不正対策の職業専門家としての認知
RECOGNITION OF THE ANTI-FRAUD PROFESSION 真の職業専門家としての分野確立に向け Discipline emerging as true profession ハルク・F・ガーセル(CFE/CGFM/CPA) 著
Dr. Haluk F. Gursel,CFE,CGFM,CPA 世界的企業は、CFEを代表とする不正対策の専門職が、リスクの計測および回避において重要な要素をなすということに気づき始めている。ここでは、最近のリスクに基づく経営管理システムが、いかに不正対策の専門家の育成を促進しているかについて見ていく。 中堅製造業者のCEOに就いたジョージは、CFEが二人も必要なのか確信が持てないでいた。今まで、内部監査部が会社をリスクから十分に守ってきたではないか。しかし、その後まもなく監査人が調達部において不正行為を発見し、CFEが呼ばれた。結局、調達部長のデイビッドは、長年にわたり特定の納入業者と癒着し、リベートを得ていたことが判明した。 ジョージは納得し、内部監査部とともに不正の発見、防止および調査に携わるCFEをさらに二人雇った。 上記の事例は架空だが、新たに出現してきた不正対策の専門家がリスクの計測および回避において不可欠だということを、世界中の多くの企業が認識してきていることを示している。 CEOが問題の重大さを理解するには、典型的な米国企業の不正による損失は、その収益の5パーセントになると推定する、ACFEの「国民への報告」2006年版(2006 “Report to the Nation”)を読めば一目瞭然である。これを2006年の米国のGDP(Gross Domestic Product, 国内総生産)に当てはめると、損失総額は約6千520億米ドルということになる。経営者は、不正リスクおよび不正そのものの及ぼす影響を認識しなければならない。 ACFEの創設者兼会長であるジョゼフ・T・ウェルズ(Joseph T. Wells、CFE、CPA)は、「不正は会計上の問題ではない。それは、社会現象である」と述べている。経営者が「不正対策に関する洞察」を持てば、経営者は不正対策の戦略を考案できる。ここでは、CFE、およびその他の不正対策専門家の変化する役割や機能、内部監査部門や経営者との連携方法について述べる。 不正対策の分野における主な原動力 (MAJOR DYNAMICS IN THE FIELD) 20世紀初頭、不正対策関連の業務(意識向上・防止・発見・検査)は監査の専門家に任せられていた。監査人は豊富な会計知識を生かし、疑わしい、もしくは企てられている組織内の不正事件に関する業務に当たった。不正リスク(不正の発生を可能にする状況)は、監査人の知識によって軽減された。 しかし21世紀に入り、二つの顕著な変化が生じている。一方では、不正を行う者がより巧妙な手口を使うようになり、その結果、打ち負かすことが困難になっている。他方では、不正検査の分野に新しい種類の専門家が出現してきている。 多くの人々が、単に会計知識だけでは不正関連の問題に十分に対応できないことに気づき始めている。 最近のリスクに基づく経営管理システムが、不正対策の専門家の育成を促進している。リスクマネジメント・サイクル、不正リスク、そして不正対策の専門家の役割に注目し、そのような専門家の需要が急増している理由について説明する。 リスクマネジメント・サイクル (RISK MANAGEMENT CYCLE) 組織は以下の手順でリスクマネジメント・サイクル(図表1参照)を実施する。 1.リスク領域の識別 2.リスク規模の理解、および評価 3.リスクマネジメント戦略の開発 4.戦略の実施、および責任の分担 5.統制の実施、およびその実施の監視 6.リスクマネジメント・グループ、および目標の確立1 図表1 リスクマネジメント・サイクル 全社的リスクマネジメント (ENTERPRISE RISK MANAGEMENT) このリスクマネジメント・サイクルを考察するには、2004年にCOSO(Committee of Sponsoring Organizations of the Treadway Commission, トレッドウェイ委員会組織委員会)が生み出した全社的リスクマネジメント(ERM)フレームワークを利用することが最適である。フレームワークの主となる文書である「全社的リスクマネジメント−統合的フレームワーク(Enterprise Risk Management - Integrated Framework)」によれば、ERMは、以下のように定義される。 ●事業体全体にわたる、一貫し、かつ連続したプロセスである ●事業体のあらゆるレベルの人員によって実施される ●戦略策定に適用される
●事業体の経営者および役員会に合理的な保証の提供を可能とする ●単独、もしくは複数の独立かつ重複した分野における目的達成と連動させる ERMには、以下の事項が含まれる。 リスク選好と戦略の調整(Aligning risk appetite an strategy)−経営者は戦略の選択肢の評価、関連目的の設定、および関連リスクを管理するための仕組み開発において、事業体のリスク選好を考慮する。 リスク対応意思決定の向上(Enhancing risk response decisions)−ERMは、リスク対応策(回避・軽減・共有・受容)の識別および選択において、厳密性を提供する。 業務上の不測事象や損失の抑制(Reducing operational surprise and losses)−潜在的な事象を識別し、対応策を確立し、不測事象やそれに伴うコストや損失を軽減するため、事業体の能力を高める。 複合リスクおよび事業体間リスクの識別と管理(Identifying and managing multiple and cross-enterprise risks)−どの事業体も、その組織の様々な側面に影響を与える無数のリスクに直面する。ERMは、それらのリスクや相互的影響に対する有効かつ統合的な対応を促進する。 ビジネス機会の活用(Seizing opportunities)−潜在的な事象を全て検討することで、経営者はビジネス機会を識別し、積極的に実現する立場に身を置くことになる。 資本運用の改善(Improving deployment of capital)−確実なリスク情報を得ることで、経営者は総合的な資本の需要を有効に評価し、資本配分を向上できる。 この全社的フレームワークは、事業体における、以下の四つの目的達成に連動する。 戦略(Strategic):事業体の任務(mission)と連動し、それを支える高度な目的 業務活動(Operations):事業体の資源の有効、かつ効果的な使用 財務報告(Reporting):報告の信頼性 コンプライアンス(Compliance):適用される法令規則の遵守 最後に、ERMは相互関係にある八つの要素から成り立っている。これらは事業体の経営方法から導き出されたものであり、経営プロセスと統合される。 内部環境(Internal environment)−組織の姿勢を組み込み、経営者および従業員のリスクの見方およびそれへの対応についての基礎を構築するものである。その中には、リスクマネジメント哲学、リスク選好、誠実性および倫理意識、業務を実行する環境などが含まれる。 目的設定(Objective setting)−経営者が目的達成に影響を及ぼす潜在的事象を識別するためには、まず目的を設定しなければならない。ERMは、経営者が目的を設定するための適切なプロセスを持つことを確実にする。そして、それらの目的は、事業体の任務遂行を支え、連動するものである。また、それらの目的は、事業体のリスク選好と一貫していなければならない。 事象の特定(Event identification)−事業体の目的達成に影響を及ぼす内外部の要因を特定し、リスクとビジネス機会に分類しなければならない。そのうちビジネス機会に関しては、経営戦略もしくは目的の設定プロセスに差し戻される。 リスク評価(Risk assessment)−リスクの分析、管理および評価は、発生可能性および影響度を根拠(bases)に実施される。リスクは固有ベースと残存ベースで評価される。 リスク対応(Risk response)−経営者はリスク対応(回避・受容・軽減・共有)を選択し、リスクと事業体のリスク許容度、およびリスク選好とが合致するように一連の活動を開発する。 統制活動(Control activities)−リスク対応策が有効に実施されていることを保証する手助けとして、方針(policies)および手続きを確立し、実施する。 情報とコミュニケーション(Information and communication)−関連情報を識別し、保存し、人々がそれぞれの責任を果たすことができるような手段と時間枠で伝達する。有効なコミュニケーションは、事業体の組織図を縦横断するものである。 監視活動(Monitoring)−ERM全体を監視し、必要に応じて修正する。監視活動は、継続的管理活動、もしくは独立した評価活動、またはその両方を通して実施する。 不正リスクに関する責任 (RESPONSIBILITY FOR FRAUD RISK) IIA(Institute of Internal Auditors, 内部監査人協会)イギリス・アイルランド支部の不正に関する方針書(fraud position statement)はCOSOのリスクマネジメント・モデルを幅広く認めている。2 同協会は、そのダイナミックなERMフレームワークの見解の中で、各組織のとるべき行動として以下を挙げている。
このように、不正は事業体が直面するその他の事象同様にリスクである。したがって、不正関連の問題に対する事業体の反応は、その事業体のリスク対応によって決定される。 経営者には、不正リスクの管理も含め、不正の防止、発見および検査の主要責任がある。最近では多くの事業体が、その他の問題に加えて、不正検査および他の不正関連問題(意識向上、防止プログラムなど)の管理を行う、セキュリティ専用の機能を組織内に備えている。当然のことながら、これらの問題に取り組むために、経営者は資格を持った人材を雇う必要がある。 内部監査部門は、不正リスク管理の機能を助けることができる。実際、内部監査人が不正検査士と協力して作業をしないのであれば、我々はそれを妥協と考える。全ての事業体が不正対策の専門家の出現を完全に理解しなければ、どんなに多くの資格ある専門家を雇っても、不正対策のあらゆる課題に対処することはできない。不正対策という職業がいったん巡航高度に達せば、内部監査人による不正対策の業務は、単なる不正検査から、不正対策の専門家によって考案されたプログラムを評価するような、不正対策プロセスの評価へと変化することを期待している。 リスク管理最高責任者 (CHIEF RISK OFFICER) 理想の企業世界では、CRO(chief risk officer, 最高リスク管理責任者)あるいはその他の不正対策の専門家が、不正リスクの管理・統制・報告・対応に関して、以下の分野で経営者を助けるだろう。 ●不正に関する意識向上を図るプログラムの確立 ●不正を抑止、および発見するプロセスの考案 ●不正防止のための適切な統制の実施 ●不正検査の指導 ●専門家よって実行される調査の監督代行
●必要に応じた警察関与
|
||||||||||||||||||||
Copyright2008 ACFE JAPAN, All rights reserved. Copyright SEIKO EPSON CORPORATION 2008, All rights reserved. |