コンプライアンス部門は必要か(ISO19600検討シリーズ)
この文章の概要
コンプライアンス部門は必要。法務機能とは分けた方が良い。
各種ガイダンスでも、具体的にコンプライアンスの機能組織を置くことを求めているものがいくつかあるというのが、他の機能組織と比べた時の特徴と見られる。
0.はじめに
今回もまたISO19600の規定をネタに、企業コンプライアンスにまつわる事柄を考えていきたい。
今回は、コンプライアンス部門の意義について考えたい。
この検討を通じて、コンプライアンス部門が負うべきミッションを明らかにし、そのうち本当に必要なコンプライアンス活動の内容を考えていければと思う。
なお、検討の前提として、金融機関でない企業、しかもある程度の規模のある大企業におけるコンプライアンス部門を想定して考えることにする。金融機関のコンプライアンス部門は少々毛色が違うし、人員数が少ない企業だと兼務や一人担当といったパターンが多く、比較が難しいと思われるため。
1.コンプライアンス部門の実例
(1)総論
私が知る限り、いわゆるコンプライアンス機能を持つ部署の置き方は組織によってある程度幅がある。いわゆる総務部門や経理部門の置き方以上のバリエーションがあると思う。
あまりこのような組織デザインに関する共通的な一般論は見たことがないが、たとえば、厚生労働省のO-NETには以下の記述がある。比較的簡潔にまとめられているように感じる。
コンプライアンス推進は、もともとは法務部門の担当に区分される事項であったが、・・・、その担当事項も法務部門と重なるところがある。
組織的にみると上場企業ではほとんどの企業がコンプライアンス推進担当部署を設置している。当該担当部署としては、社長直属のコンプライアンス推進委員会を設置してその下に担当部署を置くもの、法務担当部内にコンプライアンス推進室等を置くもの、逆に、コンプライアンス推進担当部の中に法務担当を置くものなどさまざまである。また、専門部署として設置するもの、他の業務と兼務する担当者を置くものなど、専任・兼任の態様も多様である。
ただ、私の知る限りでは、必ずしも法務系部門を前身とした部署ばかりではない印象がある。たとえば、バブル崩壊後のセクハラブーム(平成9年の均等法改正など)を契機に、セクハラを中心とした社員相談対応を主眼に置いた人事部門からの派生組織のパターン。もしくは、J-SOXで大騒ぎした時代に関連機能を持たせて組織化された、経理や監査の部門を前身としたパターンなどを見たことがある。
コンプライアンス部門は単独の部や本部で設置されている場合もあれば、「法務・コンプライアンス部」「リスク・コンプライアンス部」などほかの機能とセットの部になっているパターン、法務部や監査部の中のいちグループ、課などで存在しているパターンが見られる。
(委員会事務局など非常設組織のパターンもあるが割愛。後述するが、常設組織が望ましいと考える)
コンプライアンスとよくセットになっているほかの業務としては、個人的印象で多い順に並べると、法務、リスクマネジメント、監査、サステナビリティ、総務、人事など。
人事については役所なんかで、行動規範の問い合わせ先が人事課だったりするのを見たことがある。また、一見コンプライアンス機能単独の組織のように見えても、その上長がほかの管理系の多くの部門の上長も兼ねていたり、上に何階層もえらい役職が置かれていたりなど、事実上他の機能とセットになっているとみるべきパターンもよく見られると思う。
(2)ほかの機能とセットの場合
日本の多くの組織では、仮に大企業であっても、コンプライアンス機能のみに多くの人員を割いてはいないというのが現実と思う。そうすると必然的に他の機能とセットで設置されることになるが、これには功罪がありそうだ。
まず功のほうから。
a. 一定の業務経験や専門知識を持った人材が集めやすい
→ 日本の場合は転職が不活発なので新卒から継続雇用されたプロパー社員が多いが、社会人一年生をどうやって知識経験豊かなコンプラ部員に育てるかは悩ましい。ほかの機能とセットの部署なら、当該ほかの機能の経験と知識を持った人材を社内転職させる形で確保しやすい。特に事業部ごとの人材の囲い込みが強い会社では顕著。
b. 予算確保
→ コーポレート部門はとにかく予算を絞られがち。ほかの機能とセットで予算を持っておくことで、本当に必要な時に機動的に予算の組み換えがしやすい、かもしれない。
c. 社内発言権、情報収集
→ 特に部長などの役職者が、複数の機能の肩書を持っている方が、いろいろなところに顔を出して発言しやすいし、情報も集まりやすい。コンプライアンス、だけだと敷居が高く感じ、距離を置かれてしまいがち。
書いていて、これらは功といえばそうだが、なんかイマイチな組織の中であえて言えばのメリット、という感じがしてしまう。
(3)セット組織のリスク
逆に、セットであることの悪いことを書いてみる。
A. 判断の偏り、利益相反
→ 一番の懸念はこれ。セットになる他の機能の目的遂行に必要だが倫理的に適切といえないような判断をしてしまうリスク。ある意味、このリスクが大きいようではコンプライアンス部門を置く意義が没却されてしまうように思う。人事や総務など、オペレーションを担う機能とセットの場合に特に注意。
B. 知識経験の偏り
→ セットになる組織に引っ張られ、構成員の出身や知識、関心が偏ってしまうリスク。たとえば、人事とセットの組織で、労務管理ばかり熱心に取り組み、品質不正やカルテルのリスクを放置してしまう、など。部門長はセットになる側の組織出身であることが多く、このリスクに気付けない、不得意分野のリスクを軽く見積もる例が見られる。
C. 工数分配
→ セットになる側の組織が忙しいときに、コンプライアンス担当メンバーが手伝わされたり兼務にされたりして、本業に専念できなくなるリスク。日本ではよく職務範囲があいまいだと言われるが、それにまつわるリスクともいえる。「予防調査なんて先延ばししても問題ないでしょ?」とか言われたことがある。
(4)独立組織
ほかの機能から独立している、コンプライアンス単独で組織が置かれているパターンでは、上のセット組織で挙げたリスクが少なくなるという点がメリットだと思う。当然だが。
もちろんどんな機能でも単独独立で権限が強力な方が仕事ができると思うので、そういったコンプライアンス組織を置けるに越したことはない。
が、社内のほかの部門とのバランス、人材確保の難易度などを考えると、常に十分なコンプライアンス部門の組織体制を組んでおくことは容易ではないと思われる。
なので、具体的なガイダンスにするため、もうちょっと地に足の着いた検討をしてみたい。
このあと、コンプライアンス部門のお仕事や、期待される役割などを検討していき、「少なくともこういうことはしたほうがいい」というラインを考察してみたい。
2.コンプライアンス部門のお仕事
営業は物を売るのが仕事、工場は物を作るのが仕事、などというようには、コンプライアンス部門の仕事はイメージしにくいのではないかと思う。
しかし、現に世の会社にはコンプライアンス部門がり、実務があるわけで、その実務にまつわる存在意義があるということと思う。
よって、まずは実態ベースで、コンプライアンス部門のお仕事とは何かを考えていきたい。
軽く探しただけだが、いわゆる「コンプライアンス部門」の仕事例としてまとまっているものが前述の厚生労働省のO-NETしか見当たらなかった。とはいえ、ある程度の一般性、網羅性はあるように感じる。
以下引用。
①コンプライアンス推進体制の整備(担当組織の管理・運営、推進プログラムの作成・施行、推進マニュアル等の整備・施行など)、
②企業活動に係るコンプライアンス・チェック(各種契約の内容・締結のチェック、知的財産管理、各部門からの相談対応・係争等支援など)、
③コンプライアンスに係る教育・研修(教育・研修プログラムの策定、研修等の実施など)、
④コンプライアンス推進に係る広報(コンプライアンス推進状況の把握・分析、把握・分析結果の社内フィードバック、経営理念、倫理綱領等の制定・周知の支援など)
このうち、②のコンプライアンス・チェックのカッコ内の例示だけはあまり一般的でないように思う。これらはどちらかというとリーガルの仕事だ。一般に、契約のチェックは契約にまつわる取引上の法的リスクの確認が主だと思うが、ある取引でどんなリスクを負うかという話と、コンプライアンス、社会の要請に応える行動かどうかという話はかなりジャンルが異なるように感じる。
でもまあ、①③④はおおむね世間のコンプライアンス部門の仕事のイメージ範囲内だと思う。
しかし、これらが果たしてベストプラクティスなのか、必要十分なのか、という疑問は残る。また、よく考えてみると「推進体制の整備」や「推進状況の把握」などもあいまいな言い方だ。具体的に、誰が何をどうすることをいうのか。それはなぜ必要なのか。
もうちょっと分解して考えたいがO-NETではこれ以上の情報はない。そこで、次は世間に流通しているガイダンス類を参照してみたい。
3.ガイダンスからの引用
組織体制とか管理系の活動に関する著名なガイダンスとしてはISO9001や14001が挙げられる。これらは品質や環境に関する必要事項を列挙しているものだが、読んでみると実は、これらのISOは、品質や環境の管理部門を設置するように、とは書いていない。
一般に、大企業では品質管理部門や環境管理部門を置いている例が多くみられるが、少なくともそれはISOの要求事項としてそうしているわけではないようだ。
必要ないと言いたいわけではない。組織形態は自由であるし、企業自身が必要だと考えれば置けばよい。ただ、そういった部門を置くことの必要性や、その役割、他の機能との権限バランスなどがきちんと整理されていないケースが多いのではないかと思う。
※品質管理や品質保証はあまり詳しくないのでまた改めて勉強して検討したいが、一応、品質保証機能(品質管理ではない)は独立性が必要とされる例が多いように思う。品質不正の調査報告書などではほぼ必ず品質保証部門の独立性が検証されている。
本題に戻ると、品質や環境のISOとは違い、コンプライアンス機能についてはこのように設置すべし、というガイダンスをいくつか見つけることができた。
(1)IIA Three Lines Model
金融機関の方にはおなじみだが、IIA=内部監査人協会が提唱する内部統制のモデルで、組織内の職務の割り当て方のあるべき姿を示している。昔はDefenseの語がついていたが、守りのためだけの機能ではないということでDefenseがなくなったらしい。
旧版の図だが、コンプライアンスはいわゆる「第2線」の機能(部門)の例のひとつに挙げられている。
https://www.pwc.com/jp/ja/knowledge/column/viewpoint/assets/image/grc-column017.png
最新版の本体はこちら(和訳だがIIA Japanのものなのでそれなりに信用してよいかと)
https://www.iiajapan.com/leg/pdf/data/cbok/2020.07_1_Three-Lines-Model-Updated-Japanese.pdf
詳細は割愛するが、コンプライアンス機能(モデルではリスクマネジメントの一要素になっている)については次のようにガイドを示している。
第2ラインの役割
§ 以下のような、リスクの管理に関連する補完的な専門知識、支援、モニタリングを提供し、また、異議を唱える。
o プロセス、システム、および全社レベルでの(インターナル・コントロールを含む)リスク・マネジメント実務の策定、導入、および継続的な改善。
o 法規制および許容される倫理的行動の遵守、インターナル・コントロール、ITセキュリティ、持続可能性、および品質保証のような、リスク・マネジメント目標の達成。
§ (インターナル・コントロールを含む)リスク・マネジメントの妥当性と有効性に関する分析とレポートを提供する
また、次の記述もある。
第2ラインの役割には、リスクの管理に関連する問題のモニタリング、助言、指導、テスト、分析、および報告などがある。
引用したはいいが、抽象度が高くてわかりにくい・・・
また旧版だが、「月間監査研究」の旧版の解説記事(https://www.iiajapan.com/leg/pdf/data/cbok/201510.pdf)から、第2ラインの役割の例示を引いてみる。
● リスクを管理するためのプロセスとコントロールを設計し整備して、経営者を補佐。
● モニターすべき活動および経営者の期待と比較した達成度の測定方法の決定。
● 内部統制活動の妥当性と有効性のモニタリング。
● 重大な問題、新たなリスク、異常値の上申。
● リスクマネジメントフレームワークの提供。
● 組織のリスクとコントロールに影響する既知および新たなリスクの識別とモニタリング。
● 組織の潜在的なリスク選好とリスク許容度の変化の識別。
● リスクマネジメントとコントロールプロセスに関するガイダンスと研修の提供。
この説明はモデルの説明だけでなく、COSOの内部統制フレームワークも参照しているようで、多少具体的になっている。「リスク」の部分を「コンプライアンスリスク」に置き換えて読めばよいだろう。
(2)ISO19600
ようやく出てきたが、以前から解説をぼちぼち書いている、企業コンプライアンスに関するISO規格である。実はもう古新聞なのだが。。。(ISO37301に置き換わり済み)
このISOは、先に見た9001や14001と異なり、規格の目的であるところのコンプライアンスについて責任を負うための機能(部門)を置くよう求めている。
このような具体的なガイドを含むISOマネジメント規格はもしかしたら珍しいかもしれない。これにより、ともすればあいまいな綱引きになりがちな、現場部門と管理部門との役割分担にひとつ参考になる線を引くことができる規格になっている、かもしれない(悪く言えば硬直的な規格)。
ISO19600が定義するコンプライアンス機能の役割は次のとおり(和訳は筆者による。原文や全文は本体を参照されたい)。なお、必ずしも専任である必要はないとされる。
・コンプライアンス義務を特定し、それをポリシーや業務手順に反映・統合する
・従業員へのトレーニング支援やコンプライアンス関連情報へのアクセスの提供
・ジョブディスクリプションへのコンプライアンス責任の反映
・コンプライアンスの報告・記録システムの構築
・内部通報等の情報管理と対応
・コンプライアンスパフォーマンスの評価
・是正処置の評価
・コンプライアンスリスクの特定
・コンプライアンス管理システムの定期的見直し
・専門的知見へのアクセス確保
・コンプライアンス関連事項への客観的助言
これでもまだ具体的でない部分があると思うが、3ラインモデルよりはかなり具体的なガイドになっており、かつ、O-NETの「お仕事」よりは実践的なやることリストになっていると思う。この内容はまた日を改めて深く検討したい。
少なくとも、このISOが挙げるような役割を果たすことを考えると、人事や総務などオペレーションを抱えた部門が片手間でやるというよりは、やはり専門部署が担うことが望ましいように思われる。
やらないとすぐ会社が止まる、という仕事ではないので、専任にしないと優先順位が下がり、取り組みが薄くなってしまいそうである。
同じ観点で、非常設組織でコンプライアンスを担当する会社も見られるが、活動そのものの一貫性や、専門的知識の蓄積という観点で疑問が残る。
4.法務機能との違い
(1)それぞれの役割の本丸
こうして見てみると、当たり前だが、コンプライアンス部門の仕事は「ある基準を守らせる」に繋がる業務であるということが改めて意識される。基準は法令だったり行動規範だったりするわけだが、教育も、リスクの特定や管理も、「ある基準を守る」についての活動に変わりはない。
翻って、比較的セットにされることが多い法務機能の役割を考えると、「基準を守る」に関する業務はそれほど多くはない、ということは、法務部門経験の方にはお分かりいただけると思う。
一般的に法務部門の役割の中心とされるのは、契約書チェックやM&A対応、紛争対応が挙げられると思うが、これらはいずれも「専門的知見の提供による業務部門の支援」であり、「何かを守らせる」ことは主眼ではない。別の部門が何かやりたいことがあったり、困ったことがあって、その対応にあたりよりよい方法などのアドバイスを、専門的知見から提供する、というのがこの中身だと思う。法務部門自身が、紛争はこう解決するとか、こういう契約を結ぶとかの判断主体になるわけではない。アドバイスに方向性を持たせることもあるが、その方向性が何か基準重視なのか利益重視なのかはまちまちだったりする。
コンプライアンス部門はそうではない。法令や行動規範などといった基準に照らし、取るべき行動や禁止事項を自ら決める役割がある。自身が組織における行動の判断主体になっている。そこまで言わずとも、少なくとも行動や判断の軸がある。法務機能との大きな差異はこれだと思う。
この観点からすると、法務機能と近い部分としては、守るべき何かの中に法律が含まれているゆえ、法律知識(用いる手段)が共通する、という点に限られているといえるかもしれない。
むしろ、基準や軸があるという観点から、コンプライアンス機能は環境管理や品質保証、リスク管理などの機能のほうと親和性があると感じる。何なら、監査部門だって監査基準に基づいて監査をするわけだから、監査の独立性という問題を除けばこちらも親和性が高いと思う。
(2)法務機能とセットにすべきか
法務機能との差異について、さらに加えて大胆な例示をしてみる。
新サービスを準備している会社がある。その新サービスを通じて、一部のマイノリティの方の差別がなされてしまうことがわかった。この会社は内部行動規範として差別を禁止している。
コンプライアンス部門は、差別を生じるサービスは修正する必要があると結論付ける。対して、法務部門は、そのサービスによる差別から発生する損害賠償などの法的リスクを分析し助言するが、判断自体は事業部門にゆだねる。
こうした機能の分担があるときに、両方の責任者が同一人物の場合、それぞれの立場に沿った適切な行動ができるだろうか? 単なるアドバイスに留まらず、規範に反する行為を止めるよう行動できるだろうか?
この事例はあまり現実的でないかもしれない。しかし、これに近いことを私は法務部門で経験したことがある。
法令の規定により、ある情報を開示する必要がある、という場面で、事業部門はその情報を開示しなくて済む方法の検討を法務部門に依頼してきた。検討すると、開示しなくても違法とまではいえない、と何とか結論付けられそうであった。しかし、その情報は事業部門や当事者にとっては恥となる情報だが、社会一般にとっては関心事であり、開示が望ましいと感じられる情報であった。
上司と話したが、「開示すべきとまではいえない」というのを法務部門見解にせざるを得ない、との結論になった。客観的分析による公正なアドバイスをすることが役割である、と教えられた。法的には間違いでないが、社会の期待に応える、という観点のない、後ろめたい対応になってしまった。
このように、アドバイスを主な役割で検討すると、どうしてもコンプライアンスの「ギリギリを攻める」ことが多くなってしまう。法務の有識者がテクニックを駆使して、なんとか理屈をつけて依頼部門の要望に無理やり応える、というパターンが典型だ。
これは通常、一般的なコンプライアンスの考え方、企業に求められる行動様式とは相容れない。「法律さえ守ればいい」という、よく批判される考え方をなぞることになる。これを防ぐには、やはりコンプライアンスという軸だけに責任を負う者(部門)を置くことが近道だろう。
(3)むすび
以上から、特に様々な管理部門を持つことができる大企業を念頭に置くと、コンプライアンス部門はできれば単独で、セットにするとしても法務機能とは別のラインで置くことが望ましいと考える。
もっとも、単独の機能で置いていても、責任者の地位や役職が低くて事業部門にものを言えなかったり、責任を取りたくないために判断を事業部門に預けてばかりのコンプライアンス部門であれば、存在価値は薄いと言わざるを得ないだろうが。
残念なことに、そういう感じのコンプライアンス部門も見ないわけではない、と思う。