企業にとって不正を早い段階でとらえ未然に防ぐことは非常に重要です。取引でのコンプライアンス違反により自社イメージを損なうことは避けなければなりません。外部監査のみならず、内部監査の重要性は健全な経営を実現するうえで高く評価されます。内部監査部門の調査においてシステムを利用し膨大なデータを精査できたとしたら、それは人的資源が限られているような場合に役立つことでしょう。
本記事ではSAP社によるリスクマネジメント、不正検知ツールBusiness Integrity Screening (BIS) を紹介します。
Business Integrity Screening (BIS) とは
企業のガバナンス、リスクおよびコンプライアンスを支えるSAP GRCソリューションの一つであるBusiness Integrity Screening (BIS) は、企業内に潜む不正の兆候を検知する不正検出・管理のためのアプリケーションです。
エンタープライズシステムの大規模なトランザクションデータを監査およびリスクマネジメントの観点から精査し、不正取引や意図的に目立たなく操作された不正請求などの事案が隠れていないかをチェックするには、効率的に自動検出できる仕組みは有効です。BISアプリケーションは、複数の不正検知ルールを用いデータベース上のデータをスクリーニングすることで疑義照会が必要と判断されるデータを多面的に拾い上げていくことができます。
SAP HANAを基盤とするテクノロジー
BISアプリケーションの特徴の一つとして、SAP HANAデータベースを基盤とするテクノロジーを用いた大規模データに対する処理速度があげられます。インメモリデータベースであるSAP HANAの高速処理は、パフォーマンスの減退を招くことなく全件検索を可能にしました。このことは、対象データ量が大きいためにサンプリング抽出を選択せざるを得なかったスクリーニングも全件検索を検討することができることを意味します。
BISの不正検知
BISアプリケーションでは不正検出を行う際、不正検知のルールにもとづいてデータベースを見にいきます。組織のニーズに合うルール策定をするうえで、ユーザ独自のルール作成を可能にする柔軟なプラットフォームが用意されています。業務上の観点で自由な切り口から複数の検知ルールを作ることが可能です。そしてカリブレーションと呼ばれるシミュレーション機能で検知ルールを試行し、ユーザはその有効性やこれ以上は不正であると判断する閾値の適切な値を探ることができます。また不正検知はデータベースデータからその条件に合うものがないか自動で選別を行いますが、検知を定期処理として登録することで検知実施自体を自動的にトリガーすることも可能です。
不正の可能性がある検知結果であるリスクは、アラート(警告)という形でBISシステムに蓄積されていきます。リスクは設定にもとづいて数値化され、指定した閾値を超えたものがアラートとして保存されます。アラートでは対象の伝票番号や用いられた検知ルール、リスクスコアはどれくらいで閾値をどれほど超えているかなどを参照することができます。不正をチェックする担当者はアラートとして上がってきた対象を調査・確認し、最終的にこの疑義照会が本当に不正であったか、不正ではなかったかの判断を行います。ここでの調査としては、対象情報の部署へ依頼をする、関係者へヒアリングを実施するなどのアクティビティが想定されます。
蓄積されたアラートについては、地域や国といったジオグラフィック上の分布や、金額面からの分析レポートが用意されており経営における判断材料の候補としても利用することができるでしょう。
不正検知ルールには、SAP社による不正検知テンプレートも含まれており参考にすることもできます。テンプレートは調達、経費、出張旅費、そして保険業界用ソリューションなどで案件を管理するClaims Management (FS-CM)等、複数の業務分野での不正パターンを想定したものがあり、対象となるデータのSAPバージョン(SAP ERPあるいはS/4)に沿ったデータ構成のものに分かれています。その他、ブラックリストを用いマスタ情報を確認する取引先審査としての検知、疑わしいワードリストで伝票テキスト項目をスクリーニングする機能などもあります。
実際の不正検知ルールの例を紹介します。
経費の請求金額で差異が少額の他伝票を類似伝票として検知する
このルールは次のようなケースの検出に利用することができます。検出された結果の中で、ある特定の社員による伝票数および累積金額が突出しており、更に直近の日付に近づくにつれその数値が高くなっていた。経費を少額上乗せし請求していることが判明するとともに、この請求が慣例化しており頻度が増加していることが浮かびあがります。ワンタイム取引先への支払い伝票が閾値以上の回数または累積金額で転記されているものを検知する
こちらのルールでは次のようなケースの検出が可能です。短期的かつ低頻度の取引を想定している取引先へ想定以上の支払い回数が発生していた。それらの支払いは特定の銀行口座に繋がっていた。取引先マスタ更新の権限を持つユーザが銀行口座情報を操作し懇意にしている業者へ支払いが行われるよう設定、その業者から利益を得ていた。まとめ
BISアプリケーションはファイナンシャル部門のチェック作業を補強するとともに、監査部門のタスクを支援することができるでしょう。不正に紐づくシステム上のアクティビティはそれ単独では小さな額でも、蓄積されれば大きな金額になり見過ごすことのできない損失に繋がります。エンタープライズのファイナンシャルロスを防ぎ、不正検出により確保できた費用を、宣伝、営業等、企業の主要活動へ費やすことができるようになります。
BISアプリケーションでは更に発展したソリューションとして、蓄積された検知結果をAIの機械学習で分析し不正予測の精度を高めるとともに、不正に関連する要因を提示し検知ルール作成・精査をサポートしてくれる機能も用意されています。
不正事案の早期発見および予防的措置を取るためにご利用いただけるツールとなっています。導入をご検討のお客様はリアルテックジャパン株式会社までご連絡ください。
