財務がリードすべきグループ・グローバルガバナンスのポイント(後編)~実効的な不正支払対策の構築のポイント

By 下村 真輝 2020年2月27日

今回の弊社ブログは昨年、2019年12月18日の日本CFO協会様主催セミナーで弊社が講演させて頂いた内容の後編をお届けいたします。尚、前編については今年1月7日にお届けしておりますので、そちらも合わせてお読み下さい

■実効的な不正支払対策のポイント

財務業務領域において実効的な不正支払対策のポイントは次の3点あると考えます。今回のブログではこの3つのポイントについて紹介いたします。

対策ポイント①:ラスト1マイル(送金プロセス)での統制強化

対策ポイント②:1人で資金を動かせない仕組み作り

対策ポイント③:目視に依存しない不正支払検知

対策ポイント①:ラスト1マイルでの統制強化

急増するビジネスEメール詐欺(BEC)では支払先口座のみが巧妙に偽装

例えば、BECですが、これは非常に防ぐのが難しく、その難しい原因は支払先口座のみが巧妙に偽装されている点にあります。BECのケースにおいてやっかいなのは、会社間の支払債務自体は実在している点です。そして、口座情報を除く支払内容も債務情報として正しいので、結果的に口座情報が偽装されていても真正な口座情報であることの検証はなされずに問題なく支払が承認・実行されてしまいます。

上記のケース以外にBECの種類はいくつかありますが、共通するのは「支払先口座の偽装」です。従って、BEC被害にあわないためのプロセスとしては、全ての支払依頼に対して支払時に初回支払口座であるかどうかを確認し、初回支払口座については取引先の真正な口座であることが判明するまでは支払を保留するというプロセスの適用が必要になります。

支払先口座は犯人グループの口座のため、当然これまでに支払実績のない口座になります。つまり、初回支払口座であることを確実に検知して、それが取引先の真正な口座であることが判明するまでは確実に支払を保留できれば被害の発生を防ぐことができます。

ERPでの統制だけでは不十分

 ​実際、BECの被害を受けた日系企業の対策事例を紹介しますと、再発防止策として多いのは、まず「支払データ全件を目視でチェック」することと、「ERPでの支払先口座のマスタ登録時の承認手続きを厳格化」することです。よくある再発防止策だと思いますが、起きた事象に対する緊急を要する対応としてはこれで良いのかもしれませんが、恒久的な対策としてはこれだけでは不十分だというのが弊社の考えです。

上記の対策ではERPでのマスタ登録時の承認手続きの厳格化でしたが、よくあるのは本社及び本社と同じERPを使用している会社に適用されます。その場合、本社と異なるERPを使用している子会社は対策範囲外となることや、加えて、ERPを通さない緊急支払や例外処理も対策範囲外となり、またERPで出力する支払ファイルの改竄リスクも残るなど、ERPでの統制だけでは不十分だと言えます。

つまりは、その統制範囲から漏れる部分が多いことが問題です。

あるべき統制ポイントは“ラスト1マイル”におくべき

​ では、あるべき統制ポイントはどこかですが?あるべき統制ポイントは、ERPでの統制ではなく、全てカバーできるお金の流れの“ラスト1マイル” におくべきであり、図の通り、子会社のERPやERPを通さない支払いも全て対象とした統制ポイントへの変更を講じるべきだと考えます。

全てを対象とした統制をERPで実施しようと思うと、子会社のERPを本社と同じERPに変更しなければいけず、それには膨大な導入費用と非常に長期にわたる導入期間がかかるため、そうこうしている内にまた同じような不正被害もしくは別の不正被害にあってしまうことになります。

グループ共通の支払プラットフォームの構築

​ ERPでの統制ではなく、全てカバーできる“ラスト1マイル”部分で、グループ共通支払プラットフォームを構築して、本社も子会社もそこに支払を一本化することで全ての支払いを統制することがあるべきだと思います。この共通支払プラットフォームはクラウドベースのものであればWebに接続できる環境があれば、本社も子会社も利用できてERPの外で行っていた緊急支払や例外処理も同じくで利用できます。

全ての支払い処理をこのクラウドの支払プラットフォーム経由で行い、ワンストップで集中管理することで、どこにどのような支払がなされているのかを可視化し水際の統制を強化することで、不正な支払を事前に抑止します。

共通支払プラットフォームは単にシステムの共通化だけの話ではなく、共通システムに合わせて支払業務のルールもグループ全体で共通化することが重要です。例えば初回支払口座については取引先の真正な口座であるかどうか判明するまで絶対に支払いを行わない、とグループ全体で定めておき、それが取引先も含めて認知されていれば、それを知らないで犯罪者集団がなりすまして不正を試みたとしても、詐欺だと明確に判明することが出来ます。

そして水際での統制強化を実現するグループ共通の支払プラットフォームには、絶対になくてはならない機能が二つあります。一つは様々なERPと連携できること、二つ目はグローバルの様々な銀行と連携できることです。この二つがあることで、支払の申請から実行までのプロセスの自動化によって不正支払を抑止することが出来ます。

対策ポイント②:1人で資金を動かせない仕組み作り

最初に不正支払を抑止した好事例を一つ紹介します。ロックフェラーグループという弊社の顧客になります。2015年にロックフェラーグループは800万ドルを搾取しようとするサイバー犯罪のターゲットになりました。幸運にもこの試みは失敗に終わりましたが、非常に巧妙な手口で、具体的には財務部員が不在のタイミングで財務アシスタントを狙いCEOを巧妙に装ったBECでした。何故ロックフェラーグループは不正を防げたのかですが・・・ロックフェラーグループが不正を抑止できた要因は次の3点です。

成功要因1:職務分掌

▶アシスタント自身は支払指示の起票も実行もできない職務として規定されていました。

成功要因2:承認および承認限度

▶いかなる支払も依頼者と適切な承認者の承認なしでは実行できないようになっていました。

成功要因3:システム的な統制

▶特にこちらが重要ですが、先述の規定が遵守されるようにシステムで強制されていました。

要は「不正のトライアングル」の「不正を起こせる機会がある」という「仕組みの問題」の部分が解決されていたからです。これによりロックフェラーグループは支払指示が不正な内容であることが承認手続き中に判明したわけです。

子会社への支払プロセスへの関与が必要

​ グローバル企業の抱える不正リスクについては、内部不正、外部不正ともにありますが、共通するのはいずれも子会社・海外で発生していることです。私は多くの企業の本社にグループの支払業務についてヒアリングしていますが、どの会社にも共通することは、残念ながら殆どの本社はグループ会社の支払いはグループ会社に任せっぱなしで、実際にどのような業務フローや承認権限、システムで支払を行っているかは把握していません。結果、新聞等で報道されるような不正事件が多数生じてしまっているのが現実にあります。

不正リスクのエクスポージャーはグループ会社にあります。グローバル企業であればあるほどに、会計報告や内部監査だけでは把握できないグループ会社における内部不正の発生だったり、管理リソースの少ないグループ会社が外部不正の被害を被ったり、目が届き難い子会社任せのオペレーションから発生するミス・エラー、不適切取引起こる、といったリスクが高まります。従って、何か不味いことが起きる前にグループ会社の支払い統制への取組みを急いで行うこと必要があります。

そのような不正リスクが顕在化しないようにするためにも、子会社の支払業務を子会社任せにするのではなく、もっともっと本社や統括会社は子会社の支払プロセスに関与をするべきと考えます。

要は、一人で資金を動かせない仕組みを作ることであり、支払ルールの策定とクラウドベースの共通支払プラットフォームの活用によって、子会社の支払いの承認プロセスに本社・統括会社がリモートで関与し統制を強化することが実現できます。

対策ポイント③:目視に依存しない不正支払の検知

BECを含めた様々な種類の社内外の不正支払に対応できるようにマニュアルを整備し、目視での検出プロセスを整備すること自体は可能で、皆さん大体そこまでは取組まれます。ただ、実際にマニュアル通りに業務を実行することは労力と精度の面で非現実的というのが現実であり、結果、絵にかいた餅で不完全な検出に留まり不正リスクは残ったままになります。

というのも、例えば、大企業であれば月に支払依頼300件あったとして、金額や期日等を確認する従来の支払確認作業に加えて、不正支払対策として、同じ月300件に対して「二重支払の確認」や「初回支払口座の確認」や、その他の不正対策の確認として支払限度額、支払限度回数、前例のない支払タイミングなど、それぞれチェック項目を増やしていこうとした場合、各チェック項目に10分を要すると仮定し、300件×10分×3項目=150時間、追加工数約1人月相当の作業量の増加し、それに既存のマンパワーで対応できるのか?チェックする上での必要情報を漏れなくタイムリーに取得できるのか?目視特有の抜け漏れ、確認ミス、形骸化などのリスクは排除できるのか?とマニュアル検出では様々な問題が出来てきます。

先程紹介したBECの被害を受けた日系企業の対策事例の一つ目に全件目視チェックとありましたが、正直難しいと思います。目視での不正支払の検出は非現実的であり、ラスト1マイルでの統制強化、一人で資金を動かせない仕組み作りに加えて、様々な不正支払のシナリオをシステムで自動検知することが不正支払の対策の実効性を更に高めます。

弊社のソリューションの一つであるFraud Detection(不正検知)モジュールのような自動検知できる仕組みを使えば、支払プラットフォームを通る全ての支払いに対して、疑わしい振る舞いや取引を事前に漏れなく検知し、アラートを鳴らし、検出された疑わしい支払については、不正確定のものは支払を行わず、怪しいものは社内で解決ワークフローを回し、社内で確認の結果、問題がなければその確認結果を記録する画面内に、問題がない理由を登録して証跡を残した上で支払を実行します。

このようにシステムを活用して不正支払を自動検知することが出来て、目視では実現できなかった抜け漏れ、ミス・エラーのない不正支払の検知が可能となり、ラスト1マイルでの統制強化と1人で資金を動かせない仕組み作りを強化します。

以上、ここまで不正支払対策として3つのポイントを紹介いたしました。我々としてはこの3つのポイントで、不正のトライアングルの“機会”をなくすことで同時に動機も弱くし、実効的な不正支払対策を実現できると考えています。

なぜ不正対策が重要なのか?

最後に、なぜ不正対策が必要かについてですが、やはり経営インパクトが大きいことがあり、不正は企業価値に深刻な影響を与えます。それは短期的な財務上の影響に止まらず、ブランド価値の毀損など長期に企業価値を損ねますし、影響の拡がりの想定が困難である場合が多いです。

海外で発覚した場合には、当該国での事業展開に深刻な影響を与えることがありますし、不正発覚後の後処理を行う従業員の生産性も低下し、不正の影響は様々な側面で企業経営に影響が出てきます。従って、不正対策は重要です。

財務部門の関与が有効な内部統制強化策に繋がる

そして、不正等の影響は、不自然な資金の流れとなって最終的にキャッシュの動きに現れます。よって、そのキャッシュを扱う財務を扱う財務部門が財務管理の高度化を通じて不正を検知・抑止するアプローチが有効です。ただ、統制強化を図るにしても、目視での検知も含めてマニュアルベースでは財務部門のリソース・マンパワーには制約があるので、共通支払プラットフォームや自動検知などを活用したシステム化・自動化で、追加の業務負荷を抑えた上で内部統制の強化が可能になると考えます。

財務部門は過去を扱う仕事ではなく、将来を扱う仕事です。不正においても、今起きていないからという考えでなく、対岸の火事ととらえずに、起きてから動くのではなく、万一の有事を想像してアンテナを高くできるかどうかが、その企業の財務部門の存在価値にもつながります。

今の時代に即したソリューションを上手く活用してキャッシュを核にして不正やオペレーションミスによる金銭的・社会的ダメージから企業価値を守ることに是非とも今から取り組んで頂きたいと思います。


下村 真輝 (Maki Shimomura)

トレジャリー・アドバイザリー、ディレクター

一橋大学卒、MBA(ボンド大学大学院)。三菱重工業株式会社にて原子力事業の海外営業およびM&A等事業開発業務を経て、株式会社三菱東京UFJ銀行にて海外で事業展開している日系大企業や、クロスボーダーでのM&A、PMI案件に対し、グローバルベースの財務戦略、組織再編、海外投資手法等のアドバイザリー業務に従事。株式会社JVCケンウッドにて、CFO補佐として、グローバル財務管理の基盤構築を手掛けた。

関連資料:

【ブログ】財務がリードすべきグループ・グローバルガバナンスのポイント(前編)

【ファクトシート】ペイメントハブのビジネスケース

【ホワイトペーパー】支払の集中化 -ペイメント・ファクトリーの利点

img
アクティブ
リクイディティ
ネットワーク

流動性を画期的な方法で使用し、成長と価値創造のためのダイナミックな手段として使用しましょう

キリバの方法を見る