不正事例に学ぶ子会社のリスク管理のポイント 第7回 不正リスク管理のポイント

本記事は、「週刊 経営財務」No.3478号(2020.10.19号)に掲載されたものです。

本記事は、「週刊 経営財務」No.3478号(2020.10.19号)に掲載されたものです。

1.不正リスク管理の重要性の高まり

不正の予防・発見・対処といった不正リスク管理に関する議論は、古くて新しいテーマといえます。振り返ってみると、不正はどの時代でも生じていました。
不正リスク管理に関する最初の公的な報告書としては「不正な財務報告全米委員会(通称:トレッドウェイ委員会)」が1987年に公表した「不正な財務報告」が挙げられます。このトレッドウェイ委員会を支援する目的で設立されたのが、COSO(トレッドウェイ委員会組織委員会)です。COSOが1992年に公表した内部統制フレームワークは有名ですが、事業活動全般にわたる広義の内部統制概念を採用するものでした。また、COSOは2004年に「ERMフレームワーク」を公表しましたが、COSOの内部統制フレームワークの概念をリスクマネジメントに発展させたもので、不正リスク管理に関する指針ではありませんでした。
そして、米国の公認不正検査士協会、公認会計士協会、内部監査人協会が共同で「企業不正リスク管理のための実務ガイド(Managing the Business Risk of Fraud: A Practical Guide)」を2008年に公表し、効果的な不正リスク管理を確立するための5原則(不正リスクのガバナンス、不正リスクの評価、不正の予防、不正の発見、不正の調査・是正措置)が示されました。その後、COSOが2013年に内部統制フレームワークを改訂し、内部統制の構成要素に関連する「17の原則」を新たに示し、8番目の原則に「不正リスクの評価」を示しました。この2013年改訂版に関する実務ガイドとして、COSOが前述の公認不正検査士協会とともに「不正リスク管理ガイド(Fraud Risk Management Guide)」を公表し、統制環境、リスク評価、統制活動、情報と伝達、モニタリングに関連した不正リスク管理の5原則と不正リスク管理プロセスを示しました。
COSOの内部統制フレームワークは、多くの国で企業に対する法規制の中に組み込まれています。COSOの内部統制フレームワークの中に不正リスク管理の原則が示されたことは、不正リスク管理の重要性がいかに高まっているかの証といえます。

2.不正リスク管理のフレームワーク

不正リスク管理のフレームワークについては、様々な整理の仕方があると考えられますが、本稿では【図表】のように整理します。【図表】の中で、実務レベルの管理者の方々からよく受ける質問は「不正リスク評価」です。また、不正リスクに対する具体的な統制活動は、「予防」「発見」「対処」に集約することができます。そこで、次の章からは、「不正リスク評価」と不正の「予防」「発見」「対処」について、解説していきます。

【図表】不正リスク管理のフレームワーク
図表

3.「不正リスク評価」のポイント

リスク評価とは、将来発生し得るリスクを洗い出し、リスクの発生可能性と発生時の影響度を予測することですが、その実務的な手法には「トップダウン方式」と「ボトムアップ方式」とがあります。

トップダウン方式によるリスク評価では、内外のビジネス環境を的確に理解・把握し、リスクを想定することが基本で、リスク事例の有無に関わらず、「このようなビジネス環境であるならば、このようなリスクが発生するに違いない」とリスクを想定することが基本となります。この場合、「〇〇事業では顧客の要求水準は高まり■■のようなリスクが重要と想定される」というように事業軸でリスクを想定するだけでなく、「△△国では公務員の給与水準も低いため贈賄リスクが高い」というように地域軸でリスクを想定することも必要です。不正リスク評価もトップダウン方式では事業軸と地域軸によるリスク想定が基本となりますが、各国別にありがちな不正リスクの傾向などについて十分に把握できている企業は多くないため、各国別のリスクガイドの整備の取組みは強く推奨されます。

ボトムアップ方式によるリスク評価では、過去のリスク事例の把握、従業員への質問等で現場に潜むリスク事象を聞き出すこと、セッションでリスク事例を洗い出すこと等が基本となります。ただし、不正リスク評価をボトムアップ方式で行う場合、過去の不正事例の把握や従業員に自らの不正行為を自白してもらうことは、実務上、非常に難しいようにも思われます。この点については、セッション方式で「もしも自分が不正行為者だと仮定した場合、当社の内部管理のここが脆弱なので、自分ならばこのような不正行為は可能だ」といった仮定の事象を書き出してグループ討議する方法は、実際に行ってみると非常に盛り上がり、短時間で多くの不正リスク・シナリオを想定できることがあります。

不正リスク評価の最も重要なことは、「具体的な不正リスクのシナリオを想定すること」です。つまり、動機さえあれば不正行為者が実行可能な不正行為の具体的な手口を知ることです。そのためにも、トップダウン方式だけでなく、いかにボトムアップ方式で不正リスクを洗い出し、不正リスクの具体的なシナリオを想定できるかが非常に重要といえます。

4.「予防」のポイント

不正リスク管理の予防のための統制手続(以下「予防」とします。)とは、内部統制の統制手続の予防的統制と考え方は同じで、事前承認や事前チェック等の手続を含みます。「予防」は理想的な統制手続ですが、費用対効果を明確に意識した設計を心掛けないと形骸化することも多いので注意を要します。

「予防」を設計する上で最も重要なことは、業務手続を1人で完結させない(「一人仕事」にさせない)職務分離と内部牽制の確保です。しかし、管理部門の要員が不十分であることが少なくない子会社を念頭に置くと、「予防」を徹底させることは難しい状況が多いように思います。複数人によるチェックは理想だけれども、実際には管理できる人材が枯渇しているような状況では、「一人仕事」にならざるを得ないからです。

5.「発見」のポイント

そこで、最も重要な不正リスク管理の統制活動は、発見のための統制活動(以下「発見」とします。)といえます。例えば、購買先の選定、発注、検収、さらには買掛金の計上や支払時の消込未管理・記帳をすべて子会社の特定の1名で行っている状況では、不正を行うことができる機会があることは容易に想像できると思います。ただし、選定した購買先の実態、発注した単価、検収時の納品エビデンス、仕訳データなどは、事後的にも適時に経営者や親会社が何らかの形でモニタリングしていることが伝えられ、「見られている」という意識が醸成されている場合には、不正リスクは低くなります。

内部統制の基本として、特に不正の抑制のためには、複数名によるチェックを前提とした「職務分離」「内部牽制」が必要というような説明が監査論では繰り返されてきましたが、これからの人材不足の状況を念頭に置くと、子会社における「職務分離」「内部牽制」が確保できないことを前提にした経営管理が必要となり、そのためには「発見」を強化することと、子会社の経営者によるモニタリング能力の向上が必要といえます。

6.「対処」のポイント

不正リスク管理の「対処」のための統制手続には、内部通報や監査などで不正行為が発見され、不正の事実調査が実施されるとともに、不正の発生原因を分析し、的確な再発防止措置や人事処分等の是正措置を講じることが含まれます。不正リスク管理の「対処」について、各国の規制当局、特に米国の司法省では従前から重視しています。例えば、2020年7月にリリースされた米国の司法省とSECによるFCPAリソースガイドの改訂版では「不正行為の調査・分析・是正」が有効なコンプライアンス・プログラムの「真の評価基準」であると明記しており、企業の自浄能力が重要であるとの姿勢を明確にしています。

しかし、実際には、多くの企業では重大な不正の疑義が発覚した後の調査プロセスが明確には定められていませんし、再発防止のための原因分析に問題があり、重大な不正が再発する事例も少なくありません。この点は、多くの企業でも課題認識を有しているのではないかと思われます。

7.子会社(特に海外子会社)における不正リスク管理の重要なポイント

前述したように、子会社には管理業務に十分なリソースを配分できていないケースが多く見受けられます。そのため、重要な業務を一人で完結してしまう「一人仕事」の状況が生まれやすく、長期間に亘り、重大な不正が発覚しないことも少なくありません。

そこで、子会社、特に海外子会社における「一人仕事」を洗い出すことが肝要です。それが難しい場合でも、最低限、以下の「一人仕事」に係る不正リスクの状況の確認を強く推奨します。

  1. 購買先選定の一人仕事:ファミリー取引での癒着やキックバック受領等の不正リスク
  2. 資材管理の一人仕事:実地棚卸ロスに仮装した資材の横流し等の不正リスク
  3. 渉外担当の一人仕事:専門家報酬・交際費などに仮装した公務員等への贈賄リスク
  4. インターネットバンキングによる支払業務の一人仕事:支払不正リスク

特に4の不正は内外の子会社で多く見聞きします。1人で送金処理の入力と承認処理の両方を行っている場合、支払承認時の明細と実際の送金処理の明細との照合が必要です。

8.今後に向けて

新型コロナウイルス感染症の影響で、景気低迷による不正リスクが高まる一方で、海外子会社への内部監査の往査が難しくなります。この状況下ではデータを活用した不正検知のためのモニタリングの確立が重要となりますので、アクセスできるデータの充実化や不正リスク・シナリオに基づく異例データの抽出と検証方法の確立が必須といえます。現場に往査できなくても、データ活用による不正検知に取り組んでいることを子会社にも周知することで、潜在的な不正行為者に対して「見られている」という意識を醸成することによる牽制効果も大いに期待されます。

※本記事は、「週刊 経営財務」No.3478号(2020.10.19号)に掲載されたものです。本記事の掲載については、税務研究会の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMG FAS
マネージングディレクター 林 稔

お問合せ

不正事例に学ぶ子会社のリスク管理のポイント