面接調査には誰が立ち会うべきか?
2021年4月21日有罪または無罪宣告をせずに報告書を書く
2021年5月26日
執筆者:Mustafa Yusuf-Adebola, CFE, CPA, CIA
新型コロナウイルスの大流行により、私たちの仕事や生活様式が変化してから1年が経った。読者の皆さんもご承知の通り、組織にとって大きな変化の一つがリモートワークへの移行だった。リモートワーク自体は決して新しいものではないが、世界的な健康への懸念が他の問題を凌駕して、オンラインでつながるバーチャルの世界が頼りになる解決方法となり、既存の仕事の枠組みに大きなストレスを与えることになった。
極めて多くの人々や組織がオンラインへの移行に何の準備もできていなかったが、業務を安全に遂行しなければならなかった。リモートワークが増えても、フィッシングなどの詐欺やオンライン会議のハッキングといった不正行為はなくならず、不正実行者はコロナ休暇を取らなかった。
組織の調査に携わる私が気が付いた興味深い発見は、不正リスク管理においてFraud Risk Assessment(FRA、不正リスク評価)がいかに洞察に富んでいるかということだ。「転ばぬ先の杖」ということわざがあるのに、なぜ問題が起きるまで行動を起こさないのか? 不正対策の専門家は不正リスクを理解し、以下の事柄を進めていかなければならない。
法の処罰を待っていてはだめ
FRAが行われれば、出現するリスクの評価をサポートできる。我々がこれまでに学んできたように、不正を完全に排除するのに確実な方法というものは存在しない。だがFRAは、特に波乱に満ち変わり続ける環境でビジネスの決定を下す時に極めて重要なツールとなる。組織の中には、リスクとコンプライアンスの目標をチェックリストのようなものと考えているところがあるかもしれないし、何の規定も設けていない組織では不正リスクを評価する部署に投資をしていないだろう。
しかしながら、法令遵守がもたらす利益は、コンプライアンスがないことによって生じる経費を上回るだろう。不正対策の専門家は法的な処罰を行うために対応するよりも、どのような出来事が現在そして将来にわたり組織の内外に脅威をもたらすのかを予測するために、業界内外で起きている不正や詐欺の傾向を学ぶべきだろう。これにより、組織は規制当局に一歩先んじることができる。
不正への認識を高める
不正リスクへの認識を醸成することがどれだけ大事なことか、どんな説明でも強調しすぎになることはない。なぜか? 古いことわざ(訳注:A chain is only as strong as its weakest link 一番弱い環が鎖の強さを決める)の表現を借りると、「You are only as strong as your weakest link(あなたたちは、弱点となる人と同じくらいの強さしかない)」からだ。
リモートワークへ移行するにつれて、適切な不正認識の訓練を提供していると証明することがより一層難しくなったのに、新しい場所での実施に迅速な対応が求められている。面接調査において環境が極めて重要なように、リラックスした環境にいる時に従業員から興味深い気づきを得ることがあるかもしれない。Zoom会議中のティーブレイクであれ、部署内の短い電話会議であれ、こうした会話が不正の認識につながる新たな道を切り開くかもしれない。
不正対策担当部署が教科書の受け売りで編み出したコンセプトをスタッフに伝えるような、一方通行の訓練やセッションは、実際に組織の中で起きた不正を題材にするのと比べてインパクトに欠ける。なぜなら、人は経験からより多くを学ぶからだ。一目見ただけでは不正リスクと見なされないような事柄でも、スタッフ同士の私的な交流などの中で不正が明らかになるかもしれない。
スタッフの学びや開発部署に対して不正対策部署はどんな貢献をしているか? 欠陥や不正リスクが見つかった特定の部署のリスクへの意識を高めるために、適切であろう訓練を決定したか?
不正行為をめぐる心理
ACFE (Association of Certified Fraud Examiners; 公認不正検査士協会)は隔年で公表している「職業上の不正と濫用に関する国民への報告書」の中で、不正実行者の人物像を分析している。重要なことは、なぜそんな行動をとったのか理解できるか? 特定の行動をとるスタッフの思考プロセスはどういうものなのか? 自分たちを取り巻く環境の中でどんな行動や傾向が見られるのか? スタッフやサードパーティーもチェックしているか? 彼らは組織に与える影響を理解して行動しているのか、それとも組織を代表して直感で決定しているのか? 人間の思考の主導と関与を妨げるものではないが、パンデミックの初期に人々が在宅で働いている間、サイバー攻撃やフィッシング詐欺の試みはスタッフやサードパーティーの決定によって簡単に阻止されたものもあった。
実生活で不正や詐欺に直面した時に、組織全体にリスク認識に基づく基礎と気づきがあれば、スタッフやサードパーティーが適切な当局へ通報することができる。
データ解析
データ解析という言葉がここ数年流行しているが、データを集めて結果を分析した先にあるのは、組織がどのようなデータが使われているのかをしっかり理解する努力をするべきだということだ。数字は、示し方によっては誤解を招く恐れがある。従って部署内にデータサイエンティストがいるなら、何が最終的な目標なのか、どんな異常値を検出したいのかをきちんと理解してもらう。例えば2020年は異常な年だった。私達の働き方、暮らし、交流の変化が消費者行動に大きな影響を与え、そのデータが蓄積された。もし、現在から10年分遡って傾向を分析しようとするのなら、明らかに数値に影響が出るだろう。
不正検査士の経歴によるところが大きいが、不正対策の専門家にとって重要な数値や傾向は、この仕事に馴染みのない人は不正の兆候と捉えないかもしれない。誤検出やエラー、間違った情報を防ぐために、解析の一連の流れを検証し、それぞれの段階で関わる関係者に何を探しているかを理解してもらわなければならない。そうしないと不正との闘いに有用なデータを得られないだろう。世界的な企業スキャンダルに関わり不正会計で数字をもてあそんでいる者の手がかりを得られるだろう。
代替案
2020年が私達に教えてくれたのは代替案を持っておくことの重要性だった。また一時的なものでも簡単に拡張できるということも私達は学んだ。コロナ前、機敏さは主にビジネスのコンセプトだったが今では全ての人に当てはまる。同様に、FRAも不正リスクの出現に応じて一時的に変えられる。事業継続リスクは単純な理論ではない。組織にとって最悪のことが起こる可能性を想定し、進む向きを変えられるような代替案を準備してこの不確実な時代を生き延びていこう。
不正リスク管理が優先事項ではないのなら、組織は不正を防ぐことよりも不正の発見に時間を費やすだろう。世界的な不正を減らすリーダーの役割を果たすために、不正対策の専門家は各々が働く業界で不正リスクが生じてから行動するのではなく、先んじて手を打たなければならない。
英文タイトル :What We’ve Learned About Fraud Risk Assessment After a Year of the Pandemic
英文記事リンク:https://www.acfeinsights.com/acfe-insights/what-we-learned-fraud-risk-assessment-pandemic
原文掲載日:2021年3月18日
翻訳:ACFE JAPAN事務局
※わかりやすさを優先させるため、意訳を行っています。ACFE JAPAN (一般社団法人 日本公認不正検査士協会) 公式の邦訳とは異なる表現を使用している場合があります。