良い通報は捜査員にとって重要な鍵となる。しかし、それを見過ごしたり解釈を誤ったりすると、関係はまずくなり、不正が継続してしまう。不正対策法のおかげで、より多くの企業が複数チャネルの通報窓口を開設しつつある。通報の数が増えるにつれ、統合されていないメールやウェブサイト、電話や手紙を介して関連情報が寄せられた際の、取り扱いミスも増加する。知識豊富なCFEがこの課題克服に使用している技術と手法をここで紹介する。
その通報は取るに足らないものだったかもしれない。しかしことによると、それは不正という氷山の一角を崩し得る通報だったのではなかろうか。イアン・リチャード捜査長官と同僚三人は、この種の捜査を専門とする。彼らは米国のある主要自治体の市監査局不正対策部に属する公認不正検査士(CFE)だ。
2009年8月、市が所有・運営するコミュニティセンターの従業員がそのサプライヤーの供給する食品を大量に盗んでいる、という匿名の電話が内部通報窓口に寄せられた。残念なことに、電話の主はその従業員の名前や職位、彼がいつどのように食品を盗んでいるのか、また共犯者の有無を明らかにしなかった。
「この電話で本格捜査が確定したわけではありませんが、バックグラウンドチェックが必要となりました」とリチャードは言う。彼は、電話の主が『フード・パントリー』と名付けたサプライヤーの供給する食品で、同センターが食事を提供するプログラム(community meal program)を主催していることをウェブサイトで知った。
ウェブ上で内密に調査することで、リチャードは同センターの従業員たちがこの通報に気付かないようにした。その曖昧な内容の通報は追跡調査をするとして、彼はその他のより強力で具体的な証拠のある未解決事件に取り掛かった。リチャードは匿名の情報提供者から新情報の通報が寄せられるのを期待した。それは時間がたてば分かることだった。
数週間後、コミュニティセンターに関する第二の匿名情報が寄せられた。市監査局は大きな組織ではないため、情報提供者の連絡手段に関わらず、複数の手続的統合チャネルが組み合わさり、捜査員全員が同一の通報にアクセスできるようになっている。同通報は当局のインターネット上のクレーム報告フォームから寄せられたもので、コミュニティセンターのマネージャーが現金取扱い方針に違反していると書かれていた。
「この通報は、コミュニティセンターを管理する市部署の人事部長に連絡するだけの価値のあるものでした」とリチャードは言う。彼は人事部長に対し、市の監査人が不正調査を開始すること、そして捜査終了までこのことは口外しないよう伝えた。人事部長の協力を得て、リチャードはコミュニティセンターの従業員全員の職務明細書を手に入れた。ここから誰が現金を取り扱い、サプライヤーからの食品受取りの承認をしていたのかが明らかになった。
同センターのマネージャー、アシスタントマネージャー、受付係の3人がこれらの仕事をこなしており、前述の電話の主とインターネットからの通報者の言う人物である可能性があった。そこでリチャードは、この不正疑惑のより詳細な情報を集めたが、コミュニティセンターの従業員で彼の捜査を知る者は未だ誰もいなかった。
このわずか数日後、内部通報窓口にまたしても匿名の電話がかかってきた。通報者は捜査が行われていることを知らなかったが、この通報で状況はさらに深刻になった。最新の通報は、センターのマネージャーが建物を秘密で貸し出し、料金を自分の懐に収め、その取引内容を市の中央賃貸データベースに入力していないというものだった。これが事実であれば、市は前述の違反行為よりもさらに大きな経済的損失を被る可能性があった。
そこでリチャードはさらに捜査を進め、市の財源創出のために同センターが実際に貸し出されていることを知った。しかしそこには、何者かが『簿外』で不正にセンターを貸し出せるというリスクが当然伴う。電話の主はさらに、貸出の予定を決めていたのはマネージャーただ一人で、彼は個人用のスケジュール帳を常に手放さなかったと言った。ここまでで集められた情報から2つのことが判明した。第一に、容疑者3人全員が食品を盗み現金を不正に扱うことができたこと。第二に、この電話の主が指摘する横領を実行できたのはマネージャーただ一人であったことだ。総体的に見て彼が第一容疑者で、ここで疑われている賃貸不正が市にとって最も深刻なリスクであった。
疑惑解明に向けより多くの確たる事実を求めて、リチャードが市の中央賃貸データベースを調べたところ、同センターは稀にしか貸し出されていなかった。リチャードと彼の同僚はまた、センターの毎週の現金勘定記録を入手し、銀行預金と照合してみた。記帳内容は似通っていたものの、同一ではなかった。銀行口座への預金額の合計はセンターの記録と一致したが、銀行の記録にある現金での預金額と小切手での預金額がセンターのものと矛盾していたのだ。表面的な調査ではこの違いを発見することはできなかったであろう。
「これが鍵となりました」とリチャードは言う。「マネージャーが現金と小切手のすり替えスキームを行っていたことを示す危険信号だったのです」。捜査チームがこの証拠を突きつけようとしたところ、マネージャーはセンターを出て行き、翌日辞職した。通報者の言うスケジュール帳が回収されることはなかった。しかし、捜査チームがセンターの従業員に話を聞いたところ、正式な文書のやりとりなしに長年に渡りセンターを借りている賃借人が複数あることが分かった。民間のバスケットボールリーグがその一つで、過去三年間ほぼ毎週土曜日にセンターを借りていたようだった。その証拠として、同リーグの代表者は市に支払った小切手をリストアップした過去三年分の銀行明細を捜査官に提示した。この間、マネージャーが報告し預金した収入はたった15回分だった。
賃借人は小切手で支払うこともあったが、大半が現金払いだった。マネージャーは小切手を受け取ると、賃貸から同額の現金収入が得られるまでそれを入金しなかった。そして、1回分の賃貸のみを記録してその小切手を入金し、もう1回分の賃貸は記録せずその現金を懐に収めていた。直接証拠から、マネージャーが過去5年間で1万2,000ドルを横領していたことが明らかになり、間接証拠からは、過去10年間で約5万ドル超を盗んでいたことが分かった。盗まれたカネは今のところ一銭も回収されていないが、マネージャーは第二級窃盗罪で起訴され、現在裁判を待っている。(注:この事件は刑事法廷で係争中であるため、関係者の氏名、その他特定の詳細は変更した。しかしながら、通報と捜査はここにある通り行われた。)
捜査チームがこの不正を発見できたのは、彼らの粘り強さだけでなく、まったく異なる報告チャネルからの通報を繋ぐ、十分に統合された内部通報制度と対応手順が整っていたからだ。「この二つを切り離して考えることはできません」とリチャードは言う。
2010会計年度、市監査局は上記2つに加え、捜査官に電話やメールを介して、または直に会ってダイレクトに通報する方法、他の市当局からの照会、監査結果という、5つの報告チャネルから173件の通報を受けた。同局は2011会計年度末までに同数の通報を予想している。
このような小さな組織では、全作業と潜在的な情報源がより明確に見えることが、捜査官の助けとなる。彼らにとって、多くの場合、時の試練を経た対応手順が捜査に有効で経済的な内部通報制度の根幹を成しているのだ。
「受け取る通報すべてにおいて結果を出します」とリチャードは言う。「なかには当局の範囲外にあるため、他局にまわす物もありますが、その他すべてに関しては、許される範囲でできる限りのことをします」。
では、幅広い情報源からより多くの通報を受ける大型組織はどうなのだろうか。内部通報窓口に寄せられる相当数の通報に捜査官の数が追いつかない場合、これはより困難となる。大型組織では、互いに面識のない多数の部署間で、情報を収集し共有できるような統合通信システムが必要だ。
それでも、以下に示すように、自動システムだけでは困難を克服することはできない。寄せられる通報すべてを完全に連結、評価し、これに対処しようとするならば、組織は当面の間、同システムを十分に統合された分析手順と手法で増強しなければならないだろう。
あまりにも少なすぎ、あまりにも遅すぎる (TOO LITTLE, TOO LATE)
ある大手製造業者は、内部通報窓口に寄せられた通報通り、あるベンダーをめぐりマネージャーの一人が利益相反を行っているか否かを確かめるため、フロリダ州メルボルンのコンサルタント会社、不正リスクアドバイザリーグループ(The Fraud Risk Advisory Group)の代表取締役、ベスマラ・ケスラー(Bethmara Kessler, CFE、CISA、PI)とリン・フライシュマン(Lynne Frishman, CFE)に相談を求めた。
この通報でマネージャーの名前は挙げられたものの、ベンダーの名前は分からなかった。そこで、ケスラーとフライシュマンはマネージャーの行動を同僚のものと比較し、そこに大きな違いを発見した。例えば、そのマネージャーは特定のベンダーと必要以上に親密な関係にあるようだった。さらに従業員とベンダーに話を聞いたところ、このマネージャーが複数のベンダーと仕事以上の付き合いをしているという理由から、多数が彼女のモラルに懸念を示した。さらに、同僚の多くがこのマネージャーのことで内部通報窓口へ通報したことを認めたが、彼らは彼女を恐れて匿名を使っていた。
同社はこれらの通報が不確実すぎるように思えるという理由で、さらなる追及を怠った。しかしケスラーとフライシュマンは、こうした内部通報のタグに一貫性がなく、その結果、情報が人事、コンプライアンス、セキュリティといった別々の、稀にしか互いに連絡を取り合わない部署の捜査員に送られていたことが分かった。これは特に残念なことだったと、ケスラーは加えて述べている。なぜなら、それぞれの通報を総合して見れば、捜査開始の引き金となる詳細が十分に存在したからだ。
ケスラーとフライシュマンは所有者を調べ、マネージャーが友人や親戚が勤める複数のベンダーと利害関係にあったこと、そして同社がこれらのベンダーから購入していた材料に必要以上の額を支払っていたことを発見した。この不正で、同社はすでに250万ドルもの損害を被っていた。しかし、その大半が従業員から通報を受けた後に発生したもので、他の情報と関連付けて同時に捜査が行われていれば、損失を50万ドルに抑えることができただろう。
「さらに悪いことに、内部通報に効果がなかったことで、通報した従業員は、経営陣は堕落しており、不正を知ったところで阻止しようとはしないだろう、という考えを持つようになってしまったことです。そしてこれが他の従業員に伝わっていれば、不正の実行を奨励するような結果になり得たのではないでしょうか」とフライシュマンは言う。
今後は総体的な捜査を (ALL TOGETHER NOW)
多くの組織が内部通報窓口に寄せられる莫大な量のデータをまとめ、解釈するだけの十分な資源を有していない。そのため、たいていは統計的概要と若干数の通報とクレームの代表例が監査委員会のメンバーと主要なステークホルダーに提出される。
「これでは不正に関する有益な見識を役員や捜査員に示すことはできません」とケスラーは言う。「このようなシステムは貴重な情報を多くキャッチするかもしれませんが、その標準的なレポートは表面的な分析に基づいたものです。これでは、個々の不正リスクと不正スキームを理解することはできません。そしてまた、どの不正対策手段が効果的でどれが効果的でないかも分からないのです」。
このような分析上の視野の狭さとその徴候は決して珍しいものではない。ACFEの2010年度版『国民への報告書』(p.47)には、「約2割の被害組織は不正を防止できなかった統制システム(あるいはシステムが欠如している状況)を継続しているということになる。」とある。また同報告書は、不正発覚後に内部通報制度を改善した組織はわずか7.9%に過ぎなかったとしている。
「ここで見てきたように、通報に繰り返し誤ったタグが付けられたり、その重要性を理解しない、あるいは通報の対処方法を知らないスタッフに任せられたりするなど、内部通報制度はいつまでたってもきちんと連係されないまま維持されがちです。通報のなかには、使われるキーワードの違いによって適切な捜査員に送られないものもあります。例えば、『トラブルに巻き込まれないか心配』という内部通報が人事部に送られる一方で、『仕返しが心配』という通報は法務部に送られるかもしれません。このような二つの通報が同一の状況に関係していたとしても、わずかな言葉遣いの違いで対応が大きく異なる可能性があるのです」。
こうした傾向に対抗するため、ケスラーとフライシュマンはデータのあいまいさと不一致のせいで通報同士の重要なつながりを見落とすことがないよう、クライアントに対して内部通報のデータを掘り下げるよう呼びかけ始めた。そしてこうした分析が革新的なサービスとなってきた。
同社はまた、定期的に内部通報制度を検査するようクライアントに勧めている。これを実践するため、ケスラーはクレームの電話をかけ、内部通報制度がこれをどう分類し、送り先を決定するのか観察する。「時には間違いも起こりますが、問題点が分かりさえすれば、トレーニングで足りない部分を補うことができます。企業は火災報知器と煙探知機の検査は定期的に行っています。内部通報制度に関しても同様にすべきなのです」とケスラーは言う。
また、内部通報制度に統合されていない報告チャネルがないかを調べるのも重要だ。「通報窓口を管理する人物がこれに付随するシステムの責任を兼任していないと、通報を見落とす原因となってしまいます」とフライシュマンは付け加える。
不正通報の構文解析 (PARSING FRAUD TIPS)
ケスラーとフライシュマンがこれまでに扱ってきた内部通報制度は、どれもテキストベースのものだ。しかしだからといって、データ形式に必ずしも一貫性があるわけではない。それどころか実際には、二人が分析する通報ファイルの形式はさまざまで、フライシュマンはデータ分析に専用ソフトを用いなければならない。分析の目的は、捜査員が見落としがちな通報間の関係を明らかにすることだ。
まず、内部通報担当のマネージャーの承認を得て、ケスラーとフライシュマンは、出来る限りの情報源(例えば内部通報/クレームデータベース、捜査事例管理ツール、外部通報/コンプライアンスシステム、部署のスプレッドシート、経営幹部に送られたメールやハードコピーのメッセージなど)から通報とクレームのデータを集めてその電子テキストファイルを作成する。
次に、フライシュマンはテキストファイルをソフトウェアにインポートし、生データをユーザーフレンドリー形式に正規化して、内部通報システムよりも柔軟にデータを扱えるようにする。こうすることで、これまで発見されなかった通報間の共通点(日付、場所、容疑者の氏名など)が浮かび上がってくる。例えば、同ソフトの分析機能を用いてデータをまとめると、通報とクレームのテキストファイルにある全個人の氏名のなかから、『ジャクソン』ただ一人が2件以上の事例に関わっていることが分かる。
そこで、捜査員はジャクソンが関与する4つの事例に関連する全データに的を絞ることができ、許可が下りればさらなる捜査を進めることができる。このような方法で徹底的に分析すれば、これまでは厄介な重荷となってきた膨大な量の通報は、その通り貴重な情報的財産となるのだ。
より詳しい調査 (CLOSER LOOKS)
不正の手掛かりを通報しているところをビデオに撮られたいという通報者はいない。その意味で内部通報と類似しているとは言えないが、大量のビデオ記録も膨大な内部通報のトランスクリプトと同じような分析的な課題を呈する。どちらの媒体も、見つけるのは困難だが有益な『針』が隠れているかもしれない『干草の山』なのだ。
過去数十年間で、多くの組織がデジタルとアナログ監視カメラの膨大なライブラリを作ってきた。しかし、監視カメラの映像に含まれる有益な証拠や情報の発見に意欲的に時間を費やしてきた組織はほとんどない。あまりの不合理さに、中には古いビデオを調べないまま安易に重ね撮りしてしまう企業もある。たいていの場合、緊急で調べる必要が生じた時には既にビデオは上書きされている。
監視カメラの膨大なデータをライブラリで保管してきた組織にとって、データを掘り下げて得られる利益よりも、かかるコストのほうが高かった。しかし近年の技術的進歩のおかげで、ビデオを素早く効率的に検索できるようになってきた。
BriefCamは、アナリストが重要な出来事の動的映像をすぐに見つけ出せるよう、何時間もの無駄な静止画像を賢く削除するビデオ圧縮システムだ。同製品は2010年テキサス州ダラスで開かれたセキュリティ・トレード・ショーで、夜勤の清掃係が安全に保管されていなかった出展者のノートパソコンを盗んだ際に、その価値を証明した。翌朝、出展者のスタッフがBriefCamを使って一晩分の監視ビデオに数分で目を通し、窃盗犯を突き止め、警察はラップトップをすぐに回収することができた。
AISightソフトウェアは、人工知能(Artificial Intelligence, AI)アルゴリズムをライブビデオ画像に適用し、セキュリティ違反が発生するごとに対応がなされるよう、不審な行動を直ちに識別する。例えば、不正関連のアプリケーションが倉庫の入り口の門のような安全な場所で不審な行為を発見したとする。輸送車がセキュリティーチェックで停止するのは普通の行為であるが、守衛がドライバーに注意を向けている隙に助手席のドアから誰かがこっそりと抜け出すのは普通ではない。AISightはこのような潜在的な不正行為を認識し、人間の力を借りることなく警備要員に警告することができるのだ。
こうした洞察を得たら、次の課題はその有益性を最大限にすることだ。マサチューセッツ州ボストンの市場調査コンサルタント会社、アバディーン・グループ(Aberdeen Group)のデレク・ブリンク(Derek Brink)部長は2010年に白書『The Eyes Have IT』を執筆した。この中で、ブリンクはビデオ分析に優れた企業の大半に、以下を含むある共通のベストプラクティスが見られるとしている。
- ビデオデータの体系的な収集、正規化、相関付け
- ビデオデータの監査、分析、報告手段の統一
- 監視ビデオで発見した出来事と決議の主要関係者への伝達
これらのデータ分析とその活用は、内部通報制度を担当するマネージャーにとっても有益なものとなり得る。そしてこれは、適切な不正対策手段がさまざまな場面で効果を発揮するという考えを支持するのだ。
統合された内部通報制度は不可欠だ(MUST-HAVE: AN INTEGRATED HOTLINE SYSTEM)
組織が従業員と主要関係者に対して潜在的な不正の安全な報告手段を提供することは、これまでも常に得策であった。そしてこれは2011年8月12日に、より一層良いアイデアとなった。この日、証券取引委員会(Securities and Exchange Commission, SEC)は、ドッド=フランク・ウォール街改革及び消費者保護に関する法律(Dodd-Frank Wall Street Reform and Consumer Protection Act)が1934年証券取引所法(Securities Exchange Act)に追加した、告発者に関する規定を実施するという最終規則を公布した。この規定の下、内部告発者に対する報復は禁止され、重い罰則が科される。さらに、SECに証券詐欺を通報すると、多額の報奨金が支払われる可能性がある。ドッド=フランク法成立以降の経験と通報数の増加から、SECは毎年約3万の通報、クレーム、委託を予想している。
これらの通報を管理するため、SECは新たに「通報、クレーム、委託ポータル(Tips, Complaints and Referrals Portal)」 (https://denebleo.sec.gov/TCRExternal/disclaimer.xhtml)を立ち上げた。SECの従業員は何千件という同ポータルのデータベースにある既存の情報にアクセスできるほか、さらに情報を追加することができる。この新しいシステムの効果と、予想される膨大な数の通報に対応するだけの捜査員をSECが擁しているかは、今後分かっていくだろう。
しかし、成果が求められているのはSECの制度だけではない。組織内ではなくSECに手掛かりを通報した場合でも、通報者は報奨金を受け取る資格を有する。そのため、従業員に通報者がいた場合、その通報の真偽に関わらず、企業は不正の嫌疑をかけられることでこれまで以上に大きな損害を被ることになるのだ。
例えば、企業内ではなくSECにある告発をしたとする。これが虚偽であったとしても、通報者が企業の倫理文化と内部通報制度を十分に信頼して最初から社内で通報した場合と比べて、企業はより大きな法的費用を被る可能性がある。
逆に、企業ではなくSECに寄せられた通報が確かな根拠に基づいたものであった場合、企業が負担するのはその不正に関する巨額の法的費用だけに止まらない。「組織の従業員と代理業者が報復を恐れず、潜在または実在する犯罪行為を通報する、またはこれに関するガイダンスを求めることができる、匿名性または機密性を考慮した体制を含み得る制度を設け、公表する」という米国量刑ガイドライン(U.S. Sentencing Guidelines)の命令(第8B2.1条)に違反した可能性があるとして、より高額の罰金が科されるかもしれないのだ。
SEC告発者制度は、公開会社に最も大きな影響を及ぼすだろう。なぜなら公開会社は証券を発行し、それゆえにSECの管轄に属する類の不正にさらされるからだ。しかしSECは、株式非公開の、公開会社の子会社や系列会社で働く者なら誰もが証券不正の告発者となり得ると見なしているため、こうした企業の従業員も内部通報の前に、SECに告発しようと考えるかもしれない。従業員の自信と信頼を得られない企業倫理とコンプライアンス、内部通報制度を有する公開会社と同様、非公開会社もデメリットにさらされることになる。
興味深いことに、ACFEの2010年度版『国民への報告書』(p.18)は、同報告書が分析した1,843事例のうち、「2008年の調査同様、株式非公開会社は、通報による不正摘発が最も少なく、偶然によるものが最も多い傾向にあることがわかる」としている。さらに報告書(p.42)は、「内部通報制度は、被害額の損失中央値の削減に最も効果的であり、同対策の有効性の高さを裏付ける結果となった」とした。
2009年発表の倫理リソースセンター(The Ethics Resource Centre)による最新の全国ビジネス倫理調査(National Business Ethics Survey)は、米労働者の約15%が調査期間中になんらかの『危険信号』的行為を目撃したと報告している(p.30)。しかし、うち30%がこれを報告しなかった。さらに、電話による内部通報は2009年に最も使用頻度の少なかった報告チャネル(p.35)で、通報のわずか3%が電話による内部通報だった。
これらの際立った考察と調査結果から納得がいくように、十分に統合された内部通報制度は多くの組織にとって有益なものとなろう。もちろん、通報者が不正を内部通報した後、その実用価値を最大限に引き出すのは雇用者次第だ。捜査員にとって、重要な通報と別の手掛かりとの強い結び付きが見過ごされ、実態が見極められることなくして不正が引き続き行われ、その一方で損害が膨れ上がることほど無念なものなど、そうそうない。しかし、それでも起こってしまうのだ。
Robert Tie
ニューヨーク在住のビジネスライター