(1)経営者・役員による内部統制の無効化リスクへの対応
不正対応においては、まず経営トップの姿勢・方針が全ての始まりと言えます。「業績よりもコンプライアンス重視であることの基本的な価値観の共有」をいかに全役職員に浸透させていくかが重要ですが、そのためには、不正リスク対応について役割と責任を明確にした上で組織的に行動する仕組み、例えば、不正リスク評価と対応を執行側の担当役員が責任をもって実行するなど、不正リスク対応に係る責任体制も明確にし、経営執行全体で取り組んでいくというような仕組みが重要と考えます。
また、内部監査が誰のレポートラインになっていて、どこまでカバーしているかが重要です。実施基準でも追記されていますが、取締役会や監査役等に対しても監査結果がレポートされるような仕組みが必要となります。
(2)業務プロセス責任者による内部統制の無効化リスクへの対応
業務プロセス責任者による内部統制の無効化においては、単独で行っている場合と部下を巻き込んでいる場合があります。
部下を巻き込んでいる場合には、当該部下による内部通報が期待されますが、従業員の心理として匿名性の確保への不安が大きく、必ずしも内部通報が常に有効に機能するとは限らないため、当該部門から独立したところからの発見的統制活動の実施が有効ではないかと考えます。
発見的統制活動としては、不正リスクシナリオに基づくデータ分析を活用し異常値を検出してフォローすることが考えられます。会社のデータの整備状況によっては有効なデータ分析自体ができない場合もあるものの、網羅的に取引を検討でき、かつ、多面的な視点から効率的に異常値の検出がしやすいという点で有効な方法と言え、その導入については検討の価値があります。なお、どのような不正リスクを想定するかについては、業種・ビジネスフローの特性を踏まえて検討することに加え、自社で過去起きた不正、同業他社で発生した不正手口にも留意すべきと考えます。
一方、実例を見てみると、部下を巻き込むというよりは、職務分掌が不十分な拠点で1人の従業員による多額の資金横領といった事例も数多く発生しています。まさに起こるべくして起きているケースとも言え、改めて職務分掌が不十分な拠点を洗い出す必要性を感じさせる事例と言えます。
(3)その他従業員による不正への対応
過去事例を見ると、その他従業員においても、売上の過大計上や資産の不正流用が多く見られます。
売上の過大計上は、売上の期間帰属を操作することにより前倒し計上を行う不正のほか、書類等を偽造して架空の売上を計上するというタイプの不正が典型的です。また、資産の不正流用については、会社の預金口座から不正に送金を行って資金を横領するタイプのほか、取引先と共謀し架空・水増し発注させ、その代金を着服するタイプの不正が多いです。ビジネスや業務フローの特性等から、取引先との共謀や証憑の改ざん、隠蔽行為のしやすさ等も考慮し、リスクが高い場合には注意が必要となります。
組織の広範囲にわたって架空仕入や原価付け替えが常態化し、対応が不十分な場合には、実際に発生した不正に伴う虚偽記載の金額に重要性が無くとも、潜在的に重要な虚偽記載の発生を防止又は発見できない可能性の程度によって、内部統制の開示すべき重要な不備として判定されるので、留意が必要です。
今回の基準改訂を契機として、そのような不正リスクに対する内部統制の脆弱(ぜいじゃく)性が放置されていないか、不正のトライアングルや共謀・改ざん・隠蔽などのしやすさ等を考慮しながら、既存の統制活動の有効性を評価の上、変更・追加を検討するとともに、場合によっては業務フロー自体を見直した方がよいと考えます。
(4)子会社の不正リスクへの対応
子会社の経営者主導で不正が行われる場合、そもそも子会社で整備している統制活動が無効化されることが多く、その場合、自浄作用は期待できません。また、グループ子会社に係る内部統制の議論として、子会社の全てについて親会社と同じレベルで内部統制を構築することはリソース等において難しく、どうすれば良いのか悩みを抱えている企業関係者は多いのではないでしょうか。この点については、第3回「グループ管理としての全社的な内部統制の見直し」において、解説予定です。