内部統制の弱さと長期にわたる不正行為：原因、リスク、そして解決策

ホーム » 箱 » 内部統制の弱さと長期にわたる不正行為：原因、リスク、そして解決策

多くの組織において、長期的な不正行為は大きなスキャンダルから始まるのではなく、内部統制システムの小さな欠陥が放置されたまま放置されることから始まる。 内部統制の弱さ、信頼関係の誤解、そして監督の甘さが組み合わさった結果 それは、資産の不正流用やその他の不正行為が何年も隠蔽され続けるための絶好の温床となる。

多国籍大企業に限った問題ではなく、 中小企業やあらゆる種類の組織も、設計が不十分であったり、適用が不適切であったりする内部統制の悪影響を受ける。経済的損失、内部対立、規制当局による制裁、そして深刻な評判の失墜。長年にわたる不正行為を根絶するには、統制がどこで機能不全に陥っているのか、なぜ機能が低下するのか、そしてどのように強化すればよいのかを理解することが不可欠です。

内部統制の弱さと長期にわたる不正行為：両者の関連性

主要な専門家団体は、この関係を徹底的に分析しています。たとえば、AICPAとCIMAは、 従業員による横領とは、資源へのアクセス権を持つ者が、意図的かつ継続的に資源を不正使用することを組織的に行う行為を指します。 個人的な利益を得るために資金や資産を不正に流用すること。これは単純なミスではなく、内部統制の構造的な弱点を利用した意図的な行為である。

最も一般的な横領の形態には、 現金の横領、不正な在庫管理、経費の操作、架空の仕入先の創設、または会計記録の改ざんを含む計画これらの事例すべてにおいて、同じパターンが繰り返される傾向がある。つまり、誰かが均衡を保つことなく、あまりにも多くの重要な役割を担い、真の監督の欠如につけ込むのである。

ACFEなどの職業上の不正行為に関する研究によると、 事例の半数以上は、規制の欠如、あるいは規制が容易に回避または無効化されることに起因している。KPMGフォレンジックは、世界中で調査された不正事件の約60％において、内部統制の不備が主要因であったと結論付けており、ヨーロッパではその割合はさらに高い。

詐欺が長期間続く場合、 内部統制の悪化は徐々に進行してきた。小さな例外が容認され、「急いでいる」ためにレビューが省略され、特定の人物に対する過剰な信頼が生じた。制御システムは突然崩壊することは稀で、徐々に機能しなくなり、最終的にはその役割を果たさなくなる。

この弱体化は、よく知られている詐欺のトライアングルとも深く関係している。 プレッシャー、機会、そして正当化内部統制は機会を捉えて機能する。統制の設計と規律が不正行為の隠蔽を極めて困難にすれば、多くの不正行為はそもそも実行に移されない。

内部統制は生きたシステムであり、死文ではない。

COSOフレームワークによれば、内部統制とは 業務、情報、およびコンプライアンス目標の達成に関して合理的な保証を提供することを目的としたプロセスこれは引き出しにしまっておくマニュアルでも、単なるソフトウェアプログラムでもなく、予防、検出、是正、検証といった一連の動的な活動である。

予防措置の目的は 職務分掌、権限制限、アクセス制御などにより、不正行為の発生を防止する。不正行為が既に発生した場合に、調査対策が講じられる。例外分析、照合、独立したレビュー、または継続的な監視によって、不正を迅速に検出することが可能になる。

そこから、是正措置は 損害を修復し、溝を埋め、行為を罰する裏付けとなる措置は、追加の確認や検証を通じて情報の信頼性を強化するが、これらの要素はすべて連携して機能し、ビジネス、規制、または技術が変更された際には更新されなければならない。

問題は、実際には多くの企業が内部統制を静的なものとして扱っていることである。 一度設計され、文書化され、その後はほとんど見直されない。時が経つにつれ、近道が生まれ、土壇場での予期せぬ事態、人員削減、特定の重要人物への過度な依存などが蔓延する。こうした傾向は、ますます巧妙化する不正行為が入り込む抜け穴を生み出す。

さらに、優れたデザインであっても、 内部統制の真の有効性は、倫理的な企業文化と経営陣が示す模範に左右される。責任者が都合の悪い時に管理機能を無効にしたり、目標達成のために「軽微な不正行為」を容認したりすれば、組織の他のメンバーが受け取るメッセージは、あらゆる管理システムにとって壊滅的なものとなる。

内部統制を弱体化させ、不正行為を助長する要因

現実世界における長期にわたる不正行為の事例からは、いくつかの共通するパターンが明らかになっている。内部統制を弱体化させる最も一般的な要因の中には、一夜にして現れるものではなく、組織の日常業務に徐々に根付いていく要素がいくつか存在する。

最も危険なものの1つは 長年の経験を持つスタッフへの過度の信頼長年勤めていて、すべてのプロセスを熟知し、その専門知識に疑いの余地のない従業員が、知らず知らずのうちに単一障害点になってしまうことがある。ベテランだからといって、不適切な業務を任せたり、重要な評価対象から除外したりすべきではない。

彼らは大きな影響力を持っています 締め切りや厳しい目標達成へのプレッシャー、リスク管理と整合性の取れていないインセンティブ「何とかやりくりする」ことや納期を守ることだけが重要視される状況では、管理体制が緩み、検証を省略し、いい加減な説明を受け入れてしまう傾向がある。このような環境は、不正行為が業務上の緊急事態を装うのにうってつけの場所となる。

監督不行き届きもまた、典型的な例である。 短期的なことにばかり気を取られる中間管理職、十分な質問をしない取締役会、形だけの監査委員会、あるいは単なる形式的なものになってしまった監査。真の監視がなければ、規制は効果的な障壁ではなく、単なるチェックリストになってしまう。

忘れてはいけないのは、 経営陣による統制の取り消しまたは回避いわゆる「管理上の介入」は依然として重要な要素である。模範を示すべき人物が、痕跡を残さずに例外を強制的に適用する場合、システムは正当性を欠き、埋めるのが難しい欠陥が生じる。

最後に、過度に複雑で手作業の多いプロセスが数多く存在し、トレーサビリティがほとんど確保されていないという問題がある。 複雑さが増し、標準化が不十分であればあるほど、情報を隠蔽したり、操作したり、遅延させたりすることが容易になる。また、内部監査部門がすべてを詳細に調査するには、より多くの費用がかかる。

会計、給与計算、購買における典型的な弱点

経理、給与計算、購買部門は、金銭、機密データ、第三者との関係を扱うため、内部不正のリスクの大部分を担っている。 これらの地域では、アクセス、許可、隔離の欠如といった問題が複合的に発生している。 それは、重大な不正行為の温床となる可能性がある。

会計における典型的な弱点は、 同一人物が仕訳の記録、マスターデータの変更、銀行口座の照合を行うことができる。さらに、手動で入力されたデータが厳格な独立した審査を受けていない場合、収入、支出、または残高を操作して不正を隠蔽することは比較的容易である。

給与計算では、いわゆる「幽霊社員」からリスクまで、 二重払い、水増しされた残業代、または不当な給与概念の変更給与計算システムに厳格なアクセス制御が欠けていたり、データベースが人事部門と定期的に照合されていなかったりすると、不正行為の可能性が高まります。

購買分野には、別の重大なリスク群が集中している。 架空の供給業者、価格をつり上げるための第三者との共謀、存在しない商品の受領、または 提供されていないサービスに対する支払い依頼者、承認者、支払者が同一人物である場合、あるいは関係者の輪が小さすぎる場合、その設計はすでに問題を招いていると言える。

これらのケースすべてにおいて、職務分掌の欠如、適切なアクセス制御の欠如、および 承認および認可に関する文書化の不備 これらは、何年も発覚しないまま放置される詐欺事件に共通する要因である。

内部統制における弱点とは何か、また欠陥とは何か。

混同されがちな2つの概念を明確に区別することが重要です。 内部統制の弱点および内部統制の不備弱点とは、制御システムの設計における欠陥または不備であり、組織を誤り、不正、非効率性、または法令違反に対して脆弱にするものである。

その弱点が具体的な問題として現れると、 これは、不正行為を適時に防止、発見、または是正することを妨げる。ここで問題にしているのは、内部統制の不備です。つまり、この不備とは、統制が適切に設計されていない、あるいは本来あるべきように機能していないという、具体的な現れを指します。

栄養不足は通常、次の3つの主要なグループに分類されます。 設計上の欠陥、運用上の欠陥、および法令遵守上の欠陥最初のケースは、設計された制御システムが目的を達成できない場合に発生します（例えば、明らかに重要なプロセスにおいて機能を分離していない場合など）。

制御が適切に設計されていても運用上の欠陥は発生するが、 正しく、一貫して、または完全に適用されていないこれには、審査なしに付与された承認、遅れて行われた、または不完全な照合、あるいは適切に保管されていない文書などが含まれます。

最後に、コンプライアンス上の不備は次のような場合に発生します。 当該組織は、遵守すべき法律、規則、または内部方針を尊重していない。制裁、罰金、そして深刻な評判の失墜といったリスクにさらされることになる。このような失敗は、規制の厳しい環境下や上場企業においては特に深刻な問題となる。

SOX法と重大な欠陥への対処

サーベンス・オクスリー法の適用を受ける企業においては、第404条が財務報告に係る内部統制に関する特定の規律を定めている。 いわゆるSOX統制とは、財務諸表の信頼性を確保するために不可欠であると特定された統制のことである。 そして、より厳格な基準が求められる。

これらの主要な管理策のいずれかに逸脱が見られる場合、それは SOX統制上の不備は、重大な不備または重大な弱点へとエスカレートする可能性がある。その違いは単なる学術的なものではなく、問題が投資家や市場に明らかになるかどうかを左右する。

重大な欠陥は関連する問題を反映していますが、監査人の判断では、 財務情報に深刻な影響を与えることなく修正可能です。迅速な対応と是正計画が求められるものの、外部監査人の意見書には記載されない場合もある。

一方、材料の弱点とは、 財務諸表に重大な虚偽表示が生じる可能性が合理的に考えられるほど深刻な欠陥このような場合、監査人は報告書の中でその旨を明示的に記載しなければならず、その結果として評判、資本コスト、市場の信頼に影響が生じる。

重大な欠陥の典型的な例としては、収益認識に対する適切な統制がないことなどが挙げられる。 レビューなしの手動入力への過度の依存、または金融システムへの特権アクセスに対する効果的な監視の欠如このような環境では、欠陥が迅速に対処されない場合、長期にわたる不正行為が特に蔓延しやすい状況となる。

内部監査と不正評価の役割

時々混同されるが、内部監査はそれ自体が統制ではなく、 コントロールの設計と運用をレビュー、評価、改善する独立した機能彼らの役割は、新たな脆弱性を検知し、それが大規模な不正行為に発展する前に改善策を提案する上で極めて重要である。

彼らの責任には以下が含まれる。 既存の管理体制の有効性を評価し、重要領域を監視し、倫理とコンプライアンスの文化を促進する。さらに、彼らは通常、特定の不正リスク評価を主導または調整し、その中で最もリスクの高いプロセスを特定し、対策の優先順位を決定します。

これらの評価には、ますます多分野の専門家チームが関与するようになっている。 財務、人事、テクノロジー、コンプライアンス、法務、ビジネス目標は、技術の集中的な利用や第三者との複雑な関係から生じるリスクを含め、あらゆるリスクを包括的に把握することである。

これらの分析結果は、具体的な計画に落とし込むべきである。 職務分掌の強化、承認レベルの再定義、データ駆動型モニタリングの導入、または内部報告チャネルの改善そうした行動への迅速な対応がなければ、リスク報告書は無意味なものとなる。

さらに、勧告事項を実施するためには、内部監査部門、経営陣、および取締役会間の連携が不可欠である。 上層部からの支援がなければ、内部統制の改善はしばしば不十分なものとなる。数年後に同じ問題が再発する余地を残してしまうことになる。

中小企業における内部不正：目に見えないが、非常に深刻な問題

中小企業はしばしば、爆発的な組み合わせとなる。 高い個人的信頼、限られた資源、非公式なプロセスつまり、個人による不正行為の件数は大企業に比べて少ないかもしれないが、その相対的な影響は壊滅的であるということだ。

中小企業の内部不正は、大規模な横領に限ったものではなく、以下のようなものも含まれます。 小規模で継続的な不正流用、資産の私的使用、スケジュールや請求書の改ざん、サプライヤーや顧客との非公式な合意徹底的かつ体系的な見直しが行われなければ、こうした慣行は何年も続く可能性がある。

多くの中小企業にとって、内部統制は贅沢品あるいは官僚主義と見なされている。しかし、 基本的でありながらよく設計された、方針、手順、およびレビューのシステム それは、不正行為に気づくのが遅れるか、あるいは不正行為を未然に防ぐことができるかの分かれ目となる。

小規模な組織であっても、 主要業務の分離、金額による承認管理、定期的な照合、および最低限の文書追跡可能性大規模な組織体制を構築する必要はありません。事業規模と複雑さに合わせて、優れた実践方法を適用するだけで十分です。

範囲が限定的であっても、外部の助言や定期的な監査を受けることは、 習慣や過信によって内部から見過ごされがちな盲点を検出する長期的に見れば、長期にわたる詐欺による損失を被るよりも、通常ははるかに安価な投資となる。

不正行為のリスクを高める主要な管理上の弱点

実際の事例や専門文献を検討すると、繰り返し見られる弱点がいくつか浮かび上がってくるので、それらを常に念頭に置いておく必要がある。これらの弱点を特定し、修正することで、組織内での継続的な不正行為の可能性を大幅に低減できる。

まず第一に、 重要なプロセスにおける職務分掌の欠如一人の人間に取引の開始、承認、記録、照合をすべて任せることは、特に現金、支払い、購入、新規ベンダー登録などを扱う場合、不正行為を招くようなものだ。

また、よくあるのは 物理的および論理的なアクセス制御が不十分であるシステム上で過剰な権限を持つ従業員、共有アクセス、元従業員のアカウントが依然としてアクティブになっていること、あるいは制限のない機密ファイルなどは、適切に閉じられていない扉の明確な例である。

適切な監督のない手作業プロセスも、もう一つの大きな焦点となっている。 電子メールによる非公式な承認、管理されていないスプレッドシート、独立したレビューのない手書きの照合プロセスが構造化されておらず、手作業が多いほど、明確な痕跡を残さずに操作される可能性が高くなる。

不正行為や倫理に関する研修や意識の欠如は、多くの従業員が 彼らは警告の兆候を認識できなかったり、懸念事項を報告する方法を知らなかったり、実際には深刻な行動を軽視したりする。明確な企業文化がなければ、内部統制は脆弱になる。

最後に、上級管理職や統治機関による監督が不十分、あるいは全く行われていない状況は、不正行為を助長する環境を生み出す。 報告書が批判的に検討されず、例外が疑問視されず、確固たる説明が求められなければ反対がなければ、不正行為は拡大する余地が大きくなる。

長期的な不正行為に対する内部統制を強化する方法

内部統制の強化には、単にルールを追加するだけではなく、 リスクに見合った、一貫性のあるシステムを設計し、それが実際に日常業務に適用される。いくつかの対策は、内部不正の発生率と期間を減少させる上で特に効果的であることが証明されている。

それらのXNUMXつは 定期的な不正リスク評価これらの評価により、より機密性の高いプロセス、権限が集中している箇所、裁量権の大きい領域、またはインシデント履歴を特定することができます。リスクは事業の発展とともに変化するため、これらの評価は定期的に更新する必要があります。

もう一つの重要な点は、責任の適切な分担です。 誰もが何でもできる必要はないし、一人の人間が複数の重要な役割を担うのは健全ではない。依頼者、承認者、実行者、調整者を分離することで、不正行為の機会を大幅に減らすことができる。

また、確立することも推奨されます 例外を承認および監視するための正式な手順例外は避けられないが、管理から逃れることはできない。例外は十分に文書化され、正当化され、適切なレベルで承認され、事後にレビューされなければならない。

独立した調査および対応メカニズムは、さらに別の層を加える。 機密性の高い通報経路、調査準備が整ったチーム、そして明確な対応手順。こうしたツールがなければ、警告の兆候は恐怖や不信感によってかき消されてしまう可能性がある。

最後に、技術は統制強化においてますます決定的な役割を果たすようになっている。 重要なプロセスの継続的な監視、高度な分析、および自動化のためのソリューション これらにより、人的要因に過度に依存することなく、リアルタイムで異常を検知し、均一な方法で制御を適用することが可能となる。

テクノロジー：詐欺師の武器から内部統制の味方へ

KPMGの調査によると、 詐欺師たちはテクノロジーの利用において、より巧妙になっている。多くの企業は依然としてその防御ツールとしての潜在能力を十分に活用できていないが、分析された不正行為のうち、高度なデータ分析技術を用いて検出されたのはごく一部に過ぎない。

第一の技術的防衛線は リアルタイム本人確認 従業員、サプライヤー、および関連する第三者のセキュリティを確保します。堅牢な認証システム、文書検証、および高度な管理体制により、組織内でのなりすましや架空の組織の作成のリスクを低減します。

データ分析と継続的なモニタリングにより、単発的なレビューから恒久的な監視モデルへと移行することが可能になります。 外れ値は、ルール、統計モデル、機械学習を用いて特定することができる。例えば、通常とは異なる時間帯の取引、同一人物による繰り返しの承認、あるいは明確な理由もなくマスターデータが変更されるといったケース。

重要なプロセスの自動化は、トレーサビリティと標準化を実現する。 承認ワークフロー、照合、または検証をデジタル化することで、人的ミスを減らし、詳細な記録を作成できます。 誰が、いつ、どのような権限に基づいて何をしたのか。これにより監査が容易になり、恣意的な操作が困難になる。

人工知能と機械学習は、このアプローチをさらに一歩進めたものである。 これらは大量の情報を処理し、アクセス、トランザクション、行動の変化間の微妙な関係性を検出する能力を備えている。 人間のチームでは見落としてしまうようなことだ。

最後に、信頼性の高い内部および外部データベースとの統合は、 決定は、検証済みかつ最新の情報に基づいて行われます。これにより、データの改ざん、リスクの高いプロバイダー、あるいは不透明な取引相手との取引が見過ごされる可能性が低減されます。

文化、倫理、そして第三者管理の重要性

内部制御の技術的設計がどれほど優れていても、 誠実さを重んじる文化と献身的なリーダーシップがなければ、不正行為は抜け穴を見つけ続けるだろう。経営陣のコンプライアンス、透明性、説明責任に対する姿勢は、組織全体の雰囲気を決定づける。

現実には、内部不正の多くは、何かを疑っている人々の沈黙のおかげで継続しているが、 彼らには虐待を報告するための安全な手段がなく、声を上げれば報復されることを恐れている。機密性を確保し、適切に管理された報告メカニズムを確立することは、不正行為を初期段階で発見するための最も効果的な手段の一つである。

第三者を見過ごしてはならない。KPMGが調査した事例の半数以上で、 サプライヤー、代理店、販売業者、またはその他の外部パートナーが詐欺計画に関与していた。したがって、内向きに考えるだけでは不十分であり、バリューチェーンに加わる人々や彼らのニーズを徹底的に理解する必要がある。 信託機能.

堅牢な第三者選定および監視プロセス、以下を含む 身元調査、評判リスク分析、および定期的なレビューこれらは、不正行為や内部不正における秘密裏の共謀に巻き込まれるリスクを大幅に軽減する。

最後に、KPMGの調査で示された企業不正者の典型的なプロファイルは、管理の焦点をより明確にするのに役立ちます。 年齢が36歳から55歳、内部統制を覆す権限を持つ従業員、勤続年数が長い、会社からの評価が高い、明確な経済的動機があるこうした特性を認識することは、すべての人を信用しないという意味ではなく、むしろ監督活動の対象をより効果的に絞り込むことを可能にする。

全体として見ると、長期にわたる詐欺は少数の悪意によってのみ維持されているのではなく、 内部統制システムの弱さ、寛容な企業文化、そしてテクノロジーの活用不足職務分掌を強化し、監督業務を専門化し、データ分析に投資し、強固な企業倫理を醸成することで、組織は長年にわたり陰で活動しようとする根気強い詐欺師にとって、はるかに魅力のない環境となる。