【事例から学ぶ「有効な不正対策」】　事業上の不正リスク管理　企業経営に不可欠な計画

事業上の不正リスク管理
MANAGING THE BUSINESS RISK OF FRAUD
企業経営に不可欠な計画
INDISPENSABLE PLANNING

グレイス・Ｂ・ゲッツィ　（ＣＦＥ、ＣＰＡ／ＰＦＳ、ＡＥＰ）：著
By Grace B. Ghezzi, CFE, CPA/PFS, AEP

　不正検査士である我々は、組織に対して、不正を防止・発見し倫理方針を伝達するための正式な手続きを明文化するよう提案する。３協会が共同で公表した「事業上の不正リスク管理」に関するガイドは、経営に欠かせない不正対策計画の青写真を提供する。

　スーザンは小さな組織で簿記係として働いていた。この組織では、彼女とアシスタントのメレディスの２人で、取引承認以外の会計業務をすべて取り仕切っていた。スーザンは外部監査人に直接会計情報を提出し、QuickBooks

（訳注：米国税務会計ソフト）による資料作成や銀行取引明細書の確認を１人で行っていた。上司がコンピュータに疎いということは、周知の事実だった。この状況では、いつ不正が起こってもおかしくなかった。

　ほどなくスーザンは、少しずつ着服に手を染め始めた。自分あてに数枚の小切手を振り出し、上司のサインを偽造した。しかし、やがて欲が出てきた。何しろ給料は安いうえに、付き合っていた相手が家を出て行ったために、生活費の負担が倍になってしまったのである。スーザンは、会社の金を着服するのはいとも簡単だということに気づいた。自分宛の小切手を、あたかも仕入先に振り出したかのようにQuickBooksに入力すればいいのだ。誰にもばれることはない。

　その後、スーザンは会社払いのクレジットカードを多少私用に使っても、誰にも分からないだろうと考えた。そして、納入業者にクレジットカード払いをすることにより、請求書を紙ではなく電子的に受け取り、彼女以外の目に触れないようにした。その支払いが業務には関係のないものだということなど、誰にも分からなかった。そうしてスーザンは毎月の不正なクレジットカード払いのために、会社の資金を電信送金により流用した。着服額は、６ヶ月で２万５，０００ドルに上った。

　彼女の不正行為は首尾よく進んでいたが、捕まってしまってはなにもかも台無しだ。そこでスーザンは、この会社をやめ、別の会社で新たな手口による着服を計画した。しかし、スーザンは、アシスタントのメレディスが自分の不正の手口をつぶさに観察していたということに気づいていなかった。

　スーザンの退職後、メレディスは昇進し、スーザンと同じ手口を使って着服を始めた。そして、昇進後わずか３ヶ月で約１万ドルを盗んだ。

　上司にとって幸運なことに、ちょうど１月を迎えて、クレジットカード会社が年間の利用明細を紙ベースで会社に送ってきた。なぜならば、スーザンが電子インボイスに変えたのが、その年の途中からだったからだ。明細が届いたとき、メレディスは休暇中で、家族とオーランドに出かけていた。上司は明細書を見て目を疑った。我々の会社は、その上司を支援し不正調査を実施したところ、メレディスは休暇中のオーランドでも会社のクレジットカードを不正に使っていることを突き止めた。同社が早期に不正防止・発見の手続きを実施していれば、３万５，０００ドルもの被害に遭わずに済んだであろう。

　不正検査士は、クライアントや組織に対して不正リスク管理の計画を立案するよう助言する。しかし、取締役会、監査委員会、全役職職員、内部・外部監査人など、組織の関係者全員が計画策定に密接に関与しなければ、でき上がった計画はファイルされて書棚にしまわれるだけの存在となってしまうだろう。

　２００８年７月、ＡＣＦＥ、アメリカ公認会計士協会（ＡＩＣＰＡ）、内部監査人協会（ＩＩＡ）が共同で、８０ページに及ぶ「企業不正リスク管理のための実務ガイド（Managing the Business Risk of Fraud: A Practical Guide）」を公表した。このガイド（以下「実務ガイド」）は、経営者や従業員による実効性の高い不正リスク管理計画の策定を動機づけるものである。
実務ガイドへのリンク：www.acfe.com/documents/managing-business-risk.pdf

　実務ガイドには、効果的な不正リスク管理を確立するための５つの主要な原則が、以下の通り示されている。

１．不正リスクのガバナンス
２．不正リスクの評価
３．不正の防止
４．不正の発見
５．不正の調査および是正措置

原則１：	組織のガバナンスの構成要素として、不正リスク管理プログラムを整備しなければならない。同プログラムには、不正リスク管理に関する取締役会と経営幹部の期待を伝達するための明文化された方針が含まれる。

　組織内部における倫理的な行動への期待は、今や高いレベルに達しており、不正行為に対する刑事罰は厳しさを増している。不正リスクのガバナンス・プロセスは、効果的な不正リスク管理プログラムの基盤となる。

　プログラムは、取締役会が策定した方針と手続きに関する簡潔な文書とそれにより定められたプロセスに関する伝達と評価の手法から構成される。人材の雇用、評価、昇進、給与水準の決定において、また、顧客、納入業者、株主、政府機関、地域社会、マスコミなどとの関係において、確固たるビジネス倫理を示すことで、強固な企業文化を醸成することができる。

役割と責任　（Roles and Responsibilities）

　取締役会は、組織の方針、職務記述などの不正リスク管理に関連する文書を活用して、役割と責任を定義する。

　関連文書には、不正対策統制のガバナンス監督義務に関する責任を記載し、不正リスク戦略の立案と実行に対する経営者の責任を反映させる。リスク管理部門だけではなく、コンプライアンス、法務、倫理、セキュリティ、ＩＴ、内部監査など組織のすべての部門が不正リスク管理を支持しなければならない。

　組織の不正リスク管理プログラムにおける主要な役割は、取締役会、監査委員会、経営者、スタッフ、そして内部監査が担う。

　取締役会は「経営トップの意向」を明確にする。そのために、経営者は効果的なプログラムを設計し、常に高い基準を満たすことを主張しなければならない。また、取締役会は、外部に教育訓練や助言を求め、不正リスクとその構成要素を理解し、経営者による監督をモニタリングしなければならない。

　監査委員会は、不正リスク、中でも、内部統制手続の無視を伴いやすい経営者不正のリスクの評価と対応を十分に行う。監査委員会は、独立した取締役で構成され、会計分野の職務経験をもつ財務の専門家を最低１名置かなければならない。委員会は監督プロセスに積極的に関与し、発覚した不正または不正の疑惑に関して外部監査人と意思疎通を図る必要がある。

　経営者は組織内で率先垂範をする立場として最も目立つ存在であり、不正リスク管理プログラムの設計と実行に責任を持つ。彼らは、言葉と行動により、不正を防止、発見、抑止する強力な企業文化を醸成しなければならない。

　経営者は十分な内部統制手続を実施し、疑わしい行為、判明した不正、成功と失敗などをすべて取締役会に報告しなければならない。不正リスクプログラムを主導し、取締役会への報告を行う責任者として、最高倫理責任者が任命されることが多い。

　経営者は、職員が不正リスクに対する基本的な理解を深め、不正行為を誘発する兆候への感度を高め、内部統制の枠組みにおける自らの役割を認識できるように、訓練しなければならない。

　トレッドウェイ委員会支援組織委員会（ＣＯＳＯ）は内部統制の枠組みを構成する５つの要素を特定した。それらは、統制環境、リスク評価、統制活動、情報と伝達、そしてモニタリングである。

　職員に対しては、不正対策方針や行動規範、内部通報に関する方針、業務に関する方針と手続などの社内資料を熟読し理解するよう要求する。そのうえで、それらの資料を読んで理解し、方針や規程に違反する行為は認識していないことの確認書に署名させる。また、疑わしい行為を見聞きした際には必ず報告し、調査に協力することを義務付ける。

　内部監査部門は、取締役会および経営者に対して、統制手続が十分かつ適切に整備されており、効果的に機能していることについての客観的な保証を提供する。

　取締役会および経営者は、書簡やウェブサイト、社内報、ビデオその他の媒体を通じて、全従業員、納入業者そして顧客に対し、自らが不正リスク管理に真剣に取り組む姿勢を伝達しなければならない。また、彼らに対する期待、不正および不正リスクの定義と記述も伝え、起こりうる不正行為の例を提示する。

　役割と責任に関するその他の項目には、以下のようなものがある。

確認プロセス（Affirmation process）：職員に加えて、取締役、業務委託先その他のサービス提供者に対しても、行動規範、不正管理方針その他の文書を読み、理解し、遵守する旨の確認を求める。

利益相反の開示（Conflict disclosure）：取締役、従業員、業務委託先は、利益相反が生じている、または生じる可能性がある場合には、情報を開示しなければならない。経営者は、開示内容を吟味し、不正リスクの有無を判断して、問題解決のために一定の制限を設けるか、措置を講じる。

不正リスクの評価（Fraud-risk assessment）：組織として定期的に不正リスクを評価し、評価したリスクに基づいて発生し得る不正行為を検討し、識別したスキームやシナリオを全従業員向けの教材として活用する。これにより不正の抑止力を高めることができる。

報告手続と通報者保護（Reporting procedures and whistle-blower protection）：不正を一切容認しないという組織の姿勢を公表し、不正の疑惑は直ちに報告するよう義務付け、適切な報告方法を定義する。組織のウェブサイト上に、不正を報告するための手段、内部通報制度や通報者保護に関する情報を提供する。

調査プロセス（Investigation process）：取締役会および経営者は、調査担当者、証拠規則、書類受け渡し記録の管理、報告の仕組み、規制要件、そして法的措置を定めた明文化された調査プロセスを備えなければならない。

是正措置（Corrective action）：抑止効果をもたらすため、方針には、解雇や当局への報告を含め、不正行為やそれを容認する行為がどのような結果を招くかを一貫して明示しなければならない。

品質保証（Quality assurance）：プロセスの継続的な評価と改善手続を文書化しなければならない。そのためには、統計、ベンチマーク、資料、調査結果の測定と分析が必要である。

継続的モニタリング（Continuous monitoring）：組織は、不正リスク管理プログラムを常に見直し、更新するとともに、独立した内部監査機能を備えるための十分な予算、人員、教育訓練を確保しなければならない。

原則２：	低減すべき特定のスキームや事象の発生リスクを識別するため、組織は不正リスクへのエクスポージャーを定期的に評価しなければならない。

　組織の規模、複雑さ、業種および目標に合わせて個別に設計される不正リスク評価には、少なくとも、リスクの識別、発生可能性と影響度の評価、そしてリスクへの対応を含めなければならない。

リスクの識別　（Risk Identification）

　組織は、規制団体、業界、主要な指針設定グループ、職能団体などから得た情報を元に、リスクを識別することができる。組織内部では、幅広い分野の人材との面接やブレインストーミング、内部通報の内容の見直し、分析的手続などにより、リスクを識別する努力をしなければならない。

　不正を犯すプレッシャー、機会、正当化を評価し、経営者が統制手続を無視する可能性を検討する。統制手続が脆弱であるか、職務の分離がなされていない分野を注視する。

リスクの発生可能性　（Risk Likelihood）

　不正リスクの発生可能性は、リスクに対する組織の脆弱性、過去の不正事例、業種、取引数量、業務の複雑性、従業員数などに基づく。発生可能性は、低い、中程度、高いの３段階に分類する。

リスクへの対応　（Risk Response）

　組織は、体系的なアプローチにより不正リスクへの実際のエクスポージャーをモニタリングし、不正リスク管理のための評価手順を定めなければならない。手順には、監視義務と責任の明確化と遂行、リスク緩和のための統制手続の策定と実践を含む。

　不正リスクへのエクスポージャーの評価は、効果的な不正対策プログラムの開発および維持において重要な役割を担い、全社的リスクマネジメントの不可欠な要素である。有効な評価は組織内外の誰がどのような手口で不正を犯す可能性があるかの識別に根ざす。職務の分離の効果が共謀により無効化されてしまうため、不正防止のための統制手続は、発見のための統制手続により補完される必要がある。

リスク評価チーム　（Risk-assessment Team）

　経営者は、リスク評価を行う前に、組織内で多様な知識、スキル、見識を有する従業員による評価チームを組成すべきである。チームメンバーには、リスク管理、法務コンプライアンス、内部監査の各部門、さらには会計、販売、仕入れ、生産部門の管理者を含める。組織外の人材を招くことも検討する。

　リスク評価チームは、組織内で起こりうる財務諸表不正、贈収賄および汚職、資産の不正流用などの不正リスクを識別するためにブレインストーミングを実施する。ディスカッションのトピックには、不正を誘発するプレッシャー、機会、正当化、経営者による統制手続無視のリスク、組織に関連する不正リスクなどが含まれる。

　チームは、誰が、どのようにして管理の弱点を突き、内部統制手続をかいくぐって、不正を隠ぺいするかを戦略的に推測し、疑わしい行動を予期しなければならない。

　リスク評価チームは、以下の活動を行う。

・	識別した不正リスクおよび用いられるスキームの発生可能性と影響度を評価する。
・	評価したリスクを、人および（または）部門、そして関連する内部統制手続に即してマッピングする。

・既存の統制手続を評価し検証する。
・残余リスクを識別する。
・残余リスクに対する対応を策定する。
・結果を取締役会と共有する。

原則３：	組織が被る影響を緩和するために、実現可能な範囲で、重要な不正リスク事象の顕在化を回避するための防止手法を確立しなければならない。

　組織における不正防止への取組みは、方針、手続、認識向上、訓練、継続的コミュニケーションの組み合わせにより行われる。防止的統制手続の施行は強い抑止力となる。すべての不正を未然に防ぐことはできない（費用的に見合わない場合もある）が、未然防止は常に最も積極的な不正対策手段である。

　不正防止の構成要素として、人事に関する手続と権限範囲の適切な設定の２つが挙げられる。人事部門担当者は、従業員の採用や重要な役職への登用に際して、候補者の経歴調査を実施する必要がある。

　新規および既存の納入業者、顧客、業務提携先についても入念に調査しなければならない。すべての調査は公正信用報告法に則って行い、必要に応じて許可を得る。

　人事部門は従業員に対して、不正の兆候に対する認識を高めるための訓練、不正リスク管理プログラムや経営者の意向、従業員の責任などに関する研修を実施する。人事管理者が従業員の行動や業績を認め、それを評価に適切に反映させなければ、従業員による不正行為の正当化を誘発してしまう可能性がある。

　報酬は、短期的な業績に基づいて決定すべきではない。さもなければ、従業員は自分の報酬を引上げようと業績をねつ造しようとするかもしれない。付与する権限は、責任と見合った範囲に限定する。

　人事部門は退職者に対する面接も実施し、経営者の誠実性に関する問題や調査につながるような状況の有無を確認する。

　「実務ガイド」には不正防止のスコアカードが付いており、不正防止の領域における統制手続が強固なものであるか否かを確認できるようになっている。この領域には、経営者の意向、行動規範、ＣＯＳＯの統合的枠組みに関する評価、内部統制の強度、第三者および関連先との関係、監査委員会および内部監査の機能、人事、財務報告、取引先、不正対策訓練などが含まれる。

原則４：	防止策が機能しないか、または緩和されていないリスクが顕在化する際に、不正事象を発見するための技法を確立しなければならない。

　効果的で実行可能な発見的統制手続は、不正行為の強い抑止力ともなり得る。これらの統制手続は、前述の不正リスクに基づく。

　不正は匿名の通報によって発覚することが最も多いため、組織は内部通報制度を備えなければならない。内部通報制度が整備されれば、不正を犯せば捕まり、犯罪者として通報されるという認識が従業員に浸透し、不正の減少にもつながる。組織は、報復を恐れて通報しないという事態を招かないよう、通報者の匿名性を保護しなければならない。

　内部通報制度、データ分析、監査技法、技術手段などの不正発見技法を文書化しなければならない。文書には、各技法の構成要素ならびにそれらの設計、実施、計画、モニタリングの責任を担う個人および部門を明記する。

　通報および苦情の受付と対応、不正疑惑の調査、調査結果の伝達などの担当者を訓練することも重要である。

　不正発見のための計画を組織全体に周知することも大切だが、秘密裏に行うべき活動もある点に留意する。「実務ガイド」には不正防止のスコアカードと同様の形式による不正発見のスコアカードも収録されている。

原則５：	起こり得る不正への適時かつ適切な対応を確実にするために、不正の可能性に関する情報提供を求めるための報告プロセスを整備し、調査ならびに是正措置を実施するための協調的なアプローチを用いなければならない。

　組織が不正発生の可能性を察知する方法は様々である。取締役会は、不正疑惑の評価、事案の調査、機密保持のためのプロセスを確立しなければならない。

　調査担当者は、ケース管理システムの維持管理を含め、疑惑を評価し適切な対応策を講じるための権限とスキルを備えなければならない。このような体制は、組織が被る損失の最小化、リスク管理、損失の回復に資する。

　不正疑惑の対象が経営トップであるか、中間管理職、一般職員であるかにかかわらず、一貫した対応をとるよう徹底する。

　調査チームには、法務担当役員、不正検査士、内部・外部監査人、経理担当者、財務に関するフォレンジック専門家、人事担当者、保安・損失防止担当者、ＩＴ、コンピュータ・フォレンジクス専門家、そして経営者が加わる体制を確保する。通常、調査活動には面接、証拠収集、コンピュータ・フォレンジック検査、証拠分析が含まれる。調査チームは、調査監督者に対して定期的に調査経過や結果を報告する。

　調査が完了したら、警察への報告、民事損害賠償請求、解雇、停職、降格、注意などの懲戒処分など、どのような行動を起こすかを決定しなければならない。損失回復のために、保険金を請求する必要が生じる場合もある。調査した事案を徹底的に分析し、不正発生の根本的な原因の究明、同様の不正の再発防止に役立てなければならない。

計画を実践に移す　（NO DUSTY PLAN ON THE SHELF）

　我々は不正検査士として、不正の防止発見のための正式な手続を明文化し、全社的な倫理方針を伝達するよう組織に提言する。「実務ガイド」は、計画自体は役に立たないが、思慮深い計画立案は不可欠であると考える組織を支援する包括的な枠組みを示してくれる。

グレイス・Ｂ・ゲッツィ（ＣＦＥ、ＣＰＡ／ＰＦＳ、ＡＥＰ）は、ニューヨーク州シラキューズにあるベネフィット・コンサルティング・グループのバイス・プレジデントである。