不正、横領、財務諸表不正などが特に増えています。

個人情報窃盗はサイバー攻撃によるもののほか、リモ―トワークにより社員も個人情報窃盗をしやすくなっていることが考えられます。保険受給や横領は、コロナ禍で生活苦となることが不正の動機となりうるだけでなく、リモートワークにより目が行き届きにくくなっている影響も考えられます。財務諸表不正は、傾いた業績を粉飾で良く見せようという誘因があるほか、やはり目が行き届きにくくなっている影響もあるかもしれません。

なお当レポートの回答者は北米(米国、カナダ)が多く、日本とは異なる状況があるかもしれない点はご了解ください。

2.不正を防ぐには~社内不正~

不正に関しては「不正のトライアングル」という理論が有名です。これは、「機会」「動機」「正当化」の3つが揃ったときに不正が発生しやすくなるという考え方です。

「機会」とは不正をはたらくチャンスや環境があることで、例えばネットバンキングの決済権限を持っていることは横領の機会となります。

「動機」とは不正を行う誘因があることで、例えばお金に困っているとか、業績向上の強いプレッシャーを受けているといった状況が該当します。

「正当化」というのが少し難しいのですが、不正をやってもいいんだという自分の中の心の動きです。例えば「こんな安月給で深夜まで働かされているから残業時間のごまかしくらいは問題ないだろう」といった心理です。

リモートワークでは、特に対策を取らなければ社内における不正の「機会」は確実に増加します。物理的な窃盗を除けば「機会」が減ることはありませんし、周囲の目という抑止力が無くなるほか、業務を円滑に動かすためにアクセス権限も追加付与することが多いのが実態です。

このためリモートワークによる不正対策としては「機会」が増えすぎないようにすることが基本となります。必要以上のアクセス権限を付与しない(Need To Do、Need To Know)ことや、リモートでも可能なダブルチェックや職務分離等の内部統制を組み込む等の対応です。

しかしながら、「機会」を全て遮断するのは簡単ではありません。例えば社員による意図的な情報漏洩の対策としてアクセス権を制限するとしても、業務上アクセス権がないと業務ができない人もいます。そうした人にだけアクセス権を付与しつつデータはダウンロードできない設定としても、スクリーンショットを取られれば対応できません。スクリーンショットを取る操作をログで監視したとしても個人のスマホで画面の写真を取られるのは防げません。

「機会」「動機」「正当化」のうち1つでもつぶしておけば不正は防げる可能性が高いのですが、残念ながら「機会」を全てつぶすことはほぼ不可能であり、特にリモートワークではその傾向が強まっています。従って、残る「動機」「正当化」をいかに減らすかも考えなければいけません。

なお、不正の「動機」や「正当化」の原因を経営者自らが与えてしまうこともあります。典型的なのが業績達成プレッシャーによる粉飾決算です。これもひどくなると、従業員や役員がプレッシャーに負け自己資金で売上を「作って」いるケースすらあります(最近の例ではグレイステクノロジー株式会社、以前の例では株式会社みんなのウェディングなど)。リモートワークかどうかに関係なく、不正だけはいけないというトップメッセージが重要なことは言うまでもありません。

3.過剰統制に陥らないためには

内部統制や不正対応を行っていると、どこまでやるかが常に問題となります。

水も漏らさぬ体制では業務が回らず、業務優先にしすぎると不正が起きるというジレンマです。

きちんとした統計は見たことがありませんが、様々な事例を見てきた経験からは、「機会」を遮断するだけでは不正は無くならないというのが実感です。上述の通り「機会」を全て遮断することは困難ですし、そもそも遮断すべき「機会」は無数にあります。これに対し不正の実行者は1つの「機会」をモノにすれば不正が実行できます。このため「機会」だけで勝負するのは会社側にとってはかなり分が悪い戦いです。

ある程度までは「機会」を絞る対策が必要ではありますが、不正対策は総力戦です。つまり、教育やトップメッセージ、意識調査・改善といったソフト対応、通報制度や目安箱などの不満をキャッチする仕組み、内部監査による牽制機能などの組み合わせです。「動機」「正当化」は個人の問題のため会社としてできることは限りがあるものの、少なくともできることをコツコツと積み上げないと非常にリスキーというのがコロナ下での不正事情ではないかと思われます。

不正対応というとダブルチェックや承認など、分かりやすく上席者にも説明しやすい統制に目が行きがちです。しかしながら、それだけで対策を立てるとバランスも効率も悪くなります。特にリモートワーク下の不正対策は、「機会」を遮断するだけでなく、広く全体を見て施策を組み合わせることを意識したいものです。

文:三木 孝則(ビズサプリCEO 公認会計士)
株式会社ビズサプリ メルマガバックナンバー(vol.148 2022.2.9 )より転載

三木 孝則

株式会社ビズサプリ CEO 公認会計士
学歴:1998年 東京大学経済学部経営学科卒業
職歴:1997年10月より青山監査法人に5年勤務。多様な業種(製造業、サービス業、ホテル業、保険業等)における財務諸表監査(日本基準、米国基準、IAS(現IFRS)等)を経験する。
その他、システム監査やデューデリジェンスにも従事。 その後、2003年1月から監査法人トーマツに転職し、エンタープライズリスクサービス部にて7年9カ月勤務。国内外の企業の内部監査や内部統制の導入コンサルティングやコソーシング、リスクマネジメント、システムに関わる業務改善等に主任として従事。また、一連のテーマに関する社内外のセミナー講師や機関紙の執筆等に関わる。専門家としてのコンサルテーションのみならず、複雑な環境下でのプロジェクトマネジメントや改善策の導入支援に強みを持つ。
2010年10月より独立し、株式会社ビズサプリを設立。IFRS導入支援やIPO支援等のコンサルティングを展開しつつ、現在に至る。
資格:公認会計士、公認内部監査人(CIA)、公認情報システム監査人(CISA)、TOEIC900点
著書:•統制環境読本(翔泳社)•IFRS決算書分析術(阪急コミュニケーションズ)•ビジネスモデル分析術(阪急コミュニケーションズ)


NEXT STORY

内部統制のDX(デジタルトランスフォーメーション)

内部統制のDX(デジタルトランスフォーメーション)

2021/11/10

業務がデジタル化すると、内部統制や監査もデジタル化が必要です。日本公認会計士協会は2021年7月に内部統制のDX化について考察した「リモートワークに伴う業務プロセス・内部統制の変化への対応(提言)」を公表しました。