EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
情報センサー2018年11月号 Topics
Forensics事業部 公認会計士 荒張 健
EYの不正調査、不正対策、コンプライアンスの専門部門であるForensic & Integrity Services ジャパンリーダー、 シニアパートナー。25年以上に渡る会計監査業務および各種アドバイザリー業務の経験を有する。最近では、各種不正調査、海外子会社を含む不正対策(不正予防・発見)体制の評価・改善支援、贈収賄・競争法リスク評価・コンプライアンス・プログラム改善支援業務の業務責任者を多数務める。また、不正対策やデータアナリティクスの知見を監査の高度化に活用するプロジェクトもリード。
Ⅰ 誠実性(Integrity)に関して責任を負っているのは誰か
近年、企業グループにおける不正・不祥事に伴う代償はますます大きくなっています。一方で誠実に行動すれば、顧客や社会からの印象が良くなり、好調な業績を上げられる等のメリットが享受できることを多くの経営者が認識しています。それでも非倫理的行為が絶えない理由の一つとして、組織の誠実性(Integrity)に責任を負っているのは誰なのかが明確でないことがあげられます。2018年4月に公表されたEYの調査(第15回不正行為グローバルサーベイ)によれば、この点について「基本的に個人の責任である」との回答は4人に1人にも達しておらず、日本にいたってはわずか4%という低い水準でした(<図1>参照)。
Ⅱ 誠実性のアジェンダ(Integrity Agenda)
そのような中で、個人の行動を「誠実に行動する」という組織の目標に沿ったものにするために、筆者の所属するEYでは「誠実性のアジェンダ(Integrity Agenda)」を提唱しています。
企業が誠実性に係る方針や行動規範を整備し、上級幹部による公式、また非公式のコミュニケーションを通じて全力で取り組む姿勢を示していたとしても、それらの意図と従業員等の実際の行動には潜在的なギャップが存在します。誠実性のアジェンダはこのギャップを埋めるための方法論です。
誠実性のアジェンダでは、個人の行動を組織の目標に沿ったものにするための基本的要素として①ガバナンス②企業文化③統制④データインサイトの四つがあります。
この四つの要素に係る現状評価、測定可能な成果の組み込み、改善のプロセスを通じて、誠実性に関する従業員と第三者の責任について明確な期待値を設定し、誠実に行動するよう従業員等が自ら責任をもつべきである、という考え方を浸透させることが重要となります。そしてそれは同時に、従業員等が自らとその家族の身を守るメリットを享受することにもつながります。
(<図2>参照)
Ⅲ 日本企業に多く見られる不正・不祥事リスク対応の共通課題
昨今の会計不正、贈賄、談合・カルテル、品質データ改ざん、情報漏えい等の不正・不祥事の発生を踏まえ、多くの企業がグループ経営強化の一環として不正・不祥事リスク対応の強化を図っています。筆者の経験では、かかる企業においては、以下のような共通した課題が見受けられ、いずれも誠実性のアジェンダの四つの基本的要素に関係するものばかりとなっています。
- 子会社の経営者が粉飾決算を行うリスクに対し、子会社としての内部統制は無力化しているため、グループとしてこれを発見する機能が求められるが、そのような機能を果たしている部署がない。
- 内部通報制度をグローバルに設けていても、通報されるケースは限られ、現場で異変を感じても放置されるケースが多々見られる(不正が発見されてから組織風土や内部統制の運用上の不備、兆候が検出される)。
- コンプライアンス・プログラムを構築して統制活動を整備しても、本当に現場で有効に運用されているか把握が難しい。
- コンプライアンス・プログラムにおいて確認すべき事項は規定されているものの、誰がどのように行うのか明確でない。また、事業部や地域ごとに運用のレベルがバラバラでその検証も十分に行っていない。
- リスク評価において、ビジネス特性等から固有のリスクを机上で評価していることにとどまり、取引データや従業員が認識するレッドフラグ情報といった実際の肌感覚と評価結果が乖離(かいり)している。
- グループ会社をモニタリングするために配置される従業員は、必ずしも会計や法務の専門知識がなく、兼務も多い中で効率的にモニタリングを行うためには、それをサポートする情報の提供が必要。
Ⅳ 第二のディフェンスラインによるデータ分析を活用したモニタリング強化
誠実性のアジェンダを実行する上での具体的な活動(測定可能な成果の組み込み)の一つとして、第二のディフェンスラインによるデータ分析を活用したモニタリング強化があげられます。
1. コンプライアンス部門によるサポート
一部の企業では、コンプライアンス部門の役割はおおむね事後的なものであり、第二のディフェンスラインとして自社方針の適用と遵守状況のモニタリングに取り組むのが主な役割でした。通常、不正に対する第一のディフェンスラインは事業部門の業務担当幹部の責任であり、まず責任をとるべき事業部門が正しく現状を認識し、改善を自ら行っていく必要があります。そして、第二のディフェンスラインであるコンプライアンス部門は、データ分析から導き出した知見を事業部門と共有・連携し、誠実性のアジェンダを推進することによって、最前線のコンプライアンス強化をサポートしていくことが求められています。その典型的な事例を以下に紹介します。
【事例1】
従業員への匿名サーベイにより、データ化されていない実状情報をオフサイトで収集して、統制活動の運用状況、兆候、組織風土の観点から異常点の有無を拠点ごとに分析。そこから、不正につながりやすい組織風土の状況や統制活動のほころびをプロアクティブに把握することで、不正リスクの低減を図った。
また、近年、贈賄やカルテル・談合等に対する企業の姿勢が厳しくなったことに伴い、現場の人間が隠れてこれらの非倫理的活動を行うこと等が懸念されますが、これに対してもデータ分析によるモニタリングは有効な手段となり得ます。
贈賄やカルテル・談合等が発生した場合、企業は不正調査の一環として従業員のメールレビューを実施することがありますが、最近では、従業員に対するメールレビューをプロアクティブなモニタリングとして実施する企業も出てきました。
2. 海外子会社で発生する不正に対する本社財務部門での対応
前項の共通課題でも挙げたように、海外子会社で発生する不正に際して、積極的に不正の兆候を把握する仕組みが企業グループの中に見られないことが多い中、コンプライアンス部門と同じく第二のディフェンスラインである本社の財務経理部門におけるデータ分析により解決を図ろうとする企業が出てきています。これは、内部統制が現地子会社の経営者によって無効化されている状況では有効な方法と考えます。
【事例2】
複数年の毎四半期における連結パッケージデータ(各子会社のBS、PL、CF)を財務分析することで、従来型の前期比増減分析ではなく、指標の組合せや中長期の趨(すう)勢から異常な傾向を示している会社を抽出し、目が行き届きにくかった重要性の乏しい子会社に対しても、異常な傾向にフォーカスしてクイックレビューを行い、早期に課題を検出し予防につなげた。
このように、デジタルフォレンジックなどのテクノロジーの活用方法は大きく変わってきています。不正が発生してから不正調査のためのメールレビューやデータ分析を行うのか、不正が発生しないように従業員を牽(けん)制するために行うのか。今、企業の姿勢が問われています。
(注) 本記事は、Business LawyersのWebサイト(実務Q&A)に「不正・不祥事リスク対応の強化における重要なポイントとは-『誠実性のアジェンダ』とデータ分析を活用したモニタリング強化」(business.bengo4.com/category7/practice923)というテーマで掲載されたものです。
「情報センサー2018年11月号 Topics」をダウンロード