検出統制とは、すでに発生したエラーや不正、ルール違反などの問題を「あとから見つける」ための仕組みや手続のことである。内部統制の分類では、発見的統制という言い方をされることも多い。

同じ内部統制でも、予防統制は問題が起きる前にブレーキをかける仕組みであり、検出統制はブレーキをすり抜けた問題を早めに見つけて影響を小さくする役割を担う。どちらか一方だけで完璧を目指すのではなく、予防統制と検出統制を組み合わせて全体としてリスクを抑える発想が重要である。

検出統制の典型的なイメージは、次のようなものになる。

一つ目は、定期的な照合や差異分析である。総勘定元帳と補助元帳の突合、銀行残高と帳簿残高の照合、在庫帳簿と実地棚卸の差異分析などが代表例である。

二つ目は、例外や異常値のモニタリングである。取引金額が異常に大きい伝票、通常とは異なる承認ルート、深夜のアクセスログなど、あらかじめ決めた条件に当てはまる「おかしなデータ」を抽出して確認する統制である。

三つ目は、内部監査やレビューである。年次の内部監査、経営層や部門長による月次実績レビュー、独立した第三者によるレビューなども、広い意味では検出統制として位置づけられる。

予防統制との違いと役割分担

検出統制を理解するうえで、予防統制との違いを整理しておくと分かりやすい。

予防統制は、問題が起きる前に「そもそも起こせないようにする」仕組みである。代表的なものとして、職務分掌、承認ワークフロー、アクセス権限設定、入力チェックなどがある。これらは統制としての効力が強い一方で、業務のスピードを落としたり、柔軟性を失わせたりしがちである。

検出統制は、問題の発生そのものは許容しつつ、「起きたら必ず見つけて早く手を打つ」仕組みである。ログモニタリング、例外レポート、定期的な照合、データ分析による異常検知などがこれに当たる。予防統制ほど業務を縛らない代わりに、見逃しをなくす設計と、見つけた後の対応プロセスが重要になる。

実務では、すべてを予防統制で固めると現場が動かなくなり、すべてを検出統制に頼ると「不正やエラーが起きた後の後追い」ばかりになってしまう。このため、重要なリスクについては強い予防統制を置きつつ、それを補完する検出統制を設計するという役割分担が現実的である。

検出統制の代表的な例

検出統制は、会計・業務・ITなどの領域ごとに形が少しずつ違う。ここでは内部監査の視点から代表的な例を整理する。

会計・財務領域の検出統制

会計・財務領域では、数字の整合性と異常な取引の有無を確認する検出統制が中心となる。代表的なものは次のとおりである。

売上や債権に関しては、売上台帳と入金データの照合、滞留債権や回収遅延の分析、売上と原価の関係を確認するマージン分析などがある。

資金管理では、銀行残高と帳簿残高の定期的な照合、未記帳や二重記帳の有無を確認するチェックが基本となる。

決算の観点では、勘定科目ごとの残高推移や比率の変化を分析し、通常とは異なる動きがあれば明細レベルまで掘り下げるといったレビューが検出統制にあたる。

業務プロセス領域の検出統制

業務プロセスでは、現場で行われた処理がルールどおりかどうかを「あとから」確かめる仕組みが検出統制となる。

契約や取引条件のレビューとして、一定金額以上の契約についてサンプルを抜き出し、値引率や特別条件が承認ルールどおりか確認する方法がある。

購買や経費精算では、支払先別の支払状況や異常に高い経費の有無を定期的にモニタリングしたり、経費証憑と精算内容をサンプリングで突合する統制が一般的である。

在庫や資産では、定期的な棚卸しと帳簿残高との照合、廃棄・除却の実態確認などが検出統制として機能する。

IT・セキュリティ領域の検出統制

ITやセキュリティの領域では、「ログ」と「アラート」を中心に検出統制が設計される。

アクセスログや操作ログを取得し、管理者権限の利用、深夜や休日のアクセス、海外IPからのアクセスなど、通常と異なるパターンを自動で抽出する仕組みは、典型的な検出統制である。

システムの設定変更やユーザー追加について、変更履歴を定期的にレビューし、不適切な権限付与や設定変更がないかを確認することも重要な検出統制になる。

クラウドサービスの利用が広がる中では、クラウド環境に対する監査ログの収集や、セキュリティルール違反を検知して通知する仕組みも検出統制として位置づけられる。

検出統制を設計するときのポイント

検出統制は、単に「ログを取っている」「レポートを見ている」だけでは機能しない。内部監査の立場から見ると、次のような観点で設計されているかどうかが重要となる。

第一に、何を検知したいのかを明確にすることである。不正な経費精算を見つけたいのか、承認ルールに反した取引を見つけたいのか、システムへの不正アクセスを見つけたいのかによって、見るべきデータも条件も変わる。先にリスクシナリオを言葉で書き出し、それに対応した指標やチェック方法を考える順番が望ましい。

第二に、必要なデータやログを確実に集められるかを確認することである。検出統制はデータがなければ動かない。取引データ、マスターデータ、アクセスログ、承認履歴など、どこにどのような形で蓄積されているのかを把握し、継続的に取得できる仕組みを用意することが前提となる。

第三に、どの条件で「おかしい」と判断するかを決めることである。金額の閾値、頻度の閾値、組み合わせ条件などを事前に決めておかないと、抽出される件数が多すぎて現場が対応しきれなくなる。実務では、最初は範囲をやや広めにとり、試行の中で本当にチェックすべきパターンに絞り込んでいく進め方が現実的である。

第四に、適時性と頻度を決めることである。年に一度の内部監査でも検出統制ではあるが、不正やミスを早期にとらえたいなら、月次、週次、場合によっては日次でのモニタリングが必要になる。リスクの大きさや業務のスピードに合わせて、どの程度のタイミングが妥当かを決めておく。

第五に、見つけた後の対応プロセスと責任者を決めておくことである。誰がレポートを見て、どのレベルの異常なら現場に照会し、どのレベルなら経営層に報告するのか。検出統制は「見つけた後の動き」まで含めて設計されていなければ、実効性が低くなる。

データ分析と自動化による検出統制の高度化

最近は、検出統制の領域でもデータ分析や自動化を取り入れる動きが加速している。

従来型の検出統制は、月次や四半期などの区切りごとにレポートを人手で確認するスタイルが中心だった。この方法は運用しやすい反面、実際に問題が発生してから発見されるまでに時間がかかり、被害が拡大してしまうリスクがある。

これに対して、取引データやログを定常的に収集し、異常パターンを自動で抽出する仕組みを導入すれば、「気づくまで数か月」という状態から、「数日から数時間で気づく」状態へと近づけることができる。経費不正の検知、承認ルールから外れた申請の検出、特定取引先への支払集中の検出などは、データ分析による検出統制の典型的なテーマである。

また、リスクシナリオに基づいて「正常なデータの姿」を定義し、その正常範囲から外れるデータを異常として検知するアプローチも広がっている。これにより、従来のルールベースだけでは拾えなかったパターンにも気づきやすくなり、予防統制では捉えきれない不正やミスを補足することが期待される。

内部監査としては、自ら高度な分析ツールをすべて運用しきる必要はないが、経理・情報システム・セキュリティ部門などと連携し、「どのデータを、どの頻度で、どのような異常パターンとしてモニタリングするか」を設計する役割を担うことが重要になる。

検出統制を強化したい内部監査部門がまず取り組むべきこと

検出統制を強化したいと考える内部監査部門が、現実的な第一歩として取り組みやすいのは、次の三つである。

一つ目は、重要なリスク領域の棚卸しである。不正リスク、財務報告リスク、情報漏えいリスクなどについて、自社で特にインパクトが大きい領域を洗い出し、優先順位をつける。

二つ目は、現在すでに存在している検出統制の棚卸しである。月次レビュー、照合作業、ログ確認、内部通報制度など、形式的かどうかは一旦問わず、検出統制として機能し得るものを一覧化する。そのうえで、網羅性、適時性、フォローアップの仕組みといった観点でギャップを見つける。

三つ目は、小さな試行から始めることである。例えば「経費精算のうち高リスクのパターンを三つ決めて、三か月間だけデータ抽出とチェックをやってみる」といった形でよい。ここで得られた成果や課題をもとに、統制内容や閾値、役割分担をブラッシュアップし、徐々に他の領域にも広げていく。

まとめ　検出統制は「後追い」から「早期察知」へ

検出統制は、どうしても「問題が起きた後の後追い」という印象を持たれがちである。しかし、設計と運用を工夫すれば、「起きた問題を早期に察知し、被害を最小化するためのレーダー」として、内部統制全体の中で大きな役割を果たすことができる。

予防統制だけでは業務が硬直化し、検出統制だけでは実害が大きくなりやすい。重要なのは、自社のリスクの特徴と業務のスピードを踏まえて、予防統制と検出統制のバランスをとることである。

まずは、自社の検出統制を「どのリスクに対して」「どのデータを使い」「どのタイミングで」「誰が見て」「どう動くのか」という五つの問いで棚卸ししてみてほしい。そのプロセス自体が、内部監査部門にとっての思考整理となり、検出統制を「形だけのチェック」から「経営に役立つレーダー」へ変えていく出発点になるはずである。