経理不正、横領、ビジネスメール詐欺――送金業務の“穴”をふさぐ方法とは：ERP更改タイミングは要注意

2019年は大企業を中心に会計・経理トラブルが多く、ビジネスメール詐欺の被害も多かった。「ERPで内部統制が取れているから大丈夫」と考えている場合、それが命取りになるかもしれない。

[PR／ITmedia]

PR

会計・経理不正や送金詐欺は経営インパクトが大き過ぎる

　健全な企業経営を継続するためには適切な財務管理が必要だ。近年、ITを活用した管理ソリューションが広まっており、経営の支えとなっている。一方で、企業はセキュリティリスクを抱えていることも忘れてはならない。

　2019年は、大企業・グローバル企業での会計・経理不正や横領、ビジネスメール詐欺（BEC）による被害などが頻発した年だった。「上場企業の会計・経理不正が過去最多に」「欧州系企業がビジネスメール詐欺で40億円被害」「財務社員3000万円横領容疑」「経理幹部社員5億8000万円横領容疑」──メディアの誌面には非常に大規模な金額が並んだ。

　特にBECは、世界中の企業にとって大きなリスクとして問題視されている。米インターネット犯罪苦情センターの発表によると、2013年から2018年にかけて発生件数は8万件、未遂を含む被害総額は1兆3200億円にも上るという。国内でもセキュリティ企業が2018年に調査したところ、4割がBECに遭ったことがあると回答した。特にCEOやCFO（最高財務責任者）などの役員が被害に遭う確率は従業員よりも高いとされる。

　日本CFO協会がキリバ・ジャパンの協力を得て2019年5月に発表した調査によると、2020年にかけて重要視すべき財務リスクとして「社内の不正リスク」「社外の不正リスク」がトップ1、2に挙がった。また操作ミスやワークフローの不具合などの「オペレーションリスク」が急上昇して5位にランクインした。

キリバ・ジャパンの小松 新太郎氏

　内部不正やBECは金銭を取り扱うフロー、すなわち送金業務のプロセスの「穴」を狙ってくる。送金申請から送金指示に至るまでの業務プロセスはERPで管理しており、不正が入り込む余地はないと考える読者もいるのではないだろうか。しかしそれは間違いだ。

　「ERPによって内部統制が取れているように見えるかもしれませんが、不正やBECはその外側で起きているのです。送金指示や取引先審査、残高照会といったプロセスはERPで統制できず、手作業が多い。そのためチェックが甘いこともあります。2019年に起きた複数の事件でも、そこを攻撃者に突かれたのです」と、キリバ・ジャパン　代表取締役社長の小松 新太郎氏は指摘する。

送金プロセスにおける一般的な内部統制と攻撃者が狙うポイント

送金処理の手作業、属人化が不正、詐欺の温床となる

　では、攻撃が起きるパターンを見てみよう。

　例えば自社のCFOから送金担当者に「○○に送金してください。緊急です」という“送金指示”のメールが来たとしよう。CFOからの指示であれば、断るのは難しい。命令通りに送金したら、実はCFOに成り済ましたBECだったのだ。小さな組織で送金担当者が1人だった場合、チェックは甘くなってしまうだろう。

　“取引先審査”も不正の入り込む余地が大きい。新しい国や地域で取引があった場合、企業や取引情報が不正なのか正しいのかを見極めるのは難しい。

　“残高照会”も不正を許すポイントとなる。内部犯が小切手を銀行に持ち込めば、システムに記録を残すことなく現金を得ることができる。残高照会が甘かったり、あるいは残高照会の担当者が内部犯だったりした場合、被害に気付くのに相応の時間がかかってしまうだろう。

　こうした送金プロセス――「お金の流れのラスト1マイル」は、従来のERPだけでは守りにくく、また自動化も難しい領域だ。例えば送金処理は、グローバル展開を図る企業にとって大きなハードルの一つである。世界中の多種多様な銀行口座とやりとりするために、各銀行の基準にのっとった送金フォーマットを作成して運用するのは骨の折れる仕事だ。結果、手作業で入金する方が楽だと判断するのも不思議ではない。

お金の流れのラスト1マイル

　手作業の送金プロセスは、上述のように不正や攻撃の対象となる。煩雑で操作ミスも起きやすい。事業継続性においても弱点になってしまう。そして手作業が普通になると属人化が進む。ある1人の担当者しか送金処理ができないという状況になれば、不正を犯しやすく、BECにも引っ掛かりやすくなる。

　「不正や詐欺によって経済制裁対象の国や地域へ送金してしまい、信用を大幅に低下させたり処罰を受けたりするケースが考えられます。例えば米国のFCPA（海外腐敗行為防止法）では、罰金や取引停止など重い罰が定められています。不正や詐欺の被害者であるかにかかわらず、企業の存続が危ぶまれる結果になるかもしれません」（小松氏）

不正の機会をなくすキリバのペイメントハブ「キリバペイメントネットワーク」

キリバ・ジャパンの吉田英樹氏

　不正や攻撃とは「動機」「正当性」「機会」の3つがそろって行われるものだ。金銭の取得が目的の犯罪者であれば、動機や正当性を覆すことは難しい。ならば機会をなくすのはどうだろうか。不正を起こす余地がなかったり、詐欺が機能しなかったりすれば、上述のような被害に遭いにくくなるだろう。

　キリバ・ジャパンのペイメントハブである「キリバペイメントネットワーク」は、統制すべきポイントをERPではなく「お金の流れのラスト1マイル」側に置き、不正ができない／不正に気付ける環境を整備するソリューションだ。ペイメントハブとは、端的に言うと「グループ共通支払いプラットフォーム」である。グループ各社の支払い処理を一本化し、全ての支払いを「可視化」、場合によっては「自動化」する。

　「グローバル財務・資金管理ソリューションで知られる当社は、多種多様なERPとの接続、世界中の銀行との連携を可能とする技術とノウハウを持っています。利用するERPが何であれキリバペイメントネットワークにつなげられますし（マルチERP Connectivity）、取引先の銀行がどこであれ自動的に連携します（マルチBank Connectivity）」と、キリバ・ジャパンの吉田英樹氏（営業本部ソリューション部　プリセールスディレクター）は説明する。

ペイメントハブの機能

　ERPはベンダーが開発、提供しており、容易に更改できない。本社と海外子会社とで別々のERPを利用するケースも珍しくない。キリバペイメントネットワークは、多様なERPの複数バージョンに対応してフォーマットを柔軟に変更し、違いを吸収する。

　また上述したように、海外展開を図るとさまざまな銀行との連携が必要になる。銀行はそれぞれ異なる送金フォーマットを持つため自動化が困難で、企業のIT部門もERPベンダーも銀行側も対応に苦慮していた。キリバペイメントネットワークは、多くのフォーマットにメンテナンスフリーで迅速に対応し、多くの処理を自動化する。

見えない海外子会社もキリバペイメントネットワークでリモート統制

　コンプライアンスやリスク対策が甘くなりがちな海外子会社は、特に不正や詐欺に狙われやすい組織だ。小規模故に承認者と確認者が同一だったり、支払担当者が1人だったりと組織的な課題も要因の一つになっている。キリバペイメントネットワークでお金の流れのラスト1マイルを可視化して本社の財務部門が統制できれば、そうした問題も一気に解決する。

　例えば、これまで現地担当者がExcelファイルで申請書を書き、現地マネジャーが承認し、現地担当者が支払い処理をするというフローであったとしよう。この現地担当者と現地マネジャーが共謀していたり、共にだまされていたりする場合、そのことを本社が認識することは困難だ。キリバペイメントネットワークがあれば、このフローに本社財務部門を組み込むことが可能で、リモートから確認、承認できるようになる。

キリバペイメントネットワークで支払い処理のフローに本社財務部門を組み込める

　「キリバペイメントネットワークには、さまざまな不正支払いのシナリオを自動検知する機能が組み込まれています。“国内送金にもかかわらず受取口座が他国の支店”“承認を回避するための不自然な支払いの分割”“通常とは異なる支払金額・支払日”など、疑わしい振る舞いや取引を検知してアラートを上げる仕組みです。企業の取引は膨大で、目視で不正に気付くことは難しい。こうした仕組みが犯罪を防止する大きな助けとなるでしょう」（吉田氏）

ピンチのERP更改も作業を軽減して乗り切ろう

　小松氏は「ERPの切り替えタイミングは不正や詐欺に狙われやすいため、特に注意すべきだ」と指摘する。

　ERPの更改は、非常に大きな負荷がかかる。財務部門は小規模なことが多く、通常業務に加えてERPの更改作業で疲弊する可能性が高い。そのため支払い処理を細かにチェックする余裕がなくなるかもしれない。また取引先との関係性でERPの更改は公表されることも多く、容易に狙われてしまう。

　「銀行との接続やフォーマット対応など、多数のカスタマイズが施されたERPの移行作業は非常に困難で時間もかかります。しかしキリバペイメントネットワークがあれば、少なくとも送金関連の開発について悩む必要はありません。ERP移行も支援できるソリューションなのです」（小松氏）

　見落としがちなお金の流れのラスト1マイル。ERP更改を考えたり、子会社の支払い処理を管理したりしたいと考えている企業はキリバペイメントネットワークを検討してみてはいかがだろうか。

セミナーのご案内

セミナー名称：財務がリードすべきグループ・グローバルガバナンスのポイント

開催日時：2020年3月18日（水）15:30〜18:00（受付：15:00〜）

開催場所：東京都港区赤坂9-7-1　ミッドタウンタワー4F

当セミナーは、こちら（キリバ・ジャパンのWebサイトに移動します）からお申込みください。