解説:不正リスクに本格的に取り組むにはERMが最適、その訳とは

Understanding the FFIEC Cybersecurity Assessment Tool: An Internal Audit Perspective
解説:不正リスクに本格的に取り組むにはERMが最適、その訳とは
不正が後を絶ちません。財務報告のみならず、非財務報告においても大きな話題になる不正が相次いでいます。法令違反や規制当局の指導に反する不正行為もなくなりません。これらの不正では、企業が設計した予防の仕組みも空しく、また日常的なプロセスの中で自浄作用が効かず組織自ら発見・是正できない中で、内部通報や外部通報により発覚しているケースが決して少なくありませんが、組織の存立に係るような不正は何としても避けなければなりません。
「うちの会社ではあんな不正は起こるはずがない、あれは例外的なケースだ」とするのは思い込みであり、どの組織でも不正は起こるとの前提に立つ必要があります。無論、性悪説に立つ必要はなく、かと言って性善説だけでも解決せず、むしろ優しさと厳しさを備えた性弱説が適切な場合があるかもしれませんが、組織の健全な発展を推進するには、今や、不正が起こることを前提にした取組みを本格化させる時期に来ていることは間違いありません。「うちの会社では起こるはずがない」という思いの根拠は何でしょうか?その確からしさはどの程度でしょうか?「うちでは不正は起こらない」とは本当なのでしょうか?起こってから、これは想定外とするのは説明責任を果たしているとは言えない時代になってきています。
では、何から手を付ければいいのでしょうか。先ずは個々の具体的な対策に入る前に統制環境を見直すことをお勧めします。内外の経営環境の変化に、トップを含め組織がどのように向き合おうとしているのかを再点検することが頑健な不正リスク管理の第一歩です。これはトップのイニシャティブで進めることが重要であることは言うまでもありません。
外的環境としては、経済のグローバル化が進む中で、Brexitやトランプ大統領の登場で何が起こるかわからない、何が起こっても不思議ではない、まさに「新不確実性の時代」とも言える時代が地球規模で到来しています。ビジネスにおける不確実性の拡大は、不正リスクを確実に高めます。それは、経営陣を含め組織の全構成員の動機やプレッシャーに大きな影響を与えるからです。不正の原因は一般に不正のトライアングル(動機・プレッシャー、機会、正当化など)で説明されます。欧米ではどちらかと言えば最近のウェルスファーゴ事件のように個人のインセンティブに係る不正をよく見かけます。横領・着服など個人の利得に絡む不正は組織全体には大きな影響を与えることはあまりないものの、これらは予防統制を強化することで、これらの不正リスクに係る残存リスクを許容範囲に収めることが可能となります。我が国で大きな影響を与えている不正の特徴は、経営陣が関与した事案、共謀による事案、業績へのプレッシャーなどが大きな原因となった事案です。よくある問題は組織的なプレッシャーを背景にしたチャレンジです。チャレンジそのものを否定する必要はありません。挑戦すること自体は人類の永遠の課題として、むしろ奨励すべき忘れてはならない行動規範だからです。問題は、バランスです。組織の能力をはるかに超える目標を設定していないか、あるいは社員をそのような気持ちにさせる言動をリーダーが発信していないか、組織のリーダーは常に自問自答をしなければなりません。
統制環境はトップの健全な姿勢が基盤となります。そこでトップの健全な姿勢を支えるための頑健な仕組み、いわゆる全社的な内部統制の不断の改善が不可欠となってきます。このような仕組みを構築し、運用して、評価・改善を継続するには、事業目標を実現するための戦略を策定する上で不確実性(リスク)を特定評価し、受け入れるリスクに対して、戦略を実現するための内部統制を構築しなければなりません。不正リスクはこのような全社的リスクマネジメント(ERM)の一環として、抑止・牽制を織り込んだ効果的な予防統制と、変化への対応状況をリアルタイムでモニタリングし、異常を速やかに察知する効率的な発見統制を強化することが有効な対応策になります。
不正のみに焦点を当てた不正リスク対応はうまく機能しません。ビジネス環境の動きを注視し、新たな機会を創出するビジネス戦略が統制環境に与える影響を評価し、不適切なプレッシャーや、内部統制の脆弱性を常にウォッチする仕組みが必要となります。この仕組みこそが、経営リスクや戦略リスクもカバーする全社的リスクマネジメント、つまりERMということになります。不正リスク対応は組織横断的な取り組みになります。一部署、一役員、一担当者だけの課題ではありません。不正リスク対応は、戦略とリスクと内部統制の関係の中に織り込んでいくことが、実は手間がかかるようで最も効果的・効率的な手法となります。トップマネジメントの指示のもと、全社的リスクマネジメント、あるいは全社的内部統制において、現在、不正リスク対応がどのように設計・運用されているかを先ず見てみましょう。

(メールマガジン特集記事2017年3月号)

Ready to work with us?