不正・不祥事リスク対応の強化における重要なポイントとは - 「誠実性のアジェンダ」とデータ分析を活用したモニタリング強化

危機管理・コンプライアンス
荒張 健

 最近、日本企業において不正・不祥事に係る報道が多くなされています。当社でも海外子会社を含むグループ全体での不正・不祥事リスク対応を強化したいと思いますが、その際の重要なポイントは何でしょうか。

 企業は誠実に行動するために、不正・不祥事リスク対応の強化を図ろうとしていますが、従業員は必ずしも「誠実性(Integrity)に関して責任を負っているのが自分であること」を正しく理解していないようです。
 日本企業が不正・不祥事リスク対応強化を図る中でよく見受けられる共通の課題は、企業が誠実性を示す上で、個人の行動を組織の目標に沿ったものとするための4つの基本的要素(①ガバナンス、②企業文化、③統制、④データインサイト)にいずれも関係するものとなっています。
 これらの基本的要素に係る現状評価、測定可能な成果の組み込み、改善のプロセスを通じて、従業員等の行動に影響を及ぼしていくことが、不正・不祥事リスク対応を強化する上で重要なポイントとなります。そして、その具体的な活動の一つとして、第二のディフェンスラインによるデータ分析を活用したモニタリング強化が注目されています。

解説

誠実性(Integrity)に関して責任を負っているのは誰か

 近年、企業グループにおける不正・不祥事に伴う代償はますます大きくなっています。一方で誠実に行動すれば、顧客や社会からの印象が良くなり、好調な業績を上げられる等のメリットが享受できることを多くの経営者が認識しています。それでも非倫理的行為が絶えない理由の一つとして、組織の誠実性(Integrity)に責任を負っているのは誰なのかが明確でないことがあげられます。2018年4月に公表されたEYの調査(「第15回不正行為グローバルサーベイ」)によれば、この点について「基本的に個人の責任である」との回答は4人に1人にも達しておらず、日本にいたってはわずか4%という低い水準でした。

従業員の誠実性に対して責任を負っているのは?

出典:EY「第15回不正行為グローバルサーベイ

誠実性のアジェンダ(Integrity Agenda)

 そのような中で、個人の行動を「誠実に行動する」という組織の目標に沿ったものにするために、筆者の所属するEYでは「誠実性のアジェンダ(Integrity Agenda)」を提唱しています。
 企業が誠実性に係る方針や行動規範を整備し、上級幹部による公式、また非公式のコミュニケーションを通じて全力で取り組む姿勢を示していたとしても、それらの意図と従業員等の実際の行動には潜在的なギャップが存在します。誠実性のアジェンダはこのギャップを埋めるための方法論です。

 誠実性のアジェンダでは、個人の行動を組織の目標に沿ったものにするための基本的要素として①ガバナンス、②企業文化、③統制、④データインサイトの4つがあります。
 この4つの要素に係る現状評価、測定可能な成果の組み込み、改善のプロセスを通じて、誠実性に関する従業員と第三者の責任について明確な期待値を設定し、誠実に行動するよう従業員等が自ら責任をもつべきである、という考え方を浸透させることが重要となります。そしてそれは同時に、従業員等が自らとその家族の身を守るメリットを享受することにもつながります。

誠実性のアジェンダ

日本企業に多く見られる不正・不祥事リスク対応の共通課題

 昨今の会計不正、贈賄、談合・カルテル、品質データ改ざん、情報漏えい等の不正・不祥事の発生を踏まえ、多くの企業がグループ経営強化の一環として不正・不祥事リスク対応の強化を図っています。筆者の経験では、かかる企業においては、以下のような共通した課題が見受けられ、いずれも誠実性のアジェンダの4つの基本的要素に関係するものばかりとなっています。

  • 子会社の経営者が粉飾決算を行うリスクに対し、子会社としての内部統制は無力化しているため、グループとしてこれを発見する機能が求められるが、そのような機能を果たしている部署がない。
  • 内部通報制度をグローバルに設けていても、通報されるケースは限られ、現場で異変を感じても放置されるケースが多々見られる(不正が発見されてから組織風土や内部統制の運用上の不備、兆候が検出される)。
  • コンプライアンス・プログラムを構築して統制活動を整備しても、本当に現場で有効に運用されているか把握が難しい。
  • コンプライアンス・プログラムにおいて確認すべき事項は規定されているものの、誰がどのように行うのか明確でない。また、事業部や地域ごとに運用のレベルがバラバラでその検証も十分に行っていない。
  • リスク評価において、ビジネス特性等から固有のリスクを机上で評価していることにとどまり、取引データや従業員が認識するレッドフラグ情報といった実際の肌感覚と評価結果がかい離している。
  • グループ会社をモニタリングするために配置される従業員は、必ずしも会計や法務の専門知識がなく、兼務も多い中で、効率的にモニタリングを行うためには、それをサポートする情報の提供が必要。

第二のディフェンスラインによるデータ分析を活用したモニタリング強化

 誠実性のアジェンダを実行する上での具体的な活動(測定可能な成果の組み込み)の一つとして、第二のディフェンスラインによるデータ分析を活用したモニタリング強化があげられます。

コンプライアンス部門によるサポート

 一部の企業では、コンプライアンス部門の役割は概ね事後的なものであり、第二のディフェンスラインとして自社方針の適用と遵守状況のモニタリングに取り組むのが主な役割でした。通常、不正に対する第一のディフェンスラインは事業部門の業務担当幹部の責任であり、まず責任をとるべき事業部門が正しく現状を認識し、改善を自ら行っていく必要があります。そして、第二のディフェンスラインであるコンプライアンス部門は、データ分析から導き出した知見を事業部門と共有・連携し、誠実性のアジェンダを推進することによって、最前線のコンプライアンス強化をサポートしていくことが求められています。その典型的な事例を以下に紹介します。

事例1:
従業員への匿名サーベイにより、データ化されていない実状情報をオフサイトで収集して、統制活動の運用状況、兆候、組織風土の観点から異常点の有無を拠点ごとに分析。そこから、不正につながりやすい組織風土の状況や統制活動の綻びをプロアクティブに把握することで、不正リスクの低減を図った。

 また、近年、贈賄やカルテル・談合等に対する企業の姿勢が厳しくなったことに伴い、現場の人間が隠れてこれらの非倫理的活動を行うこと等が懸念されますが、これに対してもデータ分析によるモニタリングは有効な手段となり得ます。
 贈賄やカルテル・談合等が発生した場合、企業は不正調査の一環として従業員のメールレビューを実施することがありますが、最近では、従業員に対するメールレビューをプロアクティブなモニタリングとして実施する企業も出てきました。

海外子会社で発生する不正に対する本社財務部門での対応

 前項の共通課題でもあげたように、海外子会社で発生する不正に際して、積極的に不正の兆候を把握する仕組みが企業グループの中に見られないことが多い中、コンプライアンス部門と同じく第二のディフェンスラインである本社の財務経理部門によるデータ分析により解決を図ろうとする企業が出てきています。これは内部統制が現地子会社の経営者によって無効化されている状況においては有効な方法と考えます。

事例2:
複数年の毎四半期における連結パッケージデータ(各子会社のBS、PL、CF)を財務分析することで、従来型の前期比増減分析ではなく、指標の組合せや中長期の趨勢から異常な傾向を示している会社を抽出し、目が行き届きにくかった重要性の乏しい子会社に対しても、異常な傾向にフォーカスしてクイックレビューを行い、早期に課題を検出し予防につなげた。

 このように、デジタルフォレンジックなどのテクノロジーの活用方法は大きく変わってきています。不正が発生してから不正調査のためのメールレビューやデータ分析を行うのか、不正が発生しないように従業員を牽制するために行うのか。今、企業の姿勢が問われています。

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する