不正を早い段階で検知し、未然に防ぐことは、健全な企業経営を確立するうえで非常に重要です。例えば、取引上のコンプライアンス違反が発覚したとなれば、自社のイメージが大きく損なわれてしまうばかりか、損害賠償が発生したり、取引先や顧客が離れたりすることもあり、企業にとっては大きな損失となります。企業が健全な経営を実現するには外部監査はもちろん、内部監査も重要です。本記事では、内部監査で大きな力になるSAP社のリスクマネジメント・不正検知ツール「Business Integrity Screening(BIS)」を紹介します。
SAP GRC BIS(Business Integrity Screening)とは
企業のガバナンス、リスクおよびコンプライアンスを支えるSAP GRCソリューションのひとつである「Business Integrity Screening(BIS)」は、企業内に潜む不正の兆候を検知する不正検出・管理のためのアプリケーションです。
そもそもGRCとは?
GRCとは、企業経営における三つの重要な要素である、
- Governance:ガバナンス(企業統治)
- Risk management:リスク管理
- Compliance:コンプライアンス(法令遵守)
の頭文字をつなげた略語です。経営体制の統合的なリスクマネジメント手法を指す概念であり、この三要素を適切かつ一元的に管理することは、企業の成長および信頼獲得に不可欠です。GRCを適切に実現するため、企業ではITシステムを導入・運用するのが一般的になっており、SAP社もGRC ITシステムとして「SAP GRC BIS」を提供しています。
GRCについて詳しくは以下の関連記事をご覧ください。
SAP GRC BISについて
BIS(Business Integrity Screening)はSAP GRCソリューションのひとつです。取引先や顧客からの信頼を獲得するためには、企業内の潜在的な不正を排除する必要があります。しかし、企業の大規模情報システムで使用される大量のトランザクションデータを人手で監査・精査し、不正取引や不正請求などを検出するのは、あまりに非効率です。これらのデータを精査するには、自動検出システムが有効です。BISアプリケーションは、複数の不正検知ルールを用いてデータベース上のデータをスクリーニングし、疑わしく、照会が必要と思われるデータを抽出できます。
また、自動検出機能、不正取引条件の開発機能、調査履歴記録機能をはじめ、数多くの機能を搭載しており、企業内の潜在的な不正を排除し、企業・ビジネスにおけるインテグリティ(誠実さ)を維持するのに大きく貢献します。
BISの特徴:SAP HANA基盤のソリューション
BISアプリケーションは処理速度が高く、異常を検知するとリアルタイムで通知します。SAP GRC BISのこうした高速処理を実現しているのが、SAP HANAデータベースを基盤としたすぐれた大規模データ処理技術です。従来では大量のデータをスクリーニングする際、検知漏れを回避するためにサンプリング抽出の手法を取らざるを得ませんでしたが、SAP HANAは処理能力が高いため、全件を検索したうえで、異常を検知します。
BISができること:不正検知
BISは、不正の検知を検知ルールの作成、不正アラートの蓄積、アラートの分析によって実現しています。
不正検知ルールの作成
BISアプリケーションでは、不正検知のルールが格納されたデータベースを参照することで不正を検知します。BISアプリケーションには柔軟なプラットフォームが用意され、導入したそれぞれの組織のニーズに最適なルールを作成できるようになっています。業務上必要であれば、複数の検知ルールを作成して適用することも可能です。
作成した検知ルールはシミュレーションを行い、どこからを不正と判定するかの閾値を設定しますが、実際に運用を開始したあともキャリブレーション(較正・調整)しながら判定精度を高めることが可能です。不正判定を定期処理に登録すれば、検知の実施を自動実行させられます。
テンプレートでの作成
SAP社では不正検知ルールのテンプレートを提供しており、一から作らなくてもルールを作成することが可能です。テンプレートには、調達、経費、出張旅費から、保険業界用ソリューションなどで案件を管理するClaims Management(FS-CM)などまで、複数の業務分野での不正パターンを想定したものが用意されており、対象となるデータのSAPバージョン(SAP ERPあるいはS/4)に沿ったデータ構成で分類されています。
ブラックリスト・ワードリストによる作成
BISアプリケーションは、ブラックリストを用いてマスタ情報を確認する取引先審査(検知)や、疑わしいワードリストによる伝票テキスト項目のスクリーニングなどにも対応しており、ブラックリストやワードリストで不正検知ルールを作成することも可能です。
不正アラートの蓄積
不正検知ルールを適用した結果、検知されたリスクはBISアプリケーションにアラート(警告)という形で蓄積されます。リスクは数値化され、あらかじめ指定した閾値を超えたものが保存される仕組みです。
アラートでは例えば、対象の伝票番号、用いられた検知ルール、リスクスコアと閾値からの乖離などを参照できます。不正をチェックする担当者はアラートとして蓄積された対象を調査・確認し、それぞれの疑義照会が不正であったか、そうではなかったのかを最終的に判定します。最終判定時には、アラート対象の管轄部署への調査依頼や関係者へのヒアリングなどが行われます。
アラートの分析
蓄積されたアラートは、地域や国といった地理上の分布や金額面での分布など、さまざまな観点から分析できるようになっており、経営判断のための材料としても利用することが可能です。
BISの不正検知ルール例
ここでは、実際の不正検知ルールの事例を二つ紹介します。
経費の請求金額で差異が少額の他伝票を類似伝票として検知する
経費の請求金額において、ある特定の社員の伝票数および累積金額が突出しており、さらに両数値は日が経つにつれて高くなっていました。調査の結果、経費を少額上乗せして請求していることを検知するとともに、こうした請求が慣例化しており、頻度が増加していることが判明しました。
ワンタイム取引先への支払伝票が閾値以上の回数または累積金額で転記されているものを検知する
短期的かつ低頻度の取引を想定している取引先に対して、想定以上の支払い回数が発生しており、さらにこの支払いが特定の銀行口座に集中していることを検知しました。調査の結果、取引先マスタ更新の権限をもつユーザが銀行口座情報を操作し、懇意にしている業者へ支払いが行われるよう設定するとともに、その業者からキックバックを受けていることが判明しました。
まとめ
BISアプリケーションは、財務部門のチェック作業を補強するのはもちろん、監査部門のタスクも支援します。不正に操作されたシステム上の取引は、個々には小さな額でも蓄積されれば大きな金額になり、見過ごすことのできない損失につながります。不正検出によって確保できた費用は、宣伝や営業など、企業の主要な活動へ費やせるようになります。
BISアプリケーションではさらに発展したソリューションとして、蓄積された検知結果をAIの機械学習で分析することが可能です。不正予測の精度を高めるとともに、不正に関連する要因を提示し、検知ルールの作成や精査をサポートします。
BISアプリケーションは、不正事案を早期発見し、被害を最小限に留めるためのツールです。導入をご検討のお客様はリアルテックジャパン株式会社までご連絡ください。
S/4HANAへの移行をご検討中のご担当者様へ
基幹システムの移行は、企業にとって避けては通れない道です。ノウハウのない企業では、しばしば計画が甘くなってしまい、想定外のトラブルによって失敗することも少なくありません。
もしも現在、
- SAPのS/4HANAへの移行を考えており、進め方の相談に乗ってほしい
- 2027年問題への対応の進め方がわからない
- システム移行の必要があるが、社内リソースが足りず困っている
- 移行に関するノウハウがないが、リスク回避のポイントを押さえたい
などのお困りごとがありましたら、私達リアルテックジャパンへご相談ください。
リアルテックジャパンはSAP製品に精通したエンジニアが多数在籍する、テクノロジーコンサルティングファームです。
2002年の設立後、SAPシステムを導入されている企業、クラウドベンダー、ハードウェアベンダー、コンサルティングファーム等のお客様から高い評価を頂いております。
移行の規模を問わずさまざまなお悩みに対応していますので、ぜひお気軽にご相談ください。
- カテゴリ: GRC
- キーワード:SAP GRC BIS