【事例から学ぶ「有効な不正対策」】　不正対策の職業専門家としての認知

不正対策の職業専門家としての認知
RECOGNITION OF THE ANTI-FRAUD PROFESSION
真の職業専門家としての分野確立に向け
Discipline emerging as true profession

ハルク・F・ガーセル（ＣＦＥ／ＣＧＦＭ／ＣＰＡ）　著
Dr. Haluk F. Gursel,CFE,CGFM,CPA

　世界的企業は、ＣＦＥを代表とする不正対策の専門職が、リスクの計測および回避において重要な要素をなすということに気づき始めている。ここでは、最近のリスクに基づく経営管理システムが、いかに不正対策の専門家の育成を促進しているかについて見ていく。

　中堅製造業者のＣＥＯに就いたジョージは、ＣＦＥが二人も必要なのか確信が持てないでいた。今まで、内部監査部が会社をリスクから十分に守ってきたではないか。しかし、その後まもなく監査人が調達部において不正行為を発見し、ＣＦＥが呼ばれた。結局、調達部長のデイビッドは、長年にわたり特定の納入業者と癒着し、リベートを得ていたことが判明した。

　ジョージは納得し、内部監査部とともに不正の発見、防止および調査に携わるＣＦＥをさらに二人雇った。

　上記の事例は架空だが、新たに出現してきた不正対策の専門家がリスクの計測および回避において不可欠だということを、世界中の多くの企業が認識してきていることを示している。

　ＣＥＯが問題の重大さを理解するには、典型的な米国企業の不正による損失は、その収益の５パーセントになると推定する、ＡＣＦＥの「国民への報告」２００６年版（2006 “Report to the Nation”）を読めば一目瞭然である。これを２００６年の米国のＧＤＰ（Gross Domestic Product, 国内総生産）に当てはめると、損失総額は約６千５２０億米ドルということになる。経営者は、不正リスクおよび不正そのものの及ぼす影響を認識しなければならない。

　ＡＣＦＥの創設者兼会長であるジョゼフ・T・ウェルズ（Joseph T. Wells、CFE、CPA）は、「不正は会計上の問題ではない。それは、社会現象である」と述べている。経営者が「不正対策に関する洞察」を持てば、経営者は不正対策の戦略を考案できる。ここでは、ＣＦＥ、およびその他の不正対策専門家の変化する役割や機能、内部監査部門や経営者との連携方法について述べる。

不正対策の分野における主な原動力　（MAJOR DYNAMICS IN THE FIELD）

　２０世紀初頭、不正対策関連の業務（意識向上・防止・発見・検査）は監査の専門家に任せられていた。監査人は豊富な会計知識を生かし、疑わしい、もしくは企てられている組織内の不正事件に関する業務に当たった。不正リスク（不正の発生を可能にする状況）は、監査人の知識によって軽減された。

　しかし２１世紀に入り、二つの顕著な変化が生じている。一方では、不正を行う者がより巧妙な手口を使うようになり、その結果、打ち負かすことが困難になっている。他方では、不正検査の分野に新しい種類の専門家が出現してきている。多くの人々が、単に会計知識だけでは不正関連の問題に十分に対応できないことに気づき始めている。

　最近のリスクに基づく経営管理システムが、不正対策の専門家の育成を促進している。リスクマネジメント・サイクル、不正リスク、そして不正対策の専門家の役割に注目し、そのような専門家の需要が急増している理由について説明する。

リスクマネジメント・サイクル　（RISK MANAGEMENT CYCLE）

　組織は以下の手順でリスクマネジメント・サイクル（図表１参照）を実施する。

　１．リスク領域の識別
　２．リスク規模の理解、および評価
　３．リスクマネジメント戦略の開発
　４．戦略の実施、および責任の分担
　５．統制の実施、およびその実施の監視
　６．リスクマネジメント・グループ、および目標の確立１

図表１　リスクマネジメント・サイクル

全社的リスクマネジメント　（ENTERPRISE RISK MANAGEMENT）

　このリスクマネジメント・サイクルを考察するには、２００４年にＣＯＳＯ（Committee of Sponsoring Organizations of the Treadway Commission, トレッドウェイ委員会組織委員会）が生み出した全社的リスクマネジメント（ＥＲＭ）フレームワークを利用することが最適である。フレームワークの主となる文書である「全社的リスクマネジメント－統合的フレームワーク（Enterprise Risk Management - Integrated Framework）」によれば、ＥＲＭは、以下のように定義される。

　●事業体全体にわたる、一貫し、かつ連続したプロセスである

　●事業体のあらゆるレベルの人員によって実施される

　●戦略策定に適用される

●	事業体の全てのレベルおよび部門を横断して適用され、事業体全体レベルでのポートフォリオの観点からのリスク管理（組織レベルにおけるリスクの相互影響度の考慮）を含む
●	発生した場合に事業体に影響を及ぼすような潜在的な事象を特定し、事業体のリスク選好（事業体が、目的達成のために受け入れようとするリスクの大きさ）の範囲内でリスク管理が行えるように設計する

　●事業体の経営者および役員会に合理的な保証の提供を可能とする

　●単独、もしくは複数の独立かつ重複した分野における目的達成と連動させる

　ＥＲＭには、以下の事項が含まれる。

リスク選好と戦略の調整（Aligning risk appetite an strategy）－経営者は戦略の選択肢の評価、関連目的の設定、および関連リスクを管理するための仕組み開発において、事業体のリスク選好を考慮する。

リスク対応意思決定の向上（Enhancing risk response decisions）－ＥＲＭは、リスク対応策（回避・軽減・共有・受容）の識別および選択において、厳密性を提供する。

業務上の不測事象や損失の抑制（Reducing operational surprise and losses）－潜在的な事象を識別し、対応策を確立し、不測事象やそれに伴うコストや損失を軽減するため、事業体の能力を高める。

複合リスクおよび事業体間リスクの識別と管理（Identifying and managing multiple and cross-enterprise risks）－どの事業体も、その組織の様々な側面に影響を与える無数のリスクに直面する。ＥＲＭは、それらのリスクや相互的影響に対する有効かつ統合的な対応を促進する。

ビジネス機会の活用（Seizing opportunities）－潜在的な事象を全て検討することで、経営者はビジネス機会を識別し、積極的に実現する立場に身を置くことになる。

資本運用の改善（Improving deployment of capital）－確実なリスク情報を得ることで、経営者は総合的な資本の需要を有効に評価し、資本配分を向上できる。

この全社的フレームワークは、事業体における、以下の四つの目的達成に連動する。

戦略（Strategic）：事業体の任務（mission）と連動し、それを支える高度な目的

業務活動（Operations）：事業体の資源の有効、かつ効果的な使用

財務報告（Reporting）：報告の信頼性

コンプライアンス（Compliance）：適用される法令規則の遵守

　最後に、ＥＲＭは相互関係にある八つの要素から成り立っている。これらは事業体の経営方法から導き出されたものであり、経営プロセスと統合される。

内部環境（Internal environment）－組織の姿勢を組み込み、経営者および従業員のリスクの見方およびそれへの対応についての基礎を構築するものである。その中には、リスクマネジメント哲学、リスク選好、誠実性および倫理意識、業務を実行する環境などが含まれる。

目的設定（Objective setting）－経営者が目的達成に影響を及ぼす潜在的事象を識別するためには、まず目的を設定しなければならない。ＥＲＭは、経営者が目的を設定するための適切なプロセスを持つことを確実にする。そして、それらの目的は、事業体の任務遂行を支え、連動するものである。また、それらの目的は、事業体のリスク選好と一貫していなければならない。

事象の特定（Event identification）－事業体の目的達成に影響を及ぼす内外部の要因を特定し、リスクとビジネス機会に分類しなければならない。そのうちビジネス機会に関しては、経営戦略もしくは目的の設定プロセスに差し戻される。

リスク評価（Risk assessment）－リスクの分析、管理および評価は、発生可能性および影響度を根拠（bases）に実施される。リスクは固有ベースと残存ベースで評価される。

リスク対応（Risk response）－経営者はリスク対応（回避・受容・軽減・共有）を選択し、リスクと事業体のリスク許容度、およびリスク選好とが合致するように一連の活動を開発する。

統制活動（Control activities）－リスク対応策が有効に実施されていることを保証する手助けとして、方針（policies）および手続きを確立し、実施する。

情報とコミュニケーション（Information and communication）－関連情報を識別し、保存し、人々がそれぞれの責任を果たすことができるような手段と時間枠で伝達する。有効なコミュニケーションは、事業体の組織図を縦横断するものである。

監視活動（Monitoring）－ＥＲＭ全体を監視し、必要に応じて修正する。監視活動は、継続的管理活動、もしくは独立した評価活動、またはその両方を通して実施する。

不正リスクに関する責任　（RESPONSIBILITY FOR FRAUD RISK）

　ＩＩＡ（Institute of Internal Auditors, 内部監査人協会）イギリス・アイルランド支部の不正に関する方針書（fraud position statement）はＣＯＳＯのリスクマネジメント・モデルを幅広く認めている。２　同協会は、そのダイナミックなＥＲＭフレームワークの見解の中で、各組織のとるべき行動として以下を挙げている。

●	不正は容認されず、不正を働く者は起訴され、組織として不正防止と発見に全力を尽くすことを明らかにした方針を定めることで、経営トップから基本姿勢を表す（set the tone from the top）
●	不正を発見し、不正を働き得る者を思いとどまらせることを目的とした不正リスクの軽減策を含む、リスクマネジメントの戦略を確立する（have a risk management strategy）
●	不正が報告もしくは発見された場合に講じるべき手段の詳細を定めた、不正対応の計画を用意する（have a fraud response plan）
●	不正に対する意識向上のための継続的プログラムを確立し（have a continuous program of fraud awareness）、定期的更新を行い、新入社員や既存の従業員のトレーニングを行う

　このように、不正は事業体が直面するその他の事象同様にリスクである。したがって、不正関連の問題に対する事業体の反応は、その事業体のリスク対応によって決定される。

　経営者には、不正リスクの管理も含め、不正の防止、発見および検査の主要責任がある。最近では多くの事業体が、その他の問題に加えて、不正検査および他の不正関連問題（意識向上、防止プログラムなど）の管理を行う、セキュリティ専用の機能を組織内に備えている。当然のことながら、これらの問題に取り組むために、経営者は資格を持った人材を雇う必要がある。

　内部監査部門は、不正リスク管理の機能を助けることができる。実際、内部監査人が不正検査士と協力して作業をしないのであれば、我々はそれを妥協と考える。全ての事業体が不正対策の専門家の出現を完全に理解しなければ、どんなに多くの資格ある専門家を雇っても、不正対策のあらゆる課題に対処することはできない。不正対策という職業がいったん巡航高度に達せば、内部監査人による不正対策の業務は、単なる不正検査から、不正対策の専門家によって考案されたプログラムを評価するような、不正対策プロセスの評価へと変化することを期待している。

リスク管理最高責任者　（CHIEF RISK OFFICER）

　理想の企業世界では、ＣＲＯ（chief risk officer, 最高リスク管理責任者）あるいはその他の不正対策の専門家が、不正リスクの管理・統制・報告・対応に関して、以下の分野で経営者を助けるだろう。

　●不正に関する意識向上を図るプログラムの確立

　●不正を抑止、および発見するプロセスの考案

　●不正防止のための適切な統制の実施

　●不正検査の指導

　●専門家よって実行される調査の監督代行

●	従業員からの問題提起への有効な対応（報告された、もしくは疑わしい不正行為に対する適切な対応を含む）

　●必要に応じた警察関与

ハルク　Ｆ．　ギュルセル博士（Dr. Haluk F. Gursel、ＣＦＥC、ＣＧＦＭ、ＣＰＡ）は、はＡＣＦＥスイス支部長である。１９６７年から不正対策を専門としている同氏は、スイスのジュネーブにあるウェブスター大学（Webster University）の非常勤教授を務めており、また数多くの著書や記事を執筆してきた。ギュルセル氏は「国連不正および腐敗対策の枠組み（United Nations Fraud Prevention and Anti-Corruption Framework）」草稿の顧問を務めた経験を持ち、現在はＰＡＨＯ（Pan American Health Organization, 全米保険機構）監視部門の改善をサポートしている。

１	“Managing the Risk of Fraud - A Guide for Managers.” Public Enquiry Unit, HM Treasury, London. 1997.を改編
２	Institute of Internal Auditors UK and Ireland. “Fraud Position Statement.” April 2003.

不正リスク対策の世界標準資格であるＣＦＥ
（CERTIFIED FRAUD EXAMINER STATUS IS GOLD STANDARD）

ＡＣＦＥは、不正検査の分野で最も広く知られている資格を提供している。ＣＦＥ資格試験は以下の四つの分野から構成される。

犯罪学と倫理（Criminology and ethics）
この分野には、刑事裁判制度、犯罪原因および不正防止論、犯罪情報源、倫理状況が含まれる。

財務取引（Financial transactions）
会計記録上の不正財務取引の種類, 会計および監査の基本理論、不正スキーム、不正防止のための内部統制などに関する知識が問われる。

不正検査（Fraud investigation）
この分野には、面接調査、陳述の記録、公文書からの情報収集、不正取引の追跡調査、不正行為の評価および報告書作成が含まれる。

不正の法的要素（Legal element of fraud）
この分野では、刑法・民法、証拠の基本原則、調査中における個人の権利、専門家証人関連の問題など、不正検査の実施の法的影響について理解していることが求められる。

ＡＣＦＥは、上記の各分野に関する不正対策の専門家のためのトレーニングを、国別に対応した不正検査士マニュアルを通して米国・英国・カナダ・香港・オーストラリア・日本で提供している。

ＣＦＥは、ＣＰＥ（継続的専門教育、Continuing Professional Education）の必須単位を取得することで知識を維持する。ＡＣＦＥのＣＦＥ倫理規程（Code of Professional Ethics）は、不正対策の専門家としてＣＦＥ一人ひとりの倫理的価値が維持されることを保証する。

さらに詳しい情報は、 http://www.acfe.jp/を参照。