送金のリスクを減らす

4月 10, 2017
Bob Stark

*本ブログは2016年7月の英語記事を日本語訳したものになります

企業間の送金はますますリスクの高い行為となってきました。不正やサイバー攻撃の手口が高度化し、被害額も大きくなってきているからです。米国のAFP(Association for Financial Professionals)が送金の不正や統制について行った調査(Payments Fraud and Control Survey)では、2015年には、回答企業の73%が支払不正の標的となり、42%が実際に被害に遭ったとされています。

幸いなことに、不正支払のリスクを下げ、不審な取引が起きた時にそれを検知する時間を短縮できるベストプラクティスがあります。

1. 支払システムへのアクセスをセキュアにする

最初に行わなければならないことは、許可された担当者のみが支払システムにログインし、支払指図を作成したり、承認したりすることができるようにすることです。権限のない担当者は一切ログインできないようにすることです。ログインはIDとパスワードだけではなく、最低限、二重認証とすべきです。二重化する具体的な方法は使うIT技術によって違いますが、銀行のインターネットバンキングやTMS、ERPには通常組み込まれている機能です。二重認証に用いられるのは、物理的なハードウェア(例えば、キーホルダーのようなトークン)やソフトトークン(例えば、スマートフォンにSMSで送られるデジタル鍵など)です。

Additional reading: eBook: eBook: Six Ways to Prevent Financial Fraud with Kyriba

さらにセキュリティを強化する方法としては、IPフィルタリング、バーチャル・キーボード、暗号化VPN、社内システムとのシングルサインオン(SSO)があります。SSOは、社内のIT部門との協業が欠かせませんが、多くのCIOオフィスが望むところでもあります。どの方法を選ぶにしても、保護レベルを高くするには、IDとパスワードに加えて、これらのいくつかを組み合わせることが望ましいとされます。

2. 暗号化データ

トレジャリー業務で暗号化が必要な部分は一般的に2カ所あります。一つ目はディスク上に保存してあるデータの暗号化です。犯罪者がデータベースの中に保存されているデータを盗み見たり、書き換えて改竄したりすることを防ぎます。

もしトレジャリーシステムが、企業内のサーバー上にホスティングされているのであれば、これはCIOオフィスの責任になります。もし支払システムがクラウド上にあるのであれば、これはそのソフトウェア・ベンダーの責任になります。データベースに保管されているデータは全て暗号化されているものだと思い込んではなりません。全ての支払システムが保存データを暗号化しているわけではないので、貴社のシステムで暗号化されているかどうか、必ず確認すべきです。

二つ目は他システムと通信されるデータが暗号化されていることです。TMSからみた他システムとは例えば、銀行、ERP、SWIFTなどです。銀行に送信される支払指図のデータは、たとえ権限がある担当者であっても、人が読めてはいけません。

3. グローバルで標準化された支払のワークフロー

グローバル展開している企業の多くでは、様々な地域で複数の担当者が支払の指図を行っています。支払業務を分散させる場合、その分散の程度は企業によって違いますが、どのような分散にするとしても重要なことは、様々な国で申請された支払に関して、全取引銀行、全送金種類について、支払額の多寡にかかわらず、グローバル全体のペイメントポリシーを定めることです。

サイバー攻撃や社内不正は、支払手続きの不備や不整合な部分を狙ってきます。仮にもし、ある金額以下の少額の支払には承認が不要であったり、証票の添付が不要な支払があったりする場合、支払詐欺を行う者は、なりすましやビジネスメール詐欺(BEC)などでプロセスの脆弱な部分を見つけて狙ってきます。ビジネスメール詐欺とは、巧妙なソーシャルエンジニアリングを駆使した電子メールを、担当者の上司になりすまして送信して、担当者に振り込みを指示するものです。グローバルで統一されたペイメントポリシーが規定されていて、すべての支払がそのポリシーに従って承認され、規定の方法で支払指図がなされていると、海外子会社や孫会社の支払の透明性は増しますし、不正や詐欺のリスクも低減されます。

4. 集中コントロールセンター

支払件数が著しく多い大企業は、個々の支払フローをその支払限度額や承認ルールなども含めて見直すことは非常に大変なことです。そのため海外の孫会社も含めた1件ずつの支払取引はもちろんのこと、支払のワークフローすべてを一覧管理できるダッシュボードが必要不可欠です。最近のサイバー攻撃は手口がますます巧妙になり、支払指図について見えていないところを突き、コントロールが弱いところを狙ってきます。そのため、支払の業務と取引の全体を一元把握し、問題がないか見ていく必要性が従前より高まっているわけです。

具体的にどこをどのように見るのかは担当者によって異なりますが、一般的に最低限見るべきは、新しい口座の開設、ユーザー権限の変更、承認限度額の更新、不審なデータがアップロードされていないか、目的がわからないデータのエクスポートがないか、といった点です。特に重要なのは支払です。支払については、アクノレッジメントと呼ばれる処理結果通知によって、銀行へ送信された支払指図が、支払システム、ネットワークへの出口、ネットワークや回線(SWIFTやFTP)、そして仕向銀行のどこにどの状態であるのかがわかります。

集中化されたダッシュボードやコントロールセンター機能によって、グループ全体の支払のプロセスの変更を常に見ることができるため、トレジャラーは海外の孫会社も含めて、支払のワークフローが規程通りに適切に行われていることを確認できるのです。

5. 送金規制先スクリーニング

企業から支払指図を受け取った銀行は、その支払先を、米国のOFAC規制や、EUや国連の規制の制裁対象リストに載っている国や法人、自然人と照合して、送金ができる相手か否かを確認します。このとき、銀行が照合漏れを起こす場合もありますし、リスト上の法人と送金先が同一であると銀行が判断する場合もあるので、トレジャラーから見ると、銀行のチェックだけに依存するのはリスクがないわけではありません。なかには最初からその制裁対象者に不正送金しようとしているケースもあるでしょう。そのため企業側においても支払指図に一定のスクリーニングをかけておき、企業側でも銀行から照会がありそうな支払指図を把握しておいて、その送金が制裁対象となるものではないことを証明する資料を準備しておく必要があります。この事前準備は侮ってはなりません。正規の支払指図であっても一旦OFACチェックに引っかかると送金資金は凍結され、その凍結された資金の送金又は返還交渉に相応の日数と労力がかかります。日数がかかればその分相手方への着金が遅れますから、業務上の影響も大きいでしょう。準備をしておくことで、この対応コストと業務上のインパクトを小さくできるのです。

6. 照合の多重化(複数回化)

不正を抑止したり検知したりする仕組みやプロセスに加えて、必ず行うべきは、銀行に対する支払指図と、銀行が実際に振り込んだ内容とを照合することです。具体的には、銀行へ送信した支払データと、支払日の締め後に銀行から送られてくる銀行取引明細のデータ(出金のデータ)を照合することです。この照合でエラーとなったデータ、つまり支払システムから出たデータと、銀行が受け取ったデータの内容が異なる可能性があるデータについて自動でレポート配信するようにしておけば、この照合を常時行っておくことができ、その結果、不正の規模が大きくなる前に是正措置をとることができます。

この照合はERP側とも必要です。ERP、支払システム、銀行の三者で同じ内容を処理しているか確認する必要があります。どこかで不一致が起きていれば、誰かがデータを改ざんできるようになっている箇所があるか、サイバー攻撃を受けているか、あるいは正規のプロセスの外から銀行に指図できるようになっているか、仕組みやプロセスのどこかに不備や脆弱なところがあるということです。

支払リスクを低減させることは、どのトレジャラーにとっても至上命題です。それは支払プロセスのどこかで止まって支払期日を逸することがないようにすると同時に、承認されていない支払が行われる可能性をなくすことです。本国から遠く離れたところに子会社や孫会社がある状況では、それらの支払も全て見えるようにして、支払に関するプロセスや権限の変更も本社でわかるようにするためには、ITの活用は不可欠です。ITなしには不可能でしょう。ITをうまく活用してグループ全体の支払をコントロールすることが求められています。

コメントを追加