ワークフローで不正を防げるのか?

こんにちは、古久保です。

池井戸潤先生原作、「七つの会議」が大ヒット上映中であります(2019年2月現在)。小説や NHK の土曜ドラマを見た者であり、我らが野村萬斎先生主演となると観ざるを得ません。(まだ観てませんが)物語は、企業の不正に関するドロドロ人間ドラマであります。胸がモヤモヤ、キリキリであります。

かつてソフトウェア開発に従事していた時に上司から「不具合を個人で隠蔽すんな!いつでもスグに報告しろ。隠蔽するなら会社ぐるみでやらんと!」と言われたことがあります。(なんだかカッコいい)上司が言いたかったのは、「個人で不具合を隠すのはもっての他。組織で対処すべし。」なのだと思います。
合わせて言われたのは、「不正は必ずバレる。雪印牛肉偽装事件を思い出せ。報告に迷ったら『ユキジルシ』を3回唱えて考えろ!」でした。おかげ様で私も誰も不具合を隠蔽(不正行為)しなかったです。ただ、思い返すと不具合報告する前に「♫モリナガ♫」を3回唱えていた気がします。申し訳ございませんでした。

ということで、「ワークフローは不正防止に貢献できるか?」について思うところを書いてみました。

◆不正とは?

「不正」といっても色々あり、家の中に閉じることもあれば、ニュースに載るほどの社会的な「不正」もあります。「ワークフローは不正防止に貢献できるか?」が今回、主題ですので「職業上の不正」を対象にお話を進めます。

で、「職業上の不正ってナンダ?」ですが、一般的な定義としては

雇用主のリソースもしくは資産を意図的に誤用または流用することを通じて私腹を肥やすために、自らの職業を利用すること
出典:一般社団法人日本公認不正検査士協会:2018年度版 職業上の不正と濫用に関する国民への報告書(日本語訳)P.6
になります。「意図的に」「私腹を肥やすために」が重要ワードとなるでしょうか。で、で、職業上の不正の分類としては、以下の体系となるようです。

不正の大分類を意味としては、以下となります。

* 汚職
直接的または間接的利益を得るために、従業員が雇用主に対する義務に反して商取引における自らの立場を悪用するスキーム
* 財務諸表不正
従業員による組織の財務情報の意図的な虚偽記載と不作為
* 資産不正流用
従業員による組織の資源の窃盗や悪用

出典:一般社団法人日本公認不正検査士協会:2018年度版 職業上の不正と濫用に関する国民への報告書(日本語訳)P.78

◆ワークフローで対応できる範囲は?

ワークフローの不正に対する有効性としては、

* 取引や作業のチェックを義務付ける業務ルールにより不正が早期に発見される
(不正の発見/防止)
* ワークフロー実行履歴から不正を誰が発案し、決裁したかをさかのぼって調べられる
(不正の発見)
* 「不正は高い確率で事前/事後でバレる」が周知されれば不正に踏み切らない
(不正の抑止)

と言えます。では、ワークフローで対応できそうな範囲は何になるでしょうか?

◆◆汚職

商取引の上での「贈収賄」の収賄、「違法な謝礼を受け取る」は、「賄賂を受け取ること」なのでワークフローで防止や発見は難しいですね。(ワークフロー外で実行される)
しかし、贈賄、「違法な謝礼を出す」「利益供与」は、会社から何らかの賄賂(ほとんど金銭でしょう)が出ることになります。よって、お金の流れがワークフローにのるのであれば防止・発見は可能になるでしょう。

「利益相反」に関しては、ワークフローの有効性はあると考えられます。不正のケースとしてよく取り沙汰されるのは「取締役が会社に自己所有の不動産を売り渡す場合、不動産の売却価格を高く設定する」です。
きちんとチェックや決裁(客観的な判断を求める)を行うワークフローが運用されているのであれば、(前述のケースで言えば)「不当な売却価格での売買」は成立しないことでしょう。

◆◆財務諸表不正

ワークフローの有効性は、なかなか主張しがたいです。財務諸表自体が様々な業務の集大成でありますので、財務諸表を作成するワークフローでは、内容の不正発見・防止に対して有効とは言いづらいです。また、上場企業や大企業に対しては、金融商品取引法および会社法において公認会計士や監査法人による財務諸表監査が義務付けられています。(ある意味)ワークフローの有無、関係ないのであります。

ただ、財務諸表を作るための情報を、ワークフローの結果でもって作成するのであれば「財務諸表は、業務ルールに則っており正しい情報」と言えます。「財務諸表不正」の余地も少なくなると言えます。(少々強引でしょうか。スミマセン)

◆◆資産不正流用

ワークフローが活躍できる本丸と言えるのではないでしょうか?

* 取引証跡を確実に確認・決裁できるワークフロー設計と運用
* 週次なり月次なり四半期なりで棚卸しを行うルーティーンワークフローの運用

上記で不正の発見・防止をおおよそカバーできるのではないでしょうか。

◆ワークフローの隙きを突く不正

ほとんどの企業は、紙であれシステムであれワークフローの運用を行っています。「ワークフローを運用すれば不正はなくなる」のであれば新聞や TV ニュースを賑わせることもありません。また、小説にもならないです。悪意を持って全力で取り組めば(?)ある程度の不正をそのまま進めることは可能なのです。
しかしながら、ワークフローとて万全ではありません。「隙き」を突くことは可能です。挙げればキリがございませんが、よくある例を2点示します。

◆◆決裁ルールの悪用

決裁ルールが「申請者の所属するグループ長が決裁を行う」であれば、グループ長が申請した場合、グループ長自身が決裁できてしまいます。つまり、申請者と決裁者が同じである場合です。
例えば、申請内容が、出張旅費精算だった場合、空出張が容易に決裁できてしまうことになります。虚偽の申請や私的な物品購入である不正な申請の決裁が通し易くなります。「ワークフローの隙き」でもあり、「決裁ルールの隙き/不備」を利用した不正です。

◆◆権限の濫用

ワークフローの途中の申請書類やデータに触れることのできる権限を保有していた場合、不正を実現する改ざんが可能になります。例えば、申請内容が、出張旅費精算だった場合、決裁後の申請書類やデータを実際の精算金額より多くすることで不正を実現することができます。(合わせて証跡も改ざん要)紙の場合は、経理部門に出入りできる権限(部屋へ出入りできる鍵)や担当者のトレイや机を触れる状態で実現できます。システムでは、ワークフローデータを変更できる権限を保有することで実現できます。

◆つけ入る隙きを与えないワークフローシステムとは?

まずは、性悪説を前提とした業務ルールの整備が必要です。「決裁ルールの悪用」で記載しました決裁ルール「申請者の所属するグループ長が決裁を行う」で申しますと、例えば

* 申請者の所属するグループ長が決裁を行う
* 申請者と決裁者が同じ場合は、決裁者の上位組織の長が決裁を行う
* 申請者が代表取締役社長であれば、代表取締役副社長が決裁を行う

ルール改正が必要となります。その上で、システム的に実現することで不正防止が高い確率で可能となります。

◆◆決裁ルールの悪用を防止

紙の場合は、決裁印欄を工夫する、システム化の場合は、システムが決裁ルールを厳密に設定することで(ある程度)実現ができます。

◆◆権限の濫用の防止

紙の場合は、申請用紙へのアクセス(鍵の保有管理を厳密に)を強化すること、システム化されているのであれば権限保有ルールを厳密にすることでで(ある程度)実現ができます。システム化されている中での権限保有ルール例としては、

1.ワークフローデータを変更できるログインユーザを限定する
2. 1. のユーザは、データを変更する為だけのユーザ(申請・決裁等の操作はできない)
3. 1. のユーザのログイン情報は、総務部長が管理し、使用する際は、総務部長の許可を必要とする。
(許可を取るワークフローを実行する)

等が考えられます。

◆組織的な不正の防止は?

お気づきの人は、多数いると思います。前述で記載してきたものは、あくまで「個人の不正」に対する「発見・防止・抑制」であります。ワークフローは、業務ルールそのものですので、業務ルールが意図的に不正し易くしていたり、組織ぐるみで不正を行っている場合は、ワークフローの有効性は有りません。(不正を行う人々の努力次第ですが)

しかしながら、多くの企業は、組織ぐるみで不正を許容していません。むしろ、「組織的な不正を行っているのではないか?」と監査人や株主、取締役に痛くもない腹を探られているのではないでしょうか?ワークフローとしての対策は、「終了したワークフローの書類やデータを改ざんできないことを担保する」ことです。書類であれば保管を徹底管理する、システムであればデータの変更を行う機能を提供しないことになります。

Questetra BPM Suite で言えば、「終了したワークフローデータの変更を行う機能を提供しない」になります。利用者がデータを変更することはできません。さらに、クエステトラのセキュリティポリシーとして、

1. 機密性/Confidentiality
お客様のデータにアクセスしません
クエステトラの従業員は、お客様によって明示的に許可された場合に限り、お客様に所有権があるデータにアクセスします。…
Questetra SaaS Security

を制定しております。正当で深刻な理由で決まったご担当者のご依頼以外、データの修正はもちろんのこと変更も受付けられません。(2019年2月現在)データの修正依頼を受付実施した実績もございません。このような運用体制を前提にすれば「ウチは、Questetra を使用しているので業務データの改ざんは行えません」と主張して頂けます。

◆まとめ

ということで、「ワークフローは不正防止に貢献できるか?」については、

ある程度は、貢献できる!

というツマラナイ主張となります。

* 業務ルールを熟知している
* ワークフローの仕組みを熟知している
* 不正行為の努力を惜しまない

不正を行う人の属性が上記の場合、いたちごっこになります。しかし、不正を行う人が「ルール・仕組みを熟知している」ことを考えると、不正を行いづらいルール・仕組みであれば抑止が期待できます。
一方で、「働き方改革」等、業務効率化も企業には求められています。「不正行為の努力」に見合う不正の対価を考慮したルール・仕組み(厳しさのメリハリ)も考えなければならないようです。当たり前なことを記載しました。しかし、ワークフローの設計や、システムの導入において「(ワークフローの)不正防止の仕組みのメリハリをつけられるか?容易か?」という議論はあまりされていないように見受けられます。(私の感触で恐縮ですが)
不正の傾向等をある程度把握し、ルール・仕組みづくりに活かしてもらえればと思います。(仕組みづくりには、Questetra を強く推奨致します!)

<不正の傾向把握のご参考>
一般社団法人日本公認不正検査士協会:2018年度版 職業上の不正と濫用に関する国民への報告書(日本語訳)

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Scroll to Top
%d人のブロガーが「いいね」をつけました。