見出し画像
Photo by nanahoshi_d

" 発生事実(不祥事) " が発生しない上場会社の内部監査 Part. 04 - 内部監査とリスク管理は「静かな人」 -

長嶋邦英_Raise Value LLC.

 前回まで「J-SOX2023年改訂で内部統制がやるべきこと」についてご紹介しました。
 今回は最近の不祥事事案を事例に挙げ、これを内部監査・リスク管理の目線で見ていき、加えて内部監査・リスク管理に適任なのは「静かな人」であることについて説明します。
(*約10分程度でお読みいただけます。)



内部監査とリスク管理は “ 勘 ” と “ 気づき力 ” が必要

 会社にとって「発生事実」は怖い出来事です。しかし、十分に注意してても発生してしまうことがあります。今回の記事では、会社が十分に注意し業務をマニュアル化していても、ほかの要因で発生してしまった事例となります。今回ご紹介する事例の「ほかの要因」とは、社員・部門です。

 今回ご紹介する事例は、会計監査人(監査法人)による会計監査のときに売上原価にかかる協力会社からの見積書に改ざんされている痕跡が発見(検出)され、これについて社内調査がはじまったところ、この改ざん事案以外にさらに特定部門全体に及ぶ悪質な事案を調査委員会が発見し、改めて委員を増員させて特別調査委員会を発足し追加調査を行うなど、事態が悪いほうに拡大したという事例になります。

 当社は、2023 年*月*日付「特別調査委員会の調査報告書(中間報告)受領及び特別調査委員会による調査の進捗状況に関するお知らせ」にてお知らせしたとおり、特別調査委員会(以下「本調査委員会」といいます。)を設置して、当社が施工工事等を委託する協力会社からの過去の工事収益及び工事原価に係る証憑書類の変造の有無等(以下「本当初事案」といいます。)について調査を行っており、その結果について調査報告書(中間報告書)を開示しております。また、上記にてお知らせしたとおり、本当初事案の調査の過程で、当社の一部従業員による協力会社に対する工事代金の額及び請求時期等に係る不適切な要請が行われていた疑義が生じたことに端を発し、当社の財務諸表等に影響を与える可能性が生じている事案(以下「本追加事案」といいます。)が判明するに至ったことから、本調査委員会の委嘱事項に本追加事案の調査を含め、事実関係解明のための徹底した調査を行っておりました。  本日、本調査委員会より本追加事案に関する調査報告書を受領いたしましたので、下記のとおりお知らせいたします。

(出典:某社適時開示書類より・日付省略)

 なお今回の事例については、本当初事案の調査の過程で本追加事案が発見されたもので、これらの事案同士が直接または間接的に関係しているかどうかは不明です。また、本当初・本追加事案は建設業法および下請法違反の疑義があることを特別調査委員会から指摘されており、関係当局による調査が入るものと思われます。いまのところ当該上場会社からは今後の再発防止策が発表されておりませんので、事案の経過説明について割愛します。引き続き当該上場会社の適時開示を見ていきたいと思います。

 さて上記の事例で、内部監査とリスク管理はどのようなことができるでしょうか。共通するポイントは “ 勘 ” と “ 気づき力 ” です。



【内部監査の目線】

 内部監査業務では証憑が重要です。その証憑は大きく分けて3種類となります。

  • 会社が社外に発行する書面 :見積書、請求書、納品書など

  • 会社が社外から受領する書面:見積書、請求書、納品書、検収書など

  • 会社内で流通する書面   :稟議書および添付資料(見積書等)、計算書類など

 内部監査は、上記3種類の書類たちの全部を把握しているかどうかがカギとなりますが、その全部を把握することは、現実的には難しいです。例えば2の社外から受領する書面については、長期の取引先からの見積書等であればそのフォーマット・形式について見慣れているので、仮に不自然な形跡があったとしても見逃してしまうこともあるかと思います。また、仕入原価に直接影響するようなものは稟議で上長、部門長、金額的に役員・社長の承認決裁を経るので、形式上は適合であると認識し、その添付資料の詳細まで確認が及ばないこともあるかと思います。

 改めて申しあげますと、内部監査業務では証憑が重要です。内部監査の目線で今回のような事案を発見するポイントは、次のとおりです。

  • 証憑3種類のすべてを把握すること。フォーマット、形式もできる限り把握すること。

  • 顧客、取引先の社名をすべて把握すること。

  • 証憑に記載の事項・文言で、不正が発生しやすいものを把握すること。

  内部監査としては、証憑3種類のすべてを把握することが重要です。これらを把握したうえで “ 勘 ” と “ 気づき力 ” を発揮させましょう。できればその書面、PDFデータ等をすべて入手してください。顧客、取引先の社名はもちろん、販売額または取引額も把握することが重要です。

 そして、これは少々難しいのですが、証憑に記載の事項・文言で、不正が発生しやすいものを把握してください。例えば協力会社から受領する原価にかかる見積書で「作業費・工賃:一式 金額¥****- 」となっているものを見つけた場合、この作業費にはどのような/いくつの作業が含まれ、各作業費の内訳を出すことが可能なのか、などを確認する必要があります。もし各作業費の内訳が出せないような見積もりであったら、不正発生の温床になりかねない点であると認識してください。

 “ 勘 ” としては、不正が発生しやすい箇所で過去の事例を思い出しつつ証憑を確認しましょう。 “ 気づき力 ” としては、取引履歴を参照しつつ不自然な箇所が無いかを確認しましょう。



【リスク管理の目線】

 リスク管理では業務フロー、チェック(決裁)体制とチェック方法を正確に把握することが重要です。

 内部統制でも同様ですが、業務フローで業務の流れが分岐する箇所(例:金額条件で決裁者が変わる)や例外を認める条件(例:通常の決裁者が不在の場合は委任された代理者による決裁を認める。または次のステップの決裁者が先に決裁可能。)などがあるケースは、注意を要するポイントです。

 業務フローで業務の流れが分岐する箇所がある場合は、リスク管理として次の事項を十分に検討して定点観察することが重要です。

  • 分岐する条件の設定内容は妥当なものか?
    (例:金額100万円以上なら2ステップのチェックと決裁を必要とするが、100万円未満なら簡易なチェックと1ステップの決裁で完結している点)

  • 分岐する条件を機械的に判断していないか?
    (例:1案件で総額180万円の見積だと2ステップのチェックと決裁を必要とするが、稟議システム上で1案件であると判別できず、見積書/請求書ごとの申請となり、稟議申請を2分割(90万円+90万円)して簡易なチェックと1ステップの決裁で申請可能となっている点)

 分岐する条件を設定する自体は、まったく問題ありません。コーポレート・ガバナンスの観点でスピーディな経営判断を行うことは必要です。しかしこの分岐する条件の内容を会社の状況を考慮せずに設定してしまうことで、不正発生のきっかけを作ってしまうポイントにもなってしまうのです。また、稟議システムは数多く仕様も千差万別ですので、そのシステム上、機械的に判別してしまうことは仕方ありませんし、わざわざ他のシステムに乗り換えなくてはならない、というものではありません。

 そこでリスク管理としては、業務フローにある各業務の流れの中でどこに不正の温床があったり、きっかけとなるような条件が設定されているのかを把握する必要があります。実際にそれらを発見してリスク分析上で中〜高評価となったフローは、必ず内部統制チームや内部監査にもその情報を共有し、監査テーマとして挙げてもらうようにすることです。必要であれば関係部門と連携して、リスク管理の観点から規程、業務マニュアルの改訂を助言するのもリスク管理の役割です。

 また、稟議システムでも、案件ごとに仕入原価の総額に対するチェックと決裁ができるように検討することをお勧めします。汎用的な案件管理(プロジェクト管理)のシステム・アプリケーション(Saas)は比較的安価で導入しやすいので、これを並行稼働させることも効果的です。(*この場合、当該案件管理システム・アプリはIT統制の評価範囲に該当するケースが多いです。そのため当該システム・アプリを導入する際は、内部統制チーム、情報システム管理部門との連携も必ず必要です。)

 “ 勘 ” としては内部監査の目線と同様に、不正が発生しやすい箇所で過去の事例を思い出しつつ業務フローを確認しましょう。 “ 気づき力 ” としては、取引履歴を参照しつつ特に大口の取引先と新規取引先を重点的に不自然な箇所が無いかを確認しましょう。



【内部監査とリスク管理の両方に言えること】

 内部監査とリスク管理は、車輪の両輪です。必ず双方向で情報共有し、抜け漏れのないようにすることが重要です。リスク管理側で挙げた事項は、内部監査で書面監査、実査を行うことでリスク管理上の実証を行うことができます。また内部監査で報告した指摘事項は、必ずリスク管理側に共有して、当該指摘事項のリスク分析をしてもらうことです。
 この双方向は、必ず不正の早期発見や未然防止に直結しますし、内部監査・リスク管理の両方の目線にある “ 勘 ” と “ 気づき力 ” が結合したら、効果は絶大です。

 今回の事例は社内に複数かつ大規模で悪質な事案が発見されたものですが、このとき内部監査とリスク管理は、それぞれの業務において、および普段から連携してどのように業務を遂行していくかが重要なポイントです。上で説明した内部監査・リスク管理のそれぞれの目線と両方の連携を参考に、皆さんの会社の売上・仕入規模とその明細、各顧客・取引先のリストの入手と内容の分析、業務フロー等の内容などの要素を十分に検討して、自分の体型・サイズに合った洋服を着るように、皆さんの会社の体型・サイズに合った監査計画とリスク管理計画を策定し、内部監査とリスク管理のそれぞれが遂行し、また双方が連携して遂行するなどして発生事実の未然防止等の対策を検討して講じてください。


内部監査・リスク管理の適任は「静かな人」

 話は逸れますが、私は「『静かな人』の戦略書」(ジル・チャン著/神崎朗子訳・ダイヤモンド社)を読み、「内向型」という比較的ネガティブなイメージが強かったものを、強烈に、大胆にポジティブなイメージにしてしまった著者に共感しています。
 同書に、内向型の方は冷静沈着に戦略的思考を生かすということが書かれています。読み進めていくうちに感じたことは、内部監査・リスク管理に適任なのはこの『静かな人』だということです。

 例えば、内部監査・リスク管理それぞれの業務内容を見てみますと、内部監査は会社の業務に関する保証業務(アシュアランス業務:リスク低減、不正等未然防止など)とコンサルティング業務(業務の効率性や効果の向上を目的とした助言など)を行い、リスク管理は社内の業務によって会社に損失を被ることを回避する施策・対策の作成とこれを継続的に観測し必要に応じてさらに効果的な施策・対策を検討することを行います。この内部監査とリスク管理の業務に共通している要素は「戦略的思考」です。内部監査もリスク管理も、会社の経営方針と中期計画、当期事業計画に基づいて内部監査は監査計画を策定し、リスク管理も管理計画を策定することから始まります。内部監査とリスク管理が策定する計画は、もちろん単年度分だけではありません。会社の3〜5年先を見据えた中期計画に基づいて計画を策定するのですから、その中期計画、当期事業計画の根幹にある会社の経営戦略を十分に理解したうえで内部監査、リスク管理それぞれの「業務推進戦略」を持つ必要があるのです。
 ただ、この内部監査とリスク管理が策定する業務推進戦略は、会社に売上・利益を直接もたらすことはありませんし、そのため社内で積極かつ強力に連携・協力する部門や社員は少ないでしょう。まさに内部監査とリスク管理はそれぞれ「静かな人」として業務を遂行するのです。また内部監査とリスク管理は、必要に応じて部門・社員からヒアリングを行うことがあるでしょう。このとき絶対に必要な能力があります。それは「コミュニケーション力/会話力」ではなく、「ヒアリング力/深く聞く力」です。この深く聞く力があるからこそ、内部監査では社内の各業務にリスクや不正行為があればこれを発見しつつ、その根幹にある発生原因を究明することが可能ですし、リスク管理では社内外での事象によって被るであろう会社の損失を洗い出して計算し、これを未然に防ぐ施策を講じたり万一発生してもこれに対応するマニュアルの作成や実際の対応を遂行することが可能なのです。そして業務推進戦略を踏まえてこれを推進する力を発揮することが大切です。社内で不祥事が発生すると大騒ぎになるものですが、内部監査とリスク管理はこのときも静かに、冷静沈着にその事態を収集・収束する働きを担います。これも「静かな人」なのです。

 このようにみていくと、まさに内部監査とリスク管理は「静かな人」が適任であると言えるのです。


 今回の記事で取り上げた事例で、特別調査委員会は内部監査とリスク管理に関する改善点を、次のように言及しています。

  • 内部監査:内部監査機能の強化
    内部監査人員の拡充(現在は1名)とレポートラインの複数化(代表取締役社長、監査等委員会など)

  • リスク管理:継続的なコンプライアンス教育
    コンプライアンスに関する継続的な教育、浸透度の確認。

 このほかでは、特に管理部門(2線)の強化と内部通報の利用促進が強く打ち出されています。しかし、上場会社としてのガバナンス、コンプライアンス、内部統制の観点から考えますと、今回の事案のようなケースでは、社員・部門において組織的に行われていた不祥事と法令違反の疑義の要素がありますから、2線を強化するのと並行してこれを牽制、監視する立場、つまり3線(内部監査、内部統制、リスク管理、監査等委員)をさらに拡充・強化するという方法を取るパターンが多いです。
 加えて、今回の事例の上場会社は前年期連結売上高400億円・連結子会社27社という規模ですので、この規模感から改善策を想定しますと、例えば内部監査人員は少なくとも3〜4名は必要(子会社は各社1名ずつ必要)ですし、リスク管理は専任社員1〜2名を置き、リスク管理委員会(最低でも四半期毎開催)においてはリスクガバナンスとしてのモニタリングを強化して委員会の報告事項とする、というようなことも考えられます。

 ただ、あくまで改善策を検討し、講じて実施するのはその会社です。再発防止はもとより、それ以上の効果を期待できる改善策とその改善実績を出していただくよう、期待しましょう。


 次回は、法務とAI契約書レビューについてご紹介します。先日2023年08月01日法務省大臣官房司法法制部は「AI等を用いた契約書等関連業務支援サービスの提供と弁護士法第72条との関係について」を公表しましたので、皆さんの会社でもその利用を検討されはじめているのではないでしょうか。その検討の際に押さえていただきたいポイントをご紹介しようと考えております。



この記事が気に入ったらサポートをしてみませんか?