相次ぐ企業の不祥事を防ぐにはどうしたらよいでしょうか。「不正リスク管理ガイド」は、不正リスクに具体的にどのように対応すべきか悩まれている会社においては多いに参考になるガイドといえます。ビズサプリの辻会計士がわかりやすく解説します。

1.不正リスク管理ガイドの位置づけ

 皆さんCOSOはよくご存じかと思いますが、1992年に内部統制のフレームワークを公表しているアメリカの民間団体です。内部統制をサイコロの形で示す「COSOキューブ」が有名です。日本ではこの初代の内部統制フレームワークが日本の内部統制報告制度(J-SOX)とも密接に関連しているため有名ですが、実は2013年に改訂が行われています。
 この2013年の改訂版COSOでは、内部統制システムが有効であるための17原則が定められています。このうちの原則8に以下の記載があります。

 「組織は内部統制の目的の達成のリスク評価に際して不正の可能性を検討する。」(訳はACFE JAPAN)

そして、この原則に従うということにより実践的なガイダンスを示したものが今回公表された「不正リスク管理ガイド」となります。
 なお、COSOはアメリカの上場企業であれば強制的に適用になりますが、不正リスク管理ガイドは強制適用ではないそうです。ただCOSOが公表したということの意味は大きく、今後多くの企業に影響を与えると言われています。

日本企業においては、COSOが強制適用されているわけではなく、内部統制に関しては、会社法で求められる内部統制決議とJ-SOXです。ただ、不正リスクに具体的にどのように対応すべきか悩まれている会社においては多いに参考になるガイドになるかと思います。

2.不正リスク管理ガイドの記載内容

 不正リスク管理ガイドでは、不正リスク管理の原則(5原則)と不正リスク管理プロセスが記載されています。

 不正リスク管理の原則は内部統制の5つの基本的要素と関連している下記の5つとなります。

原則1(統制環境と関連)
組織は、取締役会及び上級経営者の期待と彼らの不正リスク管理に関する誠実性と倫理的価値観に対するコミットメントを表明する不正リスク管理プログラムを確立し伝達する。

原則2 (リスク評価と関連)
組織は、具体的な不正スキームとリスクを識別し、不正の発生の可能性と重大性を測定し、既存の不正対策活動を評価し、不正の残存リスクを軽減する対策を実施するため統合的な不正リスク評価を実施する。

原則3 (統制活動と関連)
組織は、発生する、または適時に発見されることのない不正リスクを軽減するための防止的・発見的な不正対策活動を選定、開発、実施する。

原則4 (情報と伝達に関連)
組織は、潜在的な不正についての情報を入手するための情報伝達のプロセスを確立し、調査および不正に適時にかつ適切な方法で対処する是正措置への組織的な取組を採用する。

原則5 (モニタリング活動に関連)
組織は、不正リスク管理の5つの原則の各々が存在し、機能し、運営されているかどうかを確認するための継続的な評価方法を選定、開発、実施し、不正リスク管理プログラムの不具合を、上級管理者と取締役会を含む是正措置の実施に責任を負う当事者に適時に伝達する。

 また、上記の原則を遵守するための不正リスク管理プロセスとしていわゆるPDCAサイクルが記載されています。

組織ガバナンスの一部としての不正リスク管理方針の確立
 ↓
統合的な不正リスクの評価の実施
 ↓
予防的・発見的不正対策活動の選択、開発、実施
 ↓
調査と是正措置のための組織的な取組と不正報告プロセスの確立
 ↓
不正リスク管理プロセスの監視(モニタリング)、結果の報告、プロセスの改善

なお、今回のガイドには豊富な資料編があり、テンプレート、実例、チェックリスト等が用意されていることも大きな特徴です。

3.不正リスク管理原則の中で特に留意すべき点

 上記でご紹介した不正リスクの管理原則の中で、現在の日本の不正リスク対応で最も難しいのは、原則1で言われている不正リスク管理に関するトップのコミットメントかと思います。
 不正というとどうしても「粉飾決算」等の財務諸表関連の不正を考えがちですが、不正リスクマネジメントで管理すべき不正は財務報告だけに限ったものではありません。原産地偽装、環境データ改ざん、マンションの杭打ちのデータ改ざんなどの非財務情報に関連する不正やカルテルなどの取引法関連の違反、労務管理関連等非常に幅広いが含まれます。 このため、一言で「不正リスク管理」といっても単に内部統制関連の部署や内部監査部門だけでなく、ほぼすべての部署が関連する取組が必要となります。このような場合、不正リスクマネジメントに号令をかけられるのはトップのみです。逆にトップが不正リスクに対して関心がない場合は、不正リスク管理が効果的に根付くことはありません。
 ただ、不正リスク管理について統合的にトップが明確にコミットを表明し、全社的に取り組んでいる会社はとても少ないのではないでしょうか。

 また原則4の「潜在的な不正についての情報を入手するための情報伝達のプロセス」についても誤解があるように思います。このような情報伝達のプロセスといった場合には、いわゆる「通報窓口」を想定される方が多いと思います。もちろん通報窓口は隠れた不正を明らかにする手段として重要で、企業は、通報者の保護も含めて適切に整備をすべきものです。
 ただ、通報窓口を整備すればいいというものではありません。
 大きな不正が生じた会社の調査報告書の中で不正が生じた背景としてよく指摘されることとして「コミュニケーション不足」「無関心、無批判」「上司にものが言えない雰囲気」といったことがあります。何かおかしいと感じた時に「おかしい」とか「どうして」といったような声が自然と起きるような普段からのコミュニケーション、信頼関係を築いておくことも非常に重要です。 そうすることで、不正があったとしても小さい問題のうちに早期に是正することができます。

4.実務で活かすために

 不正リスク管理を「具体的に」どのように実施していけばいいのか悩んでいる方も多いかと思います。今回公表された不正リスク管理ガイドはチェックリストやスコアカード等のツール類も豊富にありますので、まずは手をつけやすいところから導入していくのもいいかもしれません。

 なお、今回公表されたガイドは、エグゼクティブサマリーがCOSOとACFEのサイトからダウンロードできます。実務に使える資料編を含んだ本編(英語)はACFE、COSOのサイトから購入することができます。また、エグゼクティブサマリーのに日本語訳は、ACFE JAPANのホームページからダウンロードできます。
https://www.acfe.jp/notice/post-110.php

また、本編の日本語への翻訳も検討されています。本編は結構なボリュームになりますので日本語訳で見ていただくといいでしょう。

文:株式会社ビズサプリ メルマガバックナンバー(vol.39 2016.10.19)より転載