不正対応

 

事業理念
事業概要
わが国組織の共通課題
内部監査の業務運営
内部監査関連リンク集
用語集
ご来訪者アンケート
更新情報
 

目次

概要
不正の特徴
不正対応の5原則
トップ関連不正リスク
その他留意事項

 

概要

昨年7月に、内部監査人協会国際本部、米国公認会計士協会、不正調査人協会が共同作成した「事業上の不正リスク管理の実務指針」(以下「実務指針」)が公表されました。

Managing the Business Risk of Fraud: A Practical Guide

ここではこの「実務指針」を参考に、わが国における不正リスク管理適用上の留意点を検討します。

 

不正の特徴

実務指針は次のように不正を定義しています。

不正とは、他人を欺くことを企図した意図的な作為又は不作為の行為であって、被害者が損失を被るとともに加害者が利得を得るか、そのいずれかの場合をいう

この定義を元に次の3つのタイプに分類することができます。

虚偽表示 
資産流用 
脅迫・暴力・破壊

次の表はこの分類に基づいて最近新聞紙上を賑わせた事件をいくつか拾い上げてみたものです。

  虚偽表示  資産流用 脅迫・暴力・破壊
2004年 温泉不当表示事件 

カネボウ/中央青山不正会計事件 

西武鉄道有価証券報告書虚偽記載事件 

中医協贈収賄事件 

ヤフーBB 450万人顧客情報流出事件 

中部電力古陶器大量購入事件 

栃木5億円強奪事件 

西武鉄道総会屋利益供与事件 

東京医科大学心臓弁手術連続死亡事件

2005年 兼松日産建材用ビス認定書偽造事件 

明治安田生命保険金不払い事件 

首都圏マンション耐震強度偽装事件 

レイクウッドゴルフクラブ スキミング事件 

UFJ銀行ATM盗撮事件 

浅井学園理事長経費私的流用事件 

オリエンタルランド右翼関連利益供与事件 

東京都水道局発注工事談合事件 

学習塾「京進」講師小6女児刺殺事件

2006年 ライブドア証券取引法違反事件 

高校必修科目履修逃れ事件 

コムスン介護報酬水増し事件 

日経社員インサイダー取引事件 

NTTデータ元社員カード偽造事件 

村上ファンドインサイダー取引事件 

飛鳥会横領事件 

PGA会長選を巡る暴力団介入・脅迫事件 

ETC強行突破による不正通行事件

2007年 「あるある大事典」番組捏造事件 

船場吉兆菓子類期限改ざん/牛肉産地偽装事件 

ニチアス国交省耐火認定不正合格事件 

デンソー中国人技術者製品図面大量ダウンロード事件 

大日本印刷863万件個人情報流出事件 

山田洋行防衛次官接待事件 

ペッパーランチ女性客拉致暴行事件 

大相撲時津風部屋序ノ口力士急死事件 

佐世保スポーツクラブ乱射事件

2008年 製紙会社古紙配合率偽装事件 

マルハ子会社ウナギ産地偽装事件 

京都家裁書記官ニセ振込依頼書送付事件 

野村證券中国人社員インサイダー取引事件 

西松建設裏金・着服事件 

早大セクハラ相談リスト流出事件 

中国製ギョーザ農薬混入中毒被害事件 

JR東海道線グリーン車女性乗務員連続暴行事件 

元厚生次官宅連続襲撃事件

 

不正対応の5原則

「実務指針」は不正リスク予防のため次の5つの原則を掲げています。

原則1:組織のガバナンスの構成要素として、不正リスク管理プログラム を整備すべきである。同プログラムには、不正リスク管理に関する取締役会と経営幹部の期待を伝達するための明文化された方針が含まれる。 
原則2:低減すべき特定の潜在的な不正スキームや事象を識別するため、組織は不正リスクへのエクスポージャーを定期的に評価すべきである。 
原則3:組織が被る影響を緩和するために、実現可能な範囲で、重要な不正リスクの潜在的事象を回避するための防止手法を確立すべきである。 
原則4:防止策が機能しないか、または、緩和されないリスクが顕在化する際に、不正事象を発見するための発見技法を確立すべきである。 
原則5:潜在的な不正への適時かつ適切な対応を確実にするために、潜在的な不正に関する情報提供を求めるための報告プロセスを整備し、調査ならびに是正措置を実施するための協調的なアプローチを用いるべきである。

(1)不正リスクのガバナンス

組織における不正リスク予防の出発点は体制整備です。「実務指針」の原則1は不正リスクガバナンスであり、そのために必要な役割分担が次のように示されています。

取締役会:不正リスクに関する経営陣の報告、内部統制整備・運用状況、危機対応(不正調査)プログラム評価、等 
監査委員会:内部統制の無視を伴う経営者不正リスクへの評価・対応 
経営トップ:不正防止プログラムを含む適切な内部統制の整備・運用・有効性評価結果報告 
社員:不正の知識保持、不正防止のための自身の役割認識、不正疑惑・発生の報告 
内部監査:不正に関連するリスク管理・内部統制の有効性の保証とコンサルティング

不正リスク管理プログラムの構成要素。

コミットメント
不正の認識
確認プロセス
利益相反の開示
不正リスク評価
報告手続と通報者保護
調査プロセス
是正措置
プロセスの評価と改善(品質アシュアランス)
継続的モニタリング

 

(2)不正リスクの評価

3つの主要要素
不正の固有リスクの識別
不正固有リスクの発生可能性と影響度の評価
合理的に可能性がある重要な不正リスク(固有及び残存)への対応
不正リスク評価チーム
不正リスク識別
動機、圧力、機会
経営陣の内部統制無視のリスク
不正リスクの母集団
OCEG基盤原則
文化
組織・人員
プロセス:計画と組織化
予防・整備
継続的モニタリング
対応と改善
情報とコミュニケーション
テクノロジー
ACFEの職業上の不正カテゴリー
不正な報告
着服・横領
汚職
不正な報告
着服・横領
汚職
ITと不正リスク
法令違反
評判リスク
識別された固有の不正リスクの発生可能性と影響度の評価
残存不正リスクへの対応

 

(3)不正の予防

不正予防コントロール
人事手続
バックグラウンドの調査
不正予防トレーニング
実績評価、報酬プログラム
退職時インタビュー
権限の制約
取引レベルの手続
不正予防テクニックの文書化
組織の不正予防施策の評価
不正予防施策の継続的モニタリング

 

(4)不正の検出

不正検出のコントロール手段
社内通報窓口
プロセスコントロール
プロアクティブな不正検出手続
データ分析
継続的監査
不正検出テクニックの文書化
組織の不正検出施策の評価
不正予防施策の継続的モニタリング

 

(5)不正調査と是正措置

不正の調査と対応のプロトコル
通報の受付
通報の評価
調査プロトコル
調査の実施
結果の報告
是正措置
測定尺度
問題解決までの期間
反復発生件数
損失回収額、将来損失発生回避額

 

トップ関連不正リスク

有力な不正防止手段であるトップ機能は、同時に深刻な不正リスク要因でもあります。組織は特に次の2点に留意することが必要です。(「トップ関連不正リスク」)。

経営トップがその役割を適切に果たさないかもしれない 
トップとはいえ生身の人間である。常に必ず理想的な資質と能力をそなえ、高い意識を持ち、期待される役割を着実にこなすとは限らない。 
経営トップ自身が不正に加担するかもしれない 
この場合には潜在的なダメージはより大規模で深刻なものとなる。付与された人事権を含む広範な業務執行権限は、「有効な」内部統制を容易に無機能化できるものであり、自らの不正に対する摘発行動や是正行動の抑え込み手段ともなりうる 。

センシティブな問題ですが、不正を考えるときこの重要リスクを避けて通ることはできません。実務指針では5原則の筆頭に「不正リスクのガバナンス」を挙げ、有効なガバナンス構築がこうしたリスクを抑止し組織を健全に運営していくため不可欠の対応である、と指摘しています。 

その中核に位置付けられるのが「独立性を保持する取締役会」の監督機能であり、更にその下部機関として設置された財務・リスク管理・監査について一定の専門性を備える監査委員会の監査機能です。

取締役会の過半数が社内取締役で構成され、監督と執行が未分離の多くの日本企業では、単純にこの役割分担を適用できません。この点について特段の注意が必要となります。

 

その他留意事項

不正は「意図的に他人を欺く行為」であり、これにより組織に損害を与え、あるいは自ら利得を得ようとするものです。組織が社員等を信頼して付与する資産へのアクセスやその他権限を悪用するものであり、信頼に対する裏切り行為です。しかも誰が不正を実行するかフタを開けてみなければわからない、予め色分けすることはできない。 

不正がそんな特徴をもつ以上、その対応策の設計・運用にあたっては、次を含む慎重な注意が必要です。 

社員への盲信を基盤とするナイーブな性善説的アプローチに依ることはできない。まず社内外の関係者全員を疑ってかかる。その上での冷徹なリスク分析に基づく内部統制手段の設計・運用が不可欠。 
組織活動は生き物で漸次変容している、不正リスクの所在やあるべき不正対応も変化する。継続的なモニタリング・見直し・対応が不可欠。 
不正は発生前に抑止できればそれに越したことはない。しかしすべての不正を事前に予測し完全に抑え込むことは不可能ないし現実的でない。そこで不正の防止手法と発見手法の有機的・統合的な設計・運用が必要となる。 
不正実行者に対する論理的・心理的な抑止力となるよう不正対応手段を設計・運用することが必要である。その存在を周知し、かつ具体的内容を伏せて明らかにしないことは、潜在的不正実行者側の不確実性を高めることになる。疑心暗鬼にさせ実行を断念させることができれば成功である。 
倫理/不正防止トレーニングと社内通報制度の徹底は潜在的不正実行者の周囲により密に注意を張り巡らせることになり、不正機会を縮減する。 
不正対策の前段階として内部統制基盤の確立が不可欠である。ITアクセス等に適切なコントロールが講じられていないような領域では、そこにどんなに不正に特化した個別施策を導入したところで、社内外からの情報・資産の流用を防ぐことは困難だろう。 
不正対策は、不正実行者以外の大多数の社員間の信頼関係を損ない、士気を低下させるリスクを孕む。不正リスクを抑止できても組織活力を大きく損なったのでは意味がない。適切なバランス保持が必要である。

 

 

 

この Web サイトに関するご質問やご感想などについては、sanada@zac.att.ne.jp まで電子メールでお送りください。
Copyright (C) 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2006, 2007, 2008, 2009 弦巻ナレッジネットワーク
最終更新日 : 2009/03/12