第139号コラム:丸山 満彦 監事(デロイト トーマツ リスクサービス株式会社 パートナー、
公認会計士、公認情報システム監査人)
題:「データ分析を使った不正発見手法」
内部統制には予防的統制と発見的統制があるが、今回は発見的統制に関する話題である。発見的統制は、リスクが発現しているかどうかを記録(ログ)を検査して発見し、発現したリスクの影響を最低限にするための対策である。一般には予防的対策でリスクの発現そのものを抑えるほうが効果的であるが、費用対効果の面で予防的対策よりも発見的対策のほうが効率的な場合もある。このような次善の策としての発見的対策というのは、あらかじめ想定されるリスクが発現していないかどうかを発見するということになる。たとえば、「通常時には深夜0時から朝の6時にサーバに管理者権限でアクセスすることはないが、緊急時にはそのような場合もありえる」という場合には、「通常時においては深夜0時から朝の6時にはあらかじめ管理者権限を利用できないように権限を設定し、予防的対策をし、緊急時には上長が承認した上で管理者権限を利用できるようにする。」という対策も理論的には考えられるが、運用上は難しいのは明白である。このような場合には、「深夜0時から朝の6時に管理者権限を利用した場合には、上長にアラートを上げ、事前の作業承認と一致していることを確認する」といった、発見的な統制が使われることになる。
しかし、今後はこのようなあらかじめ想定されたリスクの発現に対する発見的統制ではなく、未知のリスクに対する発見的統制の重要性が高まってくると思われる。たとえば、外部からのアクセスログを分析して不正なアクセスの兆候がないかどうかを分析し、発見し、不正アクセスが行われないように予防的対策を強化するような活動がそれにあたる。このようないわゆるデータ分析の手法は、外部からのアクセスログのみならず、内部も含めた様々な活動に潜む不正の発見にも活用できる。この場合、様々なログを連携させ、統合した上で様々な観点からの分析をすることが重要である。たとえば、社内ネットワークのアクセスログと会計システムの操作ログを特定のIDを切り口に分析するといったようなことである。その際には、特定の仮定を置かずに複数のデータ間の相関分析を行ったり、趨勢分析をおこなったりすることも重要である。ある会社で循環取引に係わる不正を発見したのも、顧客別の趨勢分析と利益率分析を組み合わせた結果から推定しておこなった。
このようなデータ分析を利用した不正発見手法は有効性、効率性の面からも今後ますます重要となってくるだろう。この分野では、膨大なデータを効率的に分析するための技術的能力にとどまらず、効果的に不正を発見できるような分析の切り口に関する経験、分析結果から不正の兆候や不正を読み取る能力などが求められる。このようなデータ分析は、既に不正発見の手法として会計監査、内部監査の現場でも活用されており、フォレンジックの専門家の活躍の場はこれからもますます広がると思う。
【著作権は丸山氏に属します】