EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
本稿は、日本取引所自主規制法人の上場会社向け不祥事予防・対策セミナー(動画)で講演した内容を要約したものになります。詳細は以下のURLより申し込み不要でご視聴可能です。
www.youtube.com/watch?v=sGllJrzSoFQ
配布資料はこちらからダウンロード可能です。
また、セミナーでは「中堅・新興企業における効果的な内部管理体制構築に向けた実務上の留意点」というタイトルにしていましたが、内容的には全ての上場企業にも該当する課題になりますので、本稿では「効果的な不正リスク管理体制構築に向けた実務上の留意点」に改題しています。
日本取引所自主規制法人は、上場会社の不正会計などによる虚偽記載などに対して、特別注意銘柄への指定や、改善報告書の徴求などの措置を行っていますが、「改善措置対象会社の分析結果」によると、最近5年間、2018年4月から2023年3月までの間に、46件の措置を決定しています。
措置を受けた背景・原因について、最も多く指摘された原因は「コンプライアンス意識の欠如」です。これは業績偏重の考えに基づき、過大に設定した業績目標や、非現実的な業績目標の必達の強要、あるいは、過度なノルマやプレッシャーなどがこれに直接つながっている事例が多いのではないでしょうか。2番目に多く指摘された原因は「管理部門の脆弱性」です。いわゆる3ラインモデルが示すように、第1線である業務部門に対する別のラインによる管理・監視が、内部統制を効果的・効率的に機能させる上で必須の要素と考えられています。それにもかかわらず、不正が発生した会社では、経営陣が管理部門への十分なリソース配分を行っていないことや、管理部門は業務部門を支援・サポートする部門という意識が強く、けん制機能を担っている意識が希薄となっている可能性などが指摘されます。3番目の原因は、「取締役会の形骸化/役員間のけん制不足」です。重要な意思決定に関する案件や情報が、そもそも取締役会に付議されていない、あるいは形式的に付議されているものの実質的な議論が行われていないといった、取締役会が形骸化し、役員間のけん制が十分ではなかったケースも多く見られました。
不正リスク対応を検討する際には、我が国の内部統制基準に加えて、トレッドウェイ委員会支援組織委員会(COSO)と公認不正検査士協会(ACFE)が共同公表している「Fraud Risk Management Guide」、米国司法省が公表している「Evaluation of Corporate Compliance Programs」など、各国のレギュレーターや国際機関が公表しているガイドラインが参考になると考えています。そのポイントをまとめたものが、下記の体系図です。
不正リスク対応の概要
これは、改善措置の背景となった3大原因への対応とも整合するものと認識しており、以後この内容に沿って解説します。
公正取引委員会元事務総長のコメントやEYのGlobal Integrity Report2024(これらの詳細については、スライドP14~21を参照ください)の結果を踏まえると、「役職員のコンプライアンス意識の欠如」に関しては、経営トップの方針と役職員への教育・浸透の両面から考える必要があります。経営トップが誠実な企業開示を推進することは言うまでもありません。IPOをし、市場を通じて広く株主に投資してもらっている中で、会計不正という持続的な成長・中長期的な企業価値の維持・向上に反する行為をするということがいかに大きな問題であるか経営者は今一度理解すべきです。
経営トップが示すインテグリティの方針を役職員に浸透させていくためには、単にそれを語るだけではなく、実行を伴い、かつ経営者の誠実性に疑問を持たれないような運営を行う必要があると考えます。そのためには、内部通報制度の安全性・信頼性を高めることで実効性を確保し、通報内容についても十分な調査を行い、その結果に応じた正当な人事処分を行うことが重要です。
また、同時に不正が起きにくい/発見されやすい仕組みを整備・運用し、会社として不正を許さないという姿勢を組織運営上でも明確にする必要があります。そうすることで、役員が経営トップに忖度(そんたく)して会計不正に手を染めるという勘違いは起きにくくなるでしょう。
このように会社を挙げた不正への対応を行っていくことを経営トップが正しく理解し、予算も措置して行動に移せるかが、重要なポイントとなると考えます。
「(けん制機能を担っているという意識が希薄な)管理部門の脆弱性」に関しては、組織として責任者を任命し、重要な不正リスクへの対応を実践することが重要です。これには1.「不正リスク評価と対応の検討の継続的な実施」、2.「無効化(共謀・改ざん等)を考慮した不正リスク対応」、3.「内部統制の不備の放置の是正」、4.「グループ管理としての全社的な内部統制の整備・運用」の4つが挙げられます。
まず、1.について、内部統制基準が15年ぶりに改訂され、基本的枠組み等の改訂で、不正リスクへの対応が改めて強調されました。ここで重要なことは、全ての不正リスクに対応することが期待されているのではなく、本当に重要な不正リスクを絞ってそれに対応するという点と、不正リスク対応において近道はなく、予防統制、発見統制をしっかりとやりきらないと不正の機会が生じてしまい、結局、不正が発生してしまうという点です。
重要な不正リスクへの対応を図るには、不正リスク評価をしっかりと行い、その対応を適切に検討するということです。ここで言う不正リスク評価とは、どんな不正リスクシナリオが重要なものなのかを特定するということに加えて、既存の統制活動が不正の特殊性(資料の改ざん、取引先内部との共謀、不正の隠蔽<いんぺい>)を踏まえて、有効に機能するのかどうかを評価する必要があるということです。そこに不足があれば、統制活動の強化や追加(データ分析などによる発見統制等を含む)を講ずる必要があります。その意味で、不正リスク評価と対応ができている企業がどれだけあるのか疑問を抱かざるを得ません。
また、先ほどの内部統制基準の改訂において、リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直すことの明確化が新設されています。これは、不正リスクの評価とその対応の見直しを継続的に行うことを意味しています。
次に、2.に関しては、不正リスクの特殊性にどう対応するのかということです。誤謬とは異なり不正は意図的な行為で、取引先や従業員との共謀、証憑類の改ざん、隠蔽行為を伴うことも多いため、通常の誤謬を想定した内部統制では限界があります。そのため、このような不正の特殊性に対応するには予防統制や発見統制を強化することが必要です(誤謬への対応との違いの詳細についてはスライドP29をご参照ください)。
続いて、3.について、人員不足から少数の者にノウハウが集中しているが故にローテーションを行うことが難しく、不正リスクが高いといった状況が考えられます。この場合、放置しないことが何より大切です。少数の者にノウハウが集中して不正リスクが高くなるのは、フレッシュな目が入らないからであり、いかにブラックボックスを作らないかがポイントとなるので、「あなた見られていますよ」という状況をどう作るかが重要になるでしょう。
監視の目がなければ、不正の機会が生じてしまい、不正が起きやすくなるので、いかに第三者の目を入れるかが肝要ではないかと考えます。さらに、このような不正は長期間にわたって行われることも多く、その分影響額も嵩(かさ)んでいくので、不定期かつ抜き打ち的にモニタリングを行って心理的なけん制を掛けることも有用です。そのためには、1.の不正リスク評価において、どの拠点がどのような状況にあるのかも把握しておく必要があります。内部統制の不備や弱点があれば、それを放置してはいけません。
最後に、4.に関して、子会社経営者による内部統制の無効化により子会社決算の粉飾が行われる場合には自浄作用は期待できません。したがって、外部(例えば親会社の管理部門や地域統括会社など)から財務状況の異常値を検出するといった発見的統制を実施し、子会社の経営者に対して「あなた見られていますよ」という状況を作らない限り対応は困難です。
また、従業員も当該無効化に関与させられている場合もあるので、彼らが「これはおかしいだろう」と思った時に問題提起できるような仕組みを用意する必要があります。内部通報制度の実効性を高めるために、従業員から、制度の理解、通報の秘匿性の担保や実態解明の実施に係る信頼を得なければなりません。特に海外での通報が機能するかどうかは、しっかり確認すべきです。
さらに、子会社の全てについて親会社と同レベルで内部統制を構築することは難しいのではないか、という点については、親会社等から予防統制・発見統制におけるサポートをするという方法も検討する必要があります。
会社の事情に精通した弁護士・会計士がガバナンスサイドに入っていても、取締役会に正しい情報が報告されないことにより、リスクを的確に把握することができなかった事例もあります。そのため、これらの機関に不正の発見を期待するのは限界があるかもしれません。しかしながら、会社の不正リスク対応についてはガバナンスサイドから確認を行うことはできるはずです。
一方で、リスク評価と対応の実施について社外役員に十分に説明できていない会社は少なくないのではないでしょうか。取締役会には、重要な不正リスクへの対応ができているか、不正リスク評価と対応の検討状況について執行部門から報告を受け、内部監査部門からの報告も合わせてその妥当性を検討することが期待されています。これは監査役でも同様で、その様な観点から執行側の不正リスクに対する姿勢を把握し、問題があれば、それを取締役会に報告の上、検討を求めるということが必要となります。
不正リスクへの対応に近道はなく、重要な不正リスクであれば、それに応じた対応を適切に行うしか方法はありません。そのため、いかにリスクアプローチを徹底するかが、企業の大小にかかわらず、効率的・効果的に不正リスク対応を進める重要なポイントです。この点、小規模の企業は虚偽表示の重要性基準値が小さくなり、不正がもたらす重要性が相対的に高くなるので、小規模の会社こそ、不正リスク対応を行わなければなりません。したがって、リソース不足は理由にはならないのです。
効率的な対応として、まずは不正リスク対応の責任者を任命すること。その責任者がリスクを見極めて対応を検討する上で、自社リソースで不足すると思うのであれば、外部リソースを活用してでも実施する必要があります。不正リスク対応には、監査やデータ処理に精通した人材、ITソリューションの開発投資が求められますが、自社内でこれら全てを確保するのは非効率なため、外部専門家の起用も検討すべきでしょう。
続いて、内部通報制度の実効性の向上です。そのためには、内部通報制度に対する信頼性が重要であり、経営者のインテグリティの姿勢に対する疑惑を生じさせないような組織風土の醸成や経営トップのふるまいを日ごろから徹底することが肝要となります。
最終的には、ガバナンスとの関係を含めて、結局は経営トップの姿勢というところに行き着くものと考えます。築いてきた多くのものを不正によって失うのか。それとも、内部統制やコンプライアンスに投資をして、不正リスクに対する姿勢を役職員と共有し、中長期の企業 成長を得ていくのか。これは、経営トップの賢明な判断に委ねられているのではないでしょうか。
上場企業における効果的な不正リスク管理体制構築に際して、本稿で掲げた不正の3大原因への対応を適切に実行する必要があります。また、管理部門の人的リソースやITソリューションなどの物的リソース不足への対応として、積極的な外部リソースの活用も検討すべきケースがある点にも留意が必要です。
EYの関連サービス
EYが提供する「EY Fraud Risk Reduction (FRR) 」は、識別された不正リスクについて既存の内部統制の有効性を評価することで認識された残存リスクに対し、業務プロセスの改善点や内部統制の見直しポイントなどを整理し、既存統制活動の強化や新規統制活動の追加などを実現することで、企業における不正リスクを低減するための現実的な取組みを実現するためのソリューションです。
続きを読むEYが提供する「連結会計クイックアナリティクス」は、本社で取得可能な連結会計システムのデータに対して、EYの会計監査・不正対策等の知見に基づく分析を行うことで、短期間で子会社の財務数値の異常な傾向の有無を検出し、内部統制制度の見直しに合わせた子会社リスク評価をご支援します。
続きを読む2023年4月、15年ぶりに内部統制基準が改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、これに伴う内部統制の基本的枠組みの変更により、不正リスクや経営者等による内部統制の無効化リスクへの対応も考慮することが必要となりました。
続きを読む企業グループとしての不正リスク管理、コンプライアンス態勢の整備・運用状況および企業文化の実状についてEYがアセスメントを行い、改善の方向性を提案するサービスです。
続きを読む貴社の内部通報窓口に対して架空の不正リスクシナリオを通報することなどによって、内部通報システムの脆弱性とその根本原因を追究し、改善の方向性を提案するサービスです。
続きを読む関連コンテンツのご紹介
発見的統制として活用されているデータ分析、その導入に際して内部統制の見直しを行うことで、単なるDX化にとどまらず、不正リスクに対する即効性のある対応策と根本治癒のための対応策を同時に実現することが可能です。
発見的統制として活用されているデータ分析、その導入に際して内部統制の見直しを行うことで、不正リスク低減や業務プロセスの改善を同時に実現することが可能です。単なるDX化に留まらないデータ分析導入事例をご紹介します。
EYグローバルインテグリティレポート2024では、世の中の急速な変化と経済の不確実性により、企業が誠実に行動することが一段と困難になっている状況を明らかにしています。詳しくは、調査結果をご覧ください。
改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第5回:内部監査部門の見直し及びリスクの評価と対応を推進する体制整備
改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。今回は、内部監査部門における見直し及び不正リスクを含むリスクの評価と対応を推進する体制整備について解説していきます。
改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第4回:子会社に対する不正リスクモニタリング
改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。今回は、子会社に対する不正リスクモニタリングについて解説していきます。
改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第3回:グループ管理としての全社的な内部統制の見直し
改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。今回は、グループ管理としての全社的な内部統制の見直しについて解説していきます。
改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第2回:重要な不正リスクの特定と現状評価並びに継続的な評価体制の整備
改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。今回は、重要な不正リスクの特定と現状評価並びに継続的な評価体制の整備について解説していきます。
改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと 第1回:会計不正の傾向と求められる不正リスク対応
2024年4月1日以後開始事業年度から改訂後の内部統制報告制度が適用となりました。改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。
内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応
15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。