このように、最近の会計不正事例の傾向を見ても、経営者から一般従業員までさまざまな関与者による不正が起こっており、各社においてどの関与者による不正リスクが重要となるか検討が必要であることがうかがえます。
2. 関与者別の不正への対応
(1) 経営者・役員による内部統制の無効化リスクへの対応
不正対応においては、まず経営トップの姿勢・方針が全ての始まりと言えます。「業績よりもコンプライアンス重視であることの基本的な価値観の共有」をいかに全役職員に浸透させていくかが重要ですが、そのためには、不正リスク対応について役割と責任を明確にした上で組織的に行動する仕組み、例えば、不正リスク評価と対応を執行側の担当役員が責任をもって実行するなど、不正リスク対応に係る責任体制も明確にし、経営執行全体で取り組んでいくというような仕組みが重要と考えます。
社外取締役の間で、自ら経営者・役員による不正を発見することは難しいと考える人は多いようですので、取締役会が、前述のような不正リスク対応について組織的に行動する仕組みの整備・運用について監督するということが重要になると考えます。
さらに、内部監査が誰のレポートラインになっていて、どこまでカバーしているかが重要です。実施基準でも追記されていますが、取締役会に対しても監査結果がレポートされるような仕組みが必要となります。
(2) 業務プロセス責任者による内部統制の無効化リスクへの対応
業務プロセス責任者による内部統制の無効化においては、単独で行っている場合と部下を巻き込んでいる場合があります。
部下を巻き込んでいる場合には、当該部下による内部通報が期待されますが、従業員の心理として匿名性の確保への不安が大きく、必ずしも内部通報が常に有効に機能するとは限りませんので、当該部門から独立したところからの発見的統制活動の実施が有効ではないかと考えます。
発見的統制活動としては、不正リスクシナリオに基づくデータ分析を活用し、異常値を検出してフォローすることが考えられます。会社のデータの整備状況にもよりますが、網羅的に取引を検討でき、かつ、異常値の検出がしやすいという点で、有効な方法と言えます。どのような不正リスクを想定するか、業種・ビジネスフローの特性を踏まえて検討することに加え、自社で過去に起きた不正、同業他社で発生した不正手口にも留意すべきと考えます。
一方、実例を見てみると、職務分掌が不十分な拠点で一人の従業員による多額の資金横領といった事例も数多く発生しています。まさに起こるべくして起きているケースとも言え、改めて職務分掌が不十分な拠点を洗い出す必要性を感じさせる事例と言えます。
(3) その他従業員による不正への対応
過去事例を見ると、その他従業員においても、売上の過大計上や資産の不正流用が多く見られます。
売上の過大計上は、売上の期間帰属を操作することにより前倒し計上を行う不正のほか、書類等を偽造して架空の売上を計上するというタイプの不正が典型的です。また、資産の不正流用については、会社の預金口座から不正に送金を行って資金を横領するタイプのほか、取引先と共謀し架空・水増し発注させ、その代金を着服するタイプの不正が多いです。ビジネスや業務フローの特性等から、取引先との共謀や証憑の改ざん、隠蔽行為のしやすさ等も考慮し、リスクが高い場合には注意が必要となります。
組織の広範囲にわたって架空仕入や原価付け替えが常態化し、対応が不十分な場合には、実際に発生した不正に伴う虚偽記載の金額に重要性が無くとも、潜在的に重要な虚偽記載の発生を防止又は発見できない可能性の程度によって、内部統制の開示すべき重要な不備として判定されるので、留意が必要です。
今回の基準改訂を契機として、そのような不正リスクに対する内部統制の脆弱(ぜいじゃく)性が放置されていないか、不正のトライアングルや共謀・改ざん・隠蔽などのしやすさ等を考慮しながら、既存の統制活動の有効性を評価の上、変更・追加を検討するとともに、場合によっては業務フロー自体を見直した方がよいと考えます。
(4) 子会社における不正リスク対応
子会社の経営者主導で不正が行われる場合、そもそも子会社で整備している統制活動が無効化されることが多く、その場合に自浄作用は期待できません。したがって、当該子会社の外部、例えば親会社管理部門や地域統括会社などから財務状況の異常値を検出するなど発見的統制活動を実施して、子会社の経営者に対して「あなたは見られてますよ」という状況を作らないと、対応は難しいと言えます。
また、従業員も当該無効化に関与させられている場合もあるので、彼らが「これはおかしいだろう」と思った時に問題提起できるような仕組みが必要です。これがまさに内部通報制度ということになるかと思いますが、仕組みを作ったから終わりではなく、実際に内部通報の実効性を高めるために、従業員から、制度の理解と通報の秘匿性の担保・実態解明の実施に係る信頼を得ないといけないでしょう。わが国においては、公益通報者保護法対応で国内での整備は進んでいると思われますが、海外での通報が機能するかどうかは、しっかり確認する必要があります。
また、グループ子会社に係る内部統制の議論として、子会社の全てについて親会社と同レベルで内部統制を構築することは難しく、リソースの配置も難しく、どうすれば良いのか悩みを抱えている企業関係者は多いのではないでしょうか。確かに、子会社には規模の小さいものも多くあり、教科書的な内部統制を整備・運用することは、実務上難しいことも多いと思います。これについて、2023年の9月28日に公表された財務報告内部統制監査基準報告書第1号周知文書第1号では、会計監査人の実務において、「連結集団を構成する個々の会社単位で全社的な内部統制を評価することのみではなく、企業集団全体の観点から全社的な内部統制の整備及び運用状況の評価を適切に実施しているかという点に留意する」ことと規定されています。必ずしも子会社単独での内部統制が十分でなくても、親会社からのグループ管理としての一定の統制活動によってリスク対応することも考えられるということです。子会社経営者による内部統制の無効化リスクへの対応として親会社等からの発見的統制活動が重要であるということとも整合することから、今後は、こういった種類の全社的な内部統制が重視されてくるものと考えます。
なお、子会社の経営者や経理責任者の場合、あらゆる会計不正が実行可能となるので、手口の絞り込みは難しくなります。理想的には、全ての子会社の取引データから異常値を検出して、オンサイトで確認することですが、多くの日本企業はグループ全体で同一の会計システムやデータ体系になっていないので、特に子会社が多い場合には、取引レベルの分析を全ての子会社で実施するのは難しいのではないでしょうか。したがって、<図1>のように、段階的かつ合理的に対象子会社を絞り込んで対応することが考えられます。
図1 子会社に対する不正リスクモニタリングのアプローチ
