読者です 読者をやめる 読者になる 読者になる

株式会社Bizsuppliのメルマガバックナンバー

会計を中心とした実力派プロフェッショナル集団であるビズサプリのメンバーが、旬のネタや色々な物事への洞察を記載したメルマガのバックナンバーです。

不正リスク管理ガイドの公表

━━━━━━━━━━━━━━━━━━━━━━━━ vol.39━2016.10.19━
【ビズサプリ通信】

▼ 不正リスク管理ガイドの公表
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ビズサプリの辻です。
 10月もあっという間に後半に入りました。街はいつから始まった習慣なのか
ハロウィン一色です。これが終わるとクリスマスの飾りが出てきて今年の
カウントダウンが始まってしまうのでしょうね。

 10月は秋の運動会シーズンでもあります。最近はコミュニケーションを円滑
にとるための企業運動会を復活させるところが増えているようです。コミュニ
ケーションを良好にとるための一つの手段として「マルチマーケットコンタク
ト」という考え方があります。これは人間関係において多面的に接触すること
で組織に対する忠誠心や愛社精神が芽生えるといった考え方です。企業主催の
運動会はまさにこの考え方を利用して、企業の一体感を生み出そうとするもの
です。
 ただ、このような愛社精神は不正リスク管理という面でいうと、「間違っ
たムラ意識」を生む可能性があることを考慮しなければなりません。「会社
のためだから」という正当化のもと不正に手を染めていうことになります。
良好なコミュニケーションのベースには確固たる倫理観が必要であり、その
倫理観を徹底することが必要となります。

 このような不正リスク管理に関する対応のガイドラインとして、9月28日に
COSOとACFEが共同で不正リスク対応ガイド管理ガイド(Fraud Risk Mana
gement Guide)を公表しました。本日はその内容をご紹介します。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 1.不正リスク管理ガイドの位置づけ
----------------------------------------------------------------------
 皆さんCOSOはよくご存じかと思いますが、1992年に内部統制のフレーム
ワークを公表しているアメリカの民間団体です。内部統制をサイコロの形で
示す「COSOキューブ」が有名です。日本ではこの初代の内部統制フレーム
ワークが日本の内部統制報告制度(J-SOX)とも密接に関連しているため有名
ですが、実は2013年に改訂が行われています。
 この2013年の改訂版COSOでは、内部統制システムが有効であるための
17原則が定められています。このうちの原則8に以下の記載があります。

 「組織は内部統制の目的の達成のリスク評価に際して不正の可能性を検討
する。」(訳はACFE JAPAN)

そして、この原則に従うということにより実践的なガイダンスを示したものが
今回公表された「不正リスク管理ガイド」となります。
 なお、COSOはアメリカの上場企業であれば強制的に適用になりますが、不正
リスク管理ガイドは強制適用ではないそうです。ただCOSOが公表したという
ことの意味は大きく、今後多くの企業に影響を与えると言われています。

 日本企業においては、COSOが強制適用されているわけではなく、内部統制に
関しては、会社法で求められる内部統制決議とJ-SOXです。ただ、不正リスク
に具体的にどのように対応すべきか悩まれている会社においては多いに参考に
なるガイドになるかと思います。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 2.不正リスク管理ガイドの記載内容
----------------------------------------------------------------------
 不正リスク管理ガイドでは、不正リスク管理の原則(5原則)と不正リスク
管理プロセスが記載されています。
 
 不正リスク管理の原則は内部統制の5つの基本的要素と関連している下記の
5つとなります。


原則1(統制環境と関連)
組織は、取締役会及び上級経営者の期待と彼らの不正リスク管理に関する誠実
性と倫理的価値観に対するコミットメントを表明する不正リスク管理プログラム
を確立し伝達する。

原則2 (リスク評価と関連)
組織は、具体的な不正スキームとリスクを識別し、不正の発生の可能性と重大性
を測定し、既存の不正対策活動を評価し、不正の残存リスクを軽減する対策
を実施するため統合的な不正リスク評価を実施する。

原則3 (統制活動と関連)
組織は、発生する、または適時に発見されることのない不正リスクを軽減する
ための防止的・発見的な不正対策活動を選定、開発、実施する。

原則4 (情報と伝達に関連)
組織は、潜在的な不正についての情報を入手するための情報伝達のプロセスを
確立し、調査および不正に適時にかつ適切な方法で対処する是正措置への
組織的な取組を採用する。

原則5 (モニタリング活動に関連)
組織は、不正リスク管理の5つの原則の各々が存在し、機能し、運営されている
かどうかを確認するための継続的な評価方法を選定、開発、実施し、不正リス
ク管理プログラムの不具合を、上級管理者と取締役会を含む是正措置の実施に
責任を負う当事者に適時に伝達する。

 また、上記の原則を遵守するための不正リスク管理プロセスとしていわゆる
PDCAサイクルが記載されています。

組織ガバナンスの一部としての不正リスク管理方針の確立

統合的な不正リスクの評価の実施

予防的・発見的不正対策活動の選択、開発、実施

調査と是正措置のための組織的な取組と不正報告プロセスの確立

不正リスク管理プロセスの監視(モニタリング)、結果の報告、プロセスの改善

なお、今回のガイドには豊富な資料編があり、テンプレート、実例、チェック
リスト等が用意されていることも大きな特徴です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 3.不正リスク管理原則の中で特に留意すべき点
----------------------------------------------------------------------
 上記でご紹介した不正リスクの管理原則の中で、現在の日本の不正リスク
対応で最も難しいのは、原則1で言われている不正リスク管理に関するトップ
のコミットメントかと思います。
 不正というとどうしても「粉飾決算」等の財務諸表関連の不正を考えがち
ですが、不正リスクマネジメントで管理すべき不正は財務報告だけに限った
ものではありません。原産地偽装、環境データ改ざん、マンションの杭打ちの
データ改ざんなどの非財務情報に関連する不正やカルテルなどの取引法関連
の違反、労務管理関連等非常に幅広いが含まれます。 このため、一言で
「不正リスク管理」といっても単に内部統制関連の部署や内部監査部門だけで
なく、ほぼすべての部署が関連する取組が必要となります。このような場合、
不正リスクマネジメントに号令をかけられるのはトップのみです。逆にトップ
が不正リスクに対して関心がない場合は、不正リスク管理が効果的に根付く
ことはありません。
 ただ、不正リスク管理について統合的にトップが明確にコミットを表明し、
全社的に取り組んでいる会社はとても少ないのではないでしょうか。

 また原則4の「潜在的な不正についての情報を入手するための情報伝達の
プロセス」についても誤解があるように思います。このような情報伝達のプロ
セスといった場合には、いわゆる「通報窓口」を想定される方が多いと思い
ます。もちろん通報窓口は隠れた不正を明らかにする手段として重要で、企業
は、通報者の保護も含めて適切に整備をすべきものです。
 ただ、通報窓口を整備すればいいというものではありません。
 大きな不正が生じた会社の調査報告書の中で不正が生じた背景としてよく
指摘されることとして「コミュニケーション不足」「無関心、無批判」
「上司にものが言えない雰囲気」といったことがあります。何かおかしいと
感じた時に「おかしい」とか「どうして」といったような声が自然と起きる
ような普段からのコミュニケーション、信頼関係を築いておくことも非常に
重要です。 そうすることで、不正があったとしても小さい問題のうちに
早期に是正することができます。
 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 4.実務で活かすために
----------------------------------------------------------------------
 不正リスク管理を「具体的に」どのように実施していけばいいのか悩んでいる
方も多いかと思います。今回公表された不正リスク管理ガイドはチェックリスト
やスコアカード等のツール類も豊富にありますので、まずは手をつけやすい
ところから導入していくのもいいかもしれません。

 なお、今回公表されたガイドは、エグゼクティブサマリーがCOSOとACFEの
サイトからダウンロードできます。実務に使える資料編を含んだ本編(英語)
はACFE、COSOのサイトから購入することができます。また、エグゼクティブ
サマリーのに日本語訳は、ACFE JAPANのホームページからダウンロードできます。

https://www.acfe.jp/notice/post-110.php

また、本編の日本語への翻訳も検討されています。本編は結構なボリュームに
なりますので日本語訳で見ていただくといいでしょう。
 
 ビズサプリグループでは、企業不正・コンプライアンス関連の内部統制構築
内部監査手続についてコンサルティング、インハウスセミナーを実施していま
す。企業不正リスク管理についてもお気軽にお問合せ下さい。
 

本日も【ビズサプリ通信】をお読みいただき、ありがとうございました。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━