不正検知を実現するSAPのGRCソリューション

 2021.09.28  リアルテックジャパン株式会社

多くの企業が懸念する不正取引の存在ですが、不正検知対策を行うことで、企業の健全な運営を促進し、より大きな業績向上が見込めます。そこで本記事では、不正検知を行うため企業が取るべき対策、またおすすめのソリューションについて詳しく解説します。

不正取引の放置が企業にとって大きなリスクとなる

企業が行う取引でとくに重要とされているのが売上高です。売上高は会社の業績を分析する数式にも使用され、売上高が大きいほど営業活動が安定していることを示し、会社の業績を示す財務諸表のなかでも売上高の数値が大きいほど、会社の業績がよいことがわかります。そのため、売上高を大きく見せるために、架空売上の計上、循環取引、売上計上時期の操作といった販売不正が行われるのです。

こうした不正が発覚した場合、企業全体に重大な問題が生じます。販売不正は、重要な売上高に関係するSOX(内部統制監査)の評価対象のひとつなので、販売不正が発生した原因や再発防止策の策定など、多額の費用をかけてさまざまな対応を行わなければなりません。
さらに不正が行われていた事実や内容が公表されれば、世間に悪い評判が広がる恐れもあります。不正を行った事実は企業の信用にも影響し、顧客離れや営業活動に多大な影響を及ぼします。大きな問題を引き起こす不正取引は、企業の内部統制を整えることにより、問題が生じる前の予防が可能です。

Data Sync Manager ホワイトペーパー
ビジネスプロセス管理(RunMyJobs️)

不正取引はなぜ抑制できないのか

不正取引が発生する背景には、内部統制の不足やリソース不足、統制の限界などが挙げられます。社内の整備や管理が行き届いていないと、不正取引が生じる原因になるといえるでしょう。続いては不正取引が抑制できない原因について解説します。

内部統制の不足

2006年にSOX法が日本で施行されてからは、企業内の内部統制(ガバナンス)強化が注目されています。ガバナンスを強化することで、不正取引などからのリスク回避を目指します。
内部統制とは、全従業員が事業活動において遵守すべき社内ルールや仕組みのことです。内部統制がしっかり行われていると企業の倫理観が高まり、財務の適正処理や不正防止、業務効率化などに役立つでしょう。

内部統制には「ITによる統制」と「業務による統制」があり、それぞれの統制を取ることで効率的に企業ガバナンスを行えます。ITによる統制には機密文書等へのアクセス制限の実施、不正発生前のアラート表示などがあり、会社の情報保全や従業員の不正行動防止に役立てられます。業務による統制とは、人為的な業務に対してルールを設け、不正を防ぐ統制を指します。セキュリティ担当者を設定し、外部メモリの使用禁止や私物パソコンの持ち込み禁止など、人の目により監視を行うことで、内部統制を行います。

リソース不足

内部統制の整備・社員への浸透を進めるためには、人的なリソースを内部統制関連の業務に割り当てる必要があります。企業が遵守すべき内部統制は、基本的には市場環境や働き方の変化が生じるたびに最適な内容に調整しなければなりません。ところが、会社の経営を行う上で、内部統制などの管理部門業務は営業利益を直接生み出すわけではないため、優先的に人員をまわせない企業が多くみられます。その結果、人材のリソース不足により対策も行き渡らず問題が生じてしまうケースが多いのです。

統制の限界

内部統制の限界とは、内部統制の仕組みを作れているにも関わらず、その内部統制の機能が実施されていないケースを指します。内部統制の限界は、担当者の不注意や管理不足、環境の変化、経営者の協力が得られないなどが原因で生じます。

統制を敷くだけではなく、実際に統制を機能させるところまで行わなければ、不正取引を抑制することはできません。不正取引を抑止するためには、社内ルールを会社全体で実行できるよう、その方針やプロセスまで作成することが重要です。また社内ルール遵守を徹底するよう全社員に働きかけるなど、統制の実効性を高める工夫も行いましょう。

不正検知のために企業が取るべき対策

企業の不正をいち早く検知するためには、企業内だけではなく外部リソースを活用したり、ITを活用したりと、しっかりとした対策を取り入れることが重要です。外部リソースやITを活用した場合には、どのようなメリットがあるのか、以下では活用したケースについて詳しく説明していきます。

外部リソースを活用した内部統制

企業の内部統制業務は、内部監査室によって行われます。内部監査室には、J-SOXの構築や評価方法がわからない、IT統制のできる人材がいないなどさまざまな課題があります。内部監査室は少人数の担当者で構成されている場合が多く、担当者一人ひとりの負担が大きくなりがちです。また、単調な作業が多いため、仕事への不満から離職者が多くなりやすいといった問題点も見られます。

内部監査室は、企業にとってはコストをおさえて効率的に業務を進めたい部署ですが、専門的な知識のある人材の採用はなかなか簡単ではありません。企業の経営が順調に進むにつれ、支店が増えたり売上が増加したりして、海外でのJ-SOX評価が必要になる場合もあるでしょう。

内部監査室の業務が増加して現状では対応が難しいとなった場合、外部リソースの活用も効果的です。内部統制報告制度が施行されてから、専門業者に各種評価などほとんどの業務を委託するケースや、専門知識が必要なIT統制に対してのみ評価業務を外部リソースに依頼するケース、企業の繁忙期だけ人材が不足するため、一定期間だけ業務委託を取り入れるケースなど、外部リソースの活用にもさまざまな方法があります。自社に適した活用方法で不足しているリソースをカバーするとよいでしょう。

ITを活用した不正検知ソリューション

人的リソースが不足しやすい内部監査室の業務をサポートするためには、ITを活用した不正検知ソリューションの導入がおすすめです。ERPの導入やビッグデータ・AIの活用で不正検知でき、不正の抑止に役立てられます。

ERPの導入

ERP(Enterprise Resource Planning)は、複数のアプリケーションを統合して相互連携を実現し、データベースの情報を一元的に管理できるようにするソリューションです。ERPを導入すると、1つの管理画面で財務会計、販売管理、生産管理、人事などの基幹業務を行うアプリケーションを統合して使用できます。ERPは基本的に業務効率向上を目的として開発されたソリューションですが、システム環境全体のアクセス権限を管理できるIT統制機能がある点や、社内すべての正しい財務情報を効率よく収集できる点などから、内部統制の強化や不正の防止に役立ちます。

ビッグデータ・AIを活用した不正検知

さまざまな種類から成り立ち、主に日々膨大な量が記録・使用されるデータをビッグデータといいます。ERPは各システムのデータを一元化して収集できることから、多くの製品にこのビッグデータやAIの仕組みを活用した不正検知機能が搭載されています。ERPのなかでもSAPはとくにビッグデータを活用した不正検知機能が充実しています。ビッグデータ・AIによる主な不正防止機能は「データ分析」です。

不正は企業の内部でデータ改ざんが行われて発生するケースもあります。不正を検知する機能には、データの通常パターンと不正パターンをAIが学習して不正を検知する機能や、従業員の操作ログを分析して不正パターンを発見する機能、あらかじめ不正パターンを登録しておき類似ケースを検知する機能などが挙げられます。

SAPでは不正取引を自動検知および防止するサービス「SAP Business Integrity Screening(BIS) 」を提供しています。SAP Business Integrity Screening(BIS)はSAPが提供するGRC(ガバナンス、リスク、コンプライアンス )対策のソリューションの一つです。主にリスク対応、国際取引管理、データ保護 、アクセスガバナンスなどの領域でサービスを展開しています。

リアルテックのGRCソリューションで不正検知を強化

リアルテックジャパンは、最新のSAP導入、運用技術を有し、SAP社の認定を受けています。SAP導入戦略に関するコンサルティングから、アップグレード、マイグレーションなどの技術支援、運用サポートなど、SAPのあらゆる使用方法に対してSAP社認定の技術と知識に基づいた最善の支援・対応が可能です。

主なサービスとしては、SAP社パッケージSAP GRC Access Control(AC)、SAP Identity Management(IdM)などがあります。複数のシステムに分かれているデータを一元化し、リスク分析(ユーザ、ロール)、不正検知、特権IDの管理などの機能で不正を抑止します。SAP社のクラウドサービス、サードパーティーサービスの統合、また、既存のIAM基盤のSAP統合や移行、機能の拡張までサポートしています。ID基盤の移行はとくにリスクを伴う作業ですが、リアルテックジャパンの高い技術力なら、問題なく移行を実現できるでしょう。

まとめ

企業のイメージダウンにもつながる不正取引は、事前に対策を講じて抑制することが必要です。不正取引抑制に必要な内部統制の整備不足、人的リソース不足などの問題が生じている場合には、ITを活用した不正検知の導入がおすすめです。リアルテックジャパンのGRCソリューションを導入すれば、問題の不正取引を事前に検知・抑制して企業のリスクに対して適切な対策が行えます。ぜひこの機会に検討してみてはいかがでしょうか。

CTA

RECENT POST「GRC」の最新記事


GRC

SAPをAzureに移行する方法とポイント

GRC

企業が求められるGRC&セキュリテイ

GRC

SAPデータ移行に必要な環境調査について

GRC

SAPが提供するGRC(ガバナンス・リスク・コンプライアンス)とは?

不正検知を実現するSAPのGRCソリューション