*前編はこちら
不正を誘発する
行動にも注意すべき
次に、不正を誘発する行動について過去の事例から考察したい。
大きくは2つ挙げられる。一つは「重要な不正リスクのプロファイリング上の問題」だ。会計不正をはじめとした不祥事が頻発しているにもかかわらず、なぜ繰り返し起こるのか。
それは、その他の会社で起きた事象が自社グループにも関連性が高い、あるいは重要なリスク事象と認識されていないことが大きい。この結果、重要な不正リスクの原因や結果を誘発する行動が自社グループのどこに潜在しているのか調査・分析も行われないし、リスクマネジメント方針やKRI(Key Risk Indicator:重要リスク指標)の設定・モニタリングも行われない。
これらの解決には、RCSA(Risk and Control Self-Assessment:リスクと統制の自己評価)が有効だ。これはビジネスやリスクマネジメントに精通した人材を内外から集め、専門家の視点からビジネスに潜在するリスクを識別し、それを制御するための手法を文書化、さらに評価するプロセスである。
もう一つは「重要な不正リスクへの対応上の問題」だ。会計不正のような発生頻度の低いリスクは通常の内部統制システムでは検知しにくい。この解決策としては不正の抑止力としてデジタル技術を利用した発見的コントロールの活用が有効だ。
具体的手法としては、CAAT(コンピュータ利用監査技法)を活用した内部監査が挙げられる。これは企業の業務データを、一部抽出ではなく、すべてを入手・分析し、データの揺らぎや異常値を検知するものだ。グループ・グローバルベースの内部通報システムの構築や、リスクコミュニティの設置による社内コミュニケーション体制の見直しなども重要だ。
不正リスクの原因と誘発する行動、その解決方法は明らかになった。だが、コストを費やし立派な仕組みを導入したとしても、リスクをゼロにすることはできない。不正発生時に起こる経済的・社会的損失を最小限に食い止めるには初期対応が重要になるが、ここでもいくつか問題がある。
たとえば、経営トップや監査役に報告が上がらない、監査法人とのコミュニケーションが適時に行われない、不正事案の経験が少ない専門家に相談する、経営陣が不正調査委員会に対して事実を隠蔽するといったことが挙げられる。対応策は、自社グループ内でできることとできないことを明確に分けて、できないことは外部の専門家に関与してもらい、プロジェクトマネジメントを任せることだ。