不正発見のためのデータ分析、データ監査
こんにちは、丸山満彦です。クライアントの人から「最近更新していませんね。。。」と突っ込まれることもしばしばありますので、本日はリンクだけでなく日ごろ感じていることもちょっと書いてみようかと思います。。。
山口先生の2010年4月 1日 (木)のブログ、「「不正発見監査」はもはやトレンドなのか?」で先生が会計士の社会で不正発見監査がトレンドなのかどうかを気にされているようですが、私の個人的見解(このブログはつねにそうですが。。。)では、会計士は常に不正発見監査については気にしていると思います。大きな事件があったからだけではなく、自分の監査クライアントで不正があるのかないのかについて気にならないわけはないと。。。 今まで不正なんて起こらなかった会社であっても、経済状況の変化、経営者や主要な管理者の交代等の経営環境の変化によって不正が起こりやすくなったりするわけです。加えて監査の現場では、不正につながるような兆候や、小さな不正というのは目の当たりにしているわけですね。。。
内部統制報告制度が義務付けられましたが、内部統制にも限界(たとえば、経営トップによる不正など)がありますし、内部統制評価の限界(有効ではない内部統制を有効と判断してしまうようなこと)はあるわけですね。
なので、内部統制報告制度が導入された結果、不正は起こりにくくなったと思いますが、不正を気にしないわけにはいかない。。。一方、不正の手口も巧妙になってくるので、監査人による発見も難しくなってくると。。。
で、海外では以前から大きなビジネスになっているのが、データ分析、データ監査のようなものです。
このデータ分析、データ監査のようなものは財務関係の不正発見のためだけの手法ではありません。個人情報の漏えいの可能性等の分析にも使えます。広い意味では売上向上のための分析も含みます。
ただ、今回は不正発見のための活用という点において話をします。。。
様々なデータ間の相関分析をしたり、トレンド分析をおこなったり、不正を働く人が気がついていない(または改ざんできないような)ログ(記録)等の分析を通じて、不正や不正の兆候を発見したりできます。監査人の世界いうところの「分析的手続き」というものの一種です。
わかりやすい例でいえば、在庫の回転率等を分析し、評価減が必要にも関わらず意図的に評価減をしていないような在庫を見つけだしたりするなどが考えられます。
ただ、最近は上記のようなわかりやすい例だけでなく、様々なデータが会社に蓄積されていますし、扱えるデータ量の増加、データ処理速度の向上、分析ツールがよくなったことから、もっと高度な分析もできるようになってきています。(ITの活用が不可欠です!!!)
分析ツールについては、監査人用のいくつかのソフトもあります。それ以外のデータ分析ソフト等も駆使できるとさらに分析できる幅は広がります。
従来は主に会計データの分析をしていたのですが、それ以外にネットワークやデータベースのアクセスログの分析、電子メールの検索等を通じて会計不正の発見を行うということもできます(実際、そういうことをしてたりしているのですが。。。)
今年度の内部監査の計画を立案されている皆様におかれましては、
●データ分析、データ監査の手法を活用して不正発見に力をいれる。
というのも監査テーマの一つにしてみてはいかがでしょうか?
もっとも、これまた持論ですが、「不正を発見することそのものよりも、不正をしても発見されることを認知させ不正の抑止を行うということが、不正を発見するという行為の目的」であります。。。
Comments
おひさしぶりです。
粉飾決算の法的責任が問われている裁判に関与している身としては、たいへん興味があります。ぜひ勉強させてください。
不正をさがせ、という依頼が一番むずかしい、と某会計士さんから聞きました。不正を働いてもみつかってしまう、という意識が浸透されるようになればたしかに一番いいですね。
Posted by: toshi | 2010.04.08 23:20
toshi先生、コメントありがとうございます。不正の発見にITの活用は重要ですよ。。。海外ではいろいろと本も出ているけど、日本では少ないかもです。
たとえば、「Computer Aided Fraud Prevention and Detection: A Step by Step Guide」
http://www.amazon.co.jp/exec/obidos/ASIN/0470392436/
とか。。。
Posted by: 丸山満彦 | 2010.04.09 01:24
日本では野々川幸雄さんの「異常点監査の実務」が昔からありますね。
私が昔々会計監査をしていたころは、あまりピンとこなかったのですが。
異常点を見つけるには、ITを利用した方が発見し易いかと思います。以前、磯崎哲也氏のブログでも、そのような未来が描かれていましたね(見直してみたら、2005年4月17日の記事内、監査手法の変貌の章でした)。
以前、データ監査で「ここがおかしい」と思って会社に聞いても「なぜおかしいと思うのか?」という問いに十分に答えられず、「分析がおかしいのでは?」と反論されて、引き下がったことを思い出してしまいました。
内部統制報告制度と言っても、なかなか不正対応(発見)まで視野に入れたRCMを作成している所は少ないかと思います。
発見された不正事例はまま見かけますが、社内での「不正の抑止」まで至っているところは、もっと少ないと感じます。あまり不正の手段を公開しても、変なノウハウが社内に広がる可能性もありますし。
Posted by: Mulligan | 2010.04.09 15:23
Mulliganさん、コメントありがとうございます。
野々川先生の本は年々?厚くなってきていますね。。。
でも、ITについてはあまりというかほとんど言及されていなかったようにも記憶しています。。。
データ監査的な話ですと
トーマツが監訳している
「内部監査のためのデータ監査技法」
http://www.amazon.co.jp/dp/4474022440
があって、これは入門書的にはよいですね。。。
不正だけでなく、有効性監査についても言及しています。
Posted by: 丸山満彦 | 2010.04.09 19:41