請求書不正から免れる会社はありません。世界最大のオンライン小売業者であるAmazonでさえ、その被害を受ける可能性があります。2020年、卸売業を営む4人の兄弟が、会社から約1,900万ドルを詐取したとして逮捕されました。その手口は、Amazonが発注していない数千本の歯ブラシを請求することでした。これは、「請求書の水増し」という請求書不正の一形態です。
不正行為を行うのは、ベンダーのような外部関係者だけではありません。社内の従業員にも注意が必要です。2023年の職場内不正行為のほぼ90%は、請求書不正などの資産の横領に関連するものでした。毎年、世界中で5兆ドル以上が不正行為によって失われると予測されています。規模や業界にかかわらず、すべての企業はこのような不正行為を防止するための包括的な戦略を必要としています。
請求書不正とは?
請求書不正は、不正業者が偽造または改ざんした請求書を作成・提出することで企業をだまし、支払いを受け取る不正な調達・購買行為です。これには、虚偽の請求、重複請求、過剰請求、不正業者が正規ベンダーや会社の役員を装うビジネスメール詐欺(BEC)など、さまざまな形態があります。請求書不正は、正当なベンダーまたは従業員によっても実行される可能性があるため、ベンダー不正または従業員不正の一形態と見なされることもあります。
請求書不正が発生すると、企業は数千ドル、さらには数百万ドルを損失する可能性があり、運営資金が枯渇し、収益性に影響を与えます。特に、その過程で機密情報が漏洩した場合は、ベンダーや投資家の間で会社の評判を損なう可能性もあります。
会社の規模に関係なく、一般的な手口として請求書不正は起こります。その発生を助長する要因には、以下のようなものが挙げられます。
- プロセスが手作業で標準化されていない場合は、不正行為や異常を検知することが困難です。特に、紙の請求書やPDF形式の請求書の場合は改ざんを許す隙が生じます。
- 脆弱な社内統制の例として、手順の多い支払プロセスを1人の従業員が担当しているケースや、不十分な監査手順があります。このような場合は、不正行為が長期間にわたって気付かれない場合があります。
- 複雑なサプライチェーンや複数ベンダーを抱える企業では取引数が大量になり、これが管理ミスにつながる場合があります。企業が毎月数百~数千件の請求書を受け取る場合、請求書に不正がないことを確認することは困難です。
- サイバーセキュリティと従業員のトレーニングが不十分な場合、フィッシングメールやマルウェアの攻撃に対して脆弱になり機密情報漏洩の危険性が高まります。
- 調達プロセスでベンダーの審査が十分に行われないと、リスクの高いサプライヤーとの取引につながる可能性があります。長期の取引先だからといって過度な信頼を置くと、請求書の精査にゆるみが生じる可能性があります。
近年、組織の80%が支払不正の未遂または実被害を経験しています。企業が財務業務をどのように保護しているかをご覧ください。
レポートを読む請求書不正の手口
請求書不正にはさまざまな形態があり、財務システムの脆弱性や人間の判断を悪用します。企業に対して最も一般的に使用される手口の例をいくつか紹介します。
請求書の偽造
これには、第三者が虚偽ベンダーの請求書を作成する場合と、正規ベンダーが発注を受けていない商品やサービスの請求書を作成する場合があります。どちらの場合も、不正を検知されないよう、正規ベンダーの請求書に似せた請求書が利用されます。
実際のサプライヤーに似た社名の架空企業が利用される場合もあります。たとえば、「Cotton Company」に似せた「Cotton Company Co」という企業から、発注していないTシャツ500枚の請求書が送られてくるというケースです。請求書と発注書の照合など、徹底した検証プロセスがなければ、買掛金管理(AP)チームは、請求書の偽造に気づけず処理を進める可能性があります。
重複請求
最も頻度の高い請求書不正に、重複請求があります。ベンダーが同じ請求書を何度も提出し、重複請求に気づかない顧客から複数回の支払いを受け取るという手口です。たとえば、4か月前の請求書が未払いであるとして、同じ請求書を意図的に再提出したベンダーに対し、請求書の重複を検知するシステムを持たない買掛金(AP)担当者は、同じ支払いを再度行うことになります。
複雑なサプライチェーンを持つ企業や、多数のベンダーからの複数の請求リクエストを処理する企業は、この手口の標的になりやすくなります。同じベンダーから複数の請求書が毎月発行される場合、重複を見分けるのは困難になります。
ビジネスメール詐欺
ビジネスメール詐欺とは、悪意のある第三者がメールを介して経営幹部や同僚、ベンダーになりすまし、不正な請求書の支払いを要求することです。たとえば、買掛金マネージャーが、最高財務責任者(CFO)と思われる人物から緊急メールを受け取り、25,000ドルの請求書の支払いを新しい銀行口座に行うよう求められる場合があります。実際のCFOのメールアドレスと1文字違いのメールアドレスが使用されていれば、違いを見分けられず、メールが本物のCFOから届いたように見えます。
フィッシングは、機密情報を盗もうとする手法の1つです。メールを受け取った従業員が、メール内のリンクをクリックしてしまうと、マルウェアがコンピューターにダウンロードされ、業務情報や財務情報への不正アクセスが発生します。
過剰請求、水増し請求
これは、正規ベンダーが請求書の金額を水増しし、実際よりも多くの商品やサービスを納品したとして請求が行われるケースです。たとえば、ベンダーが1,000個の製品について請求書を提出しているものの、実際に納品されたのは800個のみである場合です。その他には、ベンダーが請求書の単価を変更し、発注書に記載されている価格とは異なる価格で請求する場合もあります。
過剰請求は、単なるベンダーによる不備である場合があります。ただし、同じベンダーから頻繁に発生する場合は不正の可能性が高いです。デジタル追跡と分析を行える支出管理システムがなければ、このようなベンダー行動のパターンを検知することは難しく、非常に時間がかかる作業になります。
支払情報の不正な変更
銀行口座番号などの支払先情報を変更して、支払をだまし取るケースです。悪意のある第三者がベンダーと顧客の間でやりとりされるメールを傍受し、PDF請求書に記載されるベンダーの銀行情報を変更すれば、その支払いは正規ベンダーではなく、その人物の口座に送金されます。
あるいは、社内の従業員が請求書の銀行口座情報を変更し、支払いを個人口座に入金させる場合もあります。この形態の買掛金不正は、二次承認なしに従業員が請求書を承認し支払いを行うことができるような職務分掌が不十分な企業で発生することがあります。
内部従業員の共謀
従業員が見返りと引き換えに、ベンダーや第三者と協力して不正な請求書を承認することがあります。買掛金担当の従業員が、ベンダーと協力して虚偽の請求書を作成し、その請求書が承認されるように手配し、支払いが行われたあとにその取り分を分け合うこともあります。
請求書を介した経費不正
経費関連の請求書で操作・水増し・改ざんを行う手口です。たとえば、従業員が提出した2,000ドルのホテル宿泊の請求書に、未承認の宿泊日数が追加されているケースです。その他には、従業員がタクシーの領収書の金額を50ドルから125ドルに変更して経費精算を行うケース(領収書の改ざん)です。
請求書不正防止のヒント
小規模な地域企業から大規模なグローバル企業まで、請求書不正の標的とならない企業はありません。テクノロジー大手のGoogleとFacebookは、長年のサプライヤーを装った不正業者による、虚偽の請求書、契約書、手紙、さらには会社印鑑まで使用した手口で、両社は合わせて1億ドルを損失しました。
幸いなことに、企業には自社を守るために展開できる戦略があります。会社の規模に関係なく、請求書不正を検知し防止する方法をいくつか紹介します。
すべての請求書を毎回確認する
各請求書に対し、発注書(PO)、納品確認書、契約上の義務との照合を行うことが不可欠ですが、手作業での請求書照合では作業負荷の高さとミスの頻発によりこれが見落とされがちです。処理が遅れて作業に追われていれば、適切な精査を行わずに請求書をさっさと承認する方向に現場は動いてしまいます。
デジタル請求書を用いて3点照合を自動化すれば、発注書、請求書、納品確認書の整合性を確保できます。このプロセスをバックグラウンドで動作させれば、買掛金担当者はもっと価値の高い仕事に集中できます。自動買掛金処理に機械学習を使用すれば、請求書情報と社内記録との照合を行い、数量、価格、銀行口座情報の変更などの不整合を効果的に検知できます。
職務の分離
買掛金処理において、複数の作業を1人の従業員に担当させた場合、不正が発生する可能性が高くなります。担当者に悪意があれば、ほとんど監視のない状態でシステムを操作できます。担当者が真面目で勤勉であれば、大量の請求書処理に毎月追われ、ミスの発生頻度が高くなります。
請求書の承認や支払処理などの作業を複数の従業員に分担させることで、不正行為の発生を確実に減らすことができます。高額取引では承認を二重から三重で行うことにより、精査の目が細かくなり、大規模な不正支払いを防ぐことができます。
カスタマイズ可能な自動ワークフローを備えた支出管理プラットフォームがあれば、従業員の職務分掌を実現できます。追跡可能なデジタル監査証跡があれば、見落としが減り、請求書の改ざんも難しくなります。また、デジタルワークフローであれば認証情報が必要となるため、不正アクセスも防止できます。
AIを活用して異常を検知
支払いが行われる前に不正を検知するためには、膨大なデータを分析できるリアルタイムの不正検知システムが必要です。AIを活用すれば、手作業による面倒な監査の代わりに、P2P (購買から支払い)プロセス全体の正確な監視を自律的に継続でき、早期に不正を検知できるようになります。
AIは、各処理で情報を確認し、会社の全データセットと比較して、不審な請求書を見つけ出します。請求書の情報が、発注書の内容やベンダーの銀行口座情報と一致しない場合、AIはそれを検知して、権限のあるユーザーにアラートを送信します。時間とともに蓄積された履歴データに基づき、AIは従業員やベンダーの行動プロファイルを構築し、誤った数量で繰り返し請求するベンダーなどの異常を検知します。
AIを活用するには、業務データを一元化してクレンジングする必要があります。支出管理プラットフォームは、P2P (購買から支払い)プロセス全体でデータを追跡し一元化したデータセットを作成することができます。
セキュアな通信チャネル
通信チャネルの暗号化、多要素認証の利用により、権限のない人による機密性の高い財務情報の閲覧・変更は行えないようにできます。通信が傍受されても、暗号化したデータの読み取りや変更はできなくなります。多要素認証では、パスワードや電話でのコードの授受など、複数要素を用いた身元確認が必要になります。
外部メールシステムはフィッシングやスプーフィング攻撃のリスクが高いため、ベンダーとのメッセージング機能が組み込まれた支出管理プラットフォームを使用することが最善です。これらのプラットフォームは通常、ユーザー権限を管理し、高度な暗号化や多要素認証を使用することで、特定のレベルへのアクセスを制限します。
メールのみでのコミュニケーションを排除することで、支払申請の変更を複数のチャネルで確認できるようになります。たとえば、ベンダーの1社を装った詐欺集団が、銀行口座情報の更新を伝えるメールを送信したとします。しかし、メッセージがサプライヤーポータルを介して送信されたものでなければ、そのメールは不正なものと判断されます。
バーチャルカードの使用
バーチャルカードは、1回限りの利用や、支払先のベンダーを特定できるので、不正な取引や詐欺行為の可能性を抑制できます。新しいカード番号が、取引ごと、またはサプライヤーごとにランダム生成されるため、支払のセキュリティと制御が強化されます。バーチャルカードに紐づけられたプライマリーカード情報は決して公開されません。デジタルでのみ利用できる各バーチャルカードは暗号化され、特定の取引やベンダー、期間に対して使用できます。これにより、資金が不正な口座に流れることを確実に防止されます。
従業員の定期的なトレーニング
従業員は不正行為に対する最初の防衛線です。適切なトレーニングを受けていないと、不正行為を認識できず、誤って不正行為を助長してしまう可能性があります。
共有すべき一般的なヒントは次のとおりです。
- 差出人不明のメールに記載されているリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
- メールで請求書の処理申請があった場合は、必ず送信者のメールアドレス、返信先アドレス、文体を確認してください。
- 緊急のリクエストや、通常とは異なる支払指示が含まれるリクエストは、注意深く精査する必要があります。
- ベンダーが新しい口座への支払いを要求した場合は、必ずベンダーの既存の担当者に直接電話して、クロスチェックを行ってください。
新たな詐欺手口について従業員が確実に認識できるよう、定期的なトレーニングセッションを開催するか、会社のニュースレターを送信してください。
請求書不正検知ソフトウェアの導入
請求書不正検知ソフトウェアは、企業の財務部門にとってのハイテクセキュリティシステムのようなものです。ホームセキュリティシステムが、予期せぬ訪問者による窓の開放などの異常な活動を監視するのと同様に、不正検知ソフトウェアはすべての請求書を監視し、不審な活動を探します。
不正検知ソフトウェアは、AIの一形態である機械学習と高度な分析を使用して、P2P (購買から支払い)プロセスにおけるエラーや異常を検知します。AIを最大限に活用するには、データが不可欠です。ソフトウェアを機能させるには、データの一元化とクレンジングが不可欠です。一元化されたデータベースを作成するには、次のことを検討してください。
IT部門とのコラボレーション
IT部門と協力して、不正検知ソフトウェアが、会社のERP、支払システム、ベンダー管理ツールと連携してリアルタイムでデータを共有できるようにします。高度な支出管理プラットフォームは、データ管理プロセスの大部分を自動化するのに役立ちます。
買掛金処理(AP)の自動化
手作業で行っていた買掛金管理を自動化することで、散在するメールやファイルキャビネットで行っていた照合プロセスが、システムに一元化されます。それぞれの発注書と請求書が、履歴データセットの一部となるため、追跡、保存、分析が可能になります。また、自動化により手作業とエラーが減るため、買掛金(AP)チームは戦略的なタスクに集中できるようになります。
データ抽出ツールを使用する
サプライヤーが使用しているさまざまな請求ツールに対応するには、PDFや画像の請求書からデータを抽出し、電子請求書レコードに自動的にマッピングしてファイルにできるソリューションを見つけてください。これにより、サプライヤーも自社の従業員も、請求書情報の手動入力に追われることがなくなります。
不正検知ソフトウェアの仕組み
請求書不正検知ソフトウェアを導入することで、事後対応となっていた不正対策が、積極的な防止的アプローチに変革します。仕組みは次のとおりです。
事前設定されたルールエンジン
不正検知ソフトウェアは、事前設定されたルールに従って請求書を分析します。これらのルールは、重複する請求書、特定のしきい値を超える請求書、承認されていないベンダーまたは非アクティブなベンダーへの支払い、ベンダーの支払情報の突然の変更を検知します。このようにツールを使用して、コンプライアンス違反の請求書に対し支払いが行われるのを防ぐことができます。
Coupaの不正検知ソフトウェアであるSpendGuard™を使用すると、ユーザーはワークフローとルールのカスタマイズをドラッグ&ドロップで簡単に行えます。たとえば、特定の請求書が予算のしきい値を超えた場合、その請求書にフラグを付け、適切な監査担当者に送付します。また、管理者の認証情報が設定されているため、悪意のある従業員が適切な権限なしにルールやワークフローの変更を行うようなことはありません。
異常の検知
AIにより、直接支出と間接支出のリアルタイム追跡、イレギュラーな活動の検知、可視性の向上による請求書不正の検知と支払実行前の阻止が可能になります。機械学習を利用するこのAIは、過去のデータからパターンを特定し、異常な請求金額、コンプライアンス違反の支出、ベンダーや従業員の異常行動などを検知します。
SpendGuardを使用すると、従業員やサプライヤーの行動プロファイルを構築し、単独では疑わしくないものの、履歴データセット全体で分析するとコンプライアンス違反の行動を示す取引を特定できます。支出活動の6つの主要カテゴリーに対し25のアラートがあります。
- 申請書
- 発注書
- 請求書と支払
- 経費
- ソーシングイベント
- タイムシート
不正行為の傾向分析
不正検知ソフトウェアは、内外の情報ソースから得られた履歴データを継続的に分析することで、新たな不正行為の傾向や手口を特定します。内部ソースには、発注書、請求書、承認などのデータが含まれます。不正検知ソフトウェアには、ベンダーのさまざまなドメインにおけるリスクやユーザー傾向など、外部ソースを監視することで、保護レイヤーを強化するものもあります。
世界最大の匿名化されたB2Bコマースデータセットを備えたCoupaは、7兆ドル規模の実世界の取引を分析することで、他では得られないインサイトを企業に提供します。さまざまな業界や地域にわたる膨大なデータにより、SpendGuardのAIは、小規模なデータセットでは認識できない、請求パターンやサプライヤーとの関係における潜在的なリスクを特定することができます。さまざまな業界や規模のデータにより、コンテキストに応じた不正行為の検知も可能になり、業界の通常の支出パターンと異常パターンを区別することができます。
変化の激しいビジネス環境において、ビジネスの利益と評判を守りましょう。Coupaを使用すると、すべての支出アクティビティを1つのプラットフォームに統合し、高度なAIテクノロジーを活用することで、事後対応だった不正対策が積極的な不正検知アプローチに変化します。
不正行為をリアルタイムで阻止できます。
SpendGuardについて*ACFE, Occupational Fraud 2024: A Report to the Nations
