法務

内部統制の不正リスク評価とは?基準改訂を踏まえた対応プロセスを解説

catfish_admin

企業の信頼性を揺るがしかねない「不正リスク」への対応は、内部統制システムを構築・運用する上で極めて重要な課題です。近年の内部統制基準改訂により、巧妙化する手口や経営者による統制の無効化リスクへの対策が、これまで以上に強く求められています。効果的な対策を講じるためには、リスクを正しく識別・評価し、実効性のある統制活動に繋げるプロセスが不可欠となります。この記事では、内部統制の枠組みにおける不正リスク評価の具体的なプロセスから、典型的な事例、評価後の対応策までを解説します。

目次

不正リスク対応の重要性と背景

内部統制における不正リスクの定義

不正リスクとは、内部統制の観点から、財務報告の信頼性を損なう意図的な虚偽表示を引き起こす事象や状況を指します。ここでの「不正」は、不当または違法な利益を得るために他者を欺く意図的な行為であり、経営者、従業員、または第三者によって行われる可能性があります。意図的でない「誤謬」とは明確に区別されます。

不正は、その内容から主に以下の2種類に大別されます。

不正の主な類型
  • 不正な財務報告: 企業の業績を実態よりも良く見せるための粉飾決算など、財務諸表を意図的に歪める行為です。
  • 資産の流用: 会社の資金や在庫品などを横領・窃取するといった、組織の資産を不正に私物化する行為です。

不正が発生する背景には、一般的に「不正のトライアングル」と呼ばれる3つの要素が存在します。

不正のトライアングル
  • 動機・プレッシャー: 過大な業績目標や個人的な経済的困窮など、不正行為に走らせる強い動機が存在する状態。
  • 機会: 内部統制の不備や監督の欠如など、不正を実行可能にする環境が存在する状態。
  • 正当化・姿勢: 「会社のためだ」「自分は正当に評価されていない」など、不正行為を自分の中で正当化する考え方や倫理観の欠如。

組織はこれらの要素が組み合わさることで生じるリスクを識別・評価し、適切な統制活動を整備・運用する責任を負います。これにより、企業の透明性と公正性を確保し、ステークホルダーからの信頼を維持することが可能となります。

内部統制基準の改訂で重視される背景

内部統制基準の改訂で不正リスクへの対応が特に重視されるようになった背景には、資本市場の信頼を揺るがす複数の要因があります。

不正リスク対応が重視される主な背景
  • 企業不祥事の頻発: 経営者が主導する大規模な会計不正などが相次いで発覚し、既存の内部統制の枠組みだけでは不十分であることが明らかになりました。
  • ビジネス環境の複雑化: 企業のグローバル化やIT化、リモートワークの普及に伴い、海外子会社の管理不徹底やサイバー攻撃による情報改ざんなど、不正の手口が巧妙化・多様化しています。
  • 国際的な枠組みとの調和: 米国のCOSO報告書など、国際的な内部統制のフレームワークが改訂され、不正リスクの評価と対応がより明確に求められるようになったことも大きな要因です。

これらの状況を受け、改訂された基準では、経営者による内部統制の無効化リスクへの対策や、ガバナンスと全社的なリスク管理を一体的に運用することの重要性が強調されています。企業は形式的なルール遵守から脱却し、不正のトライアングルを構成する要素を組織全体で低減させる、実効性のある管理体制の構築が求められています。

金融庁「不正リスク対応基準」の概要

金融庁が公表した「監査における不正リスク対応基準」は、財務諸表監査の際に、監査人が不正による重要な虚偽表示リスクにどう対応すべきかを定めたものです。この基準は、近年の不正会計事案を教訓に、監査の実効性を高めて資本市場の信頼性を確保することを目的としています。

基準は主に以下の3つの柱で構成されています。

不正リスク対応基準の3つの柱
  • 職業的専門家としての懐疑心の強調: 監査人は、経営者が誠実であるという先入観を排し、常に不正の可能性を念頭に置いて批判的な視点で監査証拠を評価する姿勢を保つこと。
  • 不正リスクに対応した監査の実施: 企業の事業環境や業界特有の不正リスクを理解し、経営者への質問やリスク要因の分析を通じて、不正発見を意識した監査計画を策定・実施すること。
  • 不正リスクに対応した監査事務所の品質管理: 監査事務所内で不正リスクに関する十分な教育訓練を行い、厳格な審査体制を構築するなど、組織として監査の質を高めること。

この基準では、監査手続に予測できない要素を組み込むことや、不正の兆候を発見した場合に追加の手続を実施することが具体的に求められています。ただし、過重な負担を強いるのではなく、リスクの重要度に応じた実効性のある対応(リスクアプローチ)を基本としています。

不正リスク評価の具体的なプロセス

ステップ1:リスクの識別と洗い出し

不正リスク評価の第一歩は、組織内に潜在するあらゆる不正リスクを網羅的に識別し、リストアップすることです。この段階では、過去の不正事例、業界特有のリスク、事業環境の変化など、内外の情報を幅広く分析します。

リスクの洗い出しには、以下の二つのアプローチを組み合わせることが有効です。

リスク洗い出しのアプローチ
  • トップダウン・アプローチ: 経営層の視点から、事業戦略や市場環境の変化に伴うマクロな不正リスク(例:過度な業績目標に起因する粉飾決算)を識別します。
  • ボトムアップ・アプローチ: 現場担当者へのヒアリングや業務プロセスの分析を通じて、日々の業務に潜むミクロな不正リスク(例:承認プロセスの不備を突いた横領)を抽出します。

この過程では、特に「不正のトライアングル(動機・機会・正当化)」の要素が揃いやすい領域に注目します。例えば、特定の個人に権限が集中している業務や、厳しいノルマが課せられている部門は、不正の「機会」や「動機」が生じやすいため、重点的な洗い出しが必要です。識別されたすべてのリスクは文書化し、後続の分析・評価プロセスの基礎となる包括的なリストを作成します。

ステップ2:リスクの分析と評価

リスクの洗い出しが完了したら、次にそれぞれの不正リスクが顕在化する「発生可能性」と、発生した場合に組織に与える「影響度」を分析・評価します。この評価に基づき、対応すべきリスクの優先順位を決定します。

評価の際は、以下の点を考慮します。

リスク分析・評価における考慮事項
  • 発生可能性の評価: 過去の発生頻度、業務の複雑性、関連する統制の有効性などを基に、リスクがどの程度の確率で起こりうるかを評価します。
  • 影響度の評価: 財務諸表に与える金額的なインパクトに加え、ブランドイメージの毀損や顧客信用の失墜、法的な制裁といった非財務的な影響も総合的に評価します。

これらの「発生可能性」と「影響度」を二つの軸としてリスクマトリックスを作成し、各リスクを「高」「中」「低」などに分類することで、対応の優先度を可視化します。特に、発生可能性と影響度がともに高いリスクは、最優先で対応策を講じるべき重要なリスクと位置づけられます。また、経営層が自ら内部統制を無効化するリスクは常に高い重要性を持つと認識し、特別な注意を払う必要があります。

評価プロセスと監査との関係性

企業が主体的に行う不正リスク評価プロセスは、内部監査および外部の会計監査と密接に連携しています。経営者が実施したリスク評価の結果は、監査人が監査計画を立案する上で極めて重要な情報となります。

外部監査人は、まず企業のリスク評価プロセスそのものが適切に設計・運用されているかを評価します。その上で、評価結果を参考に、財務諸表における重要な虚偽表示リスクが高い領域を特定し、重点的な監査手続を実施します。もし企業のリスク評価が不十分だと判断されれば、監査人はより広範で深度のある手続を行うことになります。

一方、内部監査部門は、経営者のリスク評価プロセスが有効に機能しているかを独立した立場でモニタリングし、その実効性を検証する役割を担います。各部門のリスク管理状況を定期的に監査し、発見された問題点や新たなリスクを経営層や監査役会に報告することで、継続的な改善を促します。このように、経営者による主体的な評価と、内外の監査による客観的な検証が相互に補完し合うことで、不正に対する多層的な防御体制が構築されます。

不正リスク評価を形骸化させないための組織内での進め方

不正リスク評価は一度行ったら終わりではなく、実効性のある仕組みとして定着させるためには、組織全体での取り組みが不可欠です。形骸化を防ぐためには、以下のポイントが重要となります。

不正リスク評価を定着させるためのポイント
  • 経営トップの強いコミットメント: 経営者が率先して不正を許さない姿勢を明確に示し、コンプライアンスを重視する企業文化を醸成する。
  • 現場部門の主体的な参画: リスク評価を管理部門任せにせず、各業務の実態を最もよく知る現場担当者を巻き込み、実情に即したリスクを洗い出す。
  • 評価プロセスの継続的な見直し: ビジネス環境や組織の変化に応じて、少なくとも年次でリスク評価を更新し、常に最新の状態を維持する。
  • 取締役会によるモニタリング: 評価結果とそれに基づく対応策の進捗状況を取締役会に定期的に報告し、経営レベルでの監督・検証機能を働かせる。

典型的な不正リスクの類型と事例

経営者による内部統制の無効化

経営者による内部統制の無効化は、組織のトップがその権限を悪用して行う、最も深刻な不正リスクの一つです。経営者は自ら整備した統制ルールを意図的に無視・逸脱できる立場にあるため、通常のチェック機能が働きにくいという特徴があります。過度な業績プレッシャーや個人的な利益追求が動機となることが多く、巧妙に隠蔽されるため発見が極めて困難です。

具体例と予防策
  • 具体例: 期末の無理な売上計上、不適切な会計処理の指示、関連当事者との不透明な取引による利益操作など。
  • 予防策: 独立性の高い社外取締役や監査役が経営を監督する体制を強化し、重要な意思決定を厳しくチェックする。
  • 予防策: 内部通報制度の窓口を社外の弁護士事務所などに設置し、従業員が経営陣の不正を安心して通報できるルートを確保する。

従業員による資産の不正流用など

従業員による資産の不正流用は、発生頻度が高い典型的な不正リスクです。経理や購買など、会社の資産に直接アクセスできる権限を持つ従業員が、内部統制の隙を突いて不正を働くケースが一般的です。個人的な経済的困窮などを動機に、少額から始まり徐々に被害が拡大する傾向があります。

具体例と予防策
  • 具体例: 会社預金の着服、架空の取引先への支払い、水増し請求によるキックバックの受領、在庫品や備品の横領など。
  • 予防策: 取引の申請・承認・記録・資産管理の担当者を分離する職務分掌を徹底し、一人の担当者が取引を完結できないようにする。
  • 予防策: 定期的な担当者の異動や強制的な長期休暇の取得を義務付け、業務の属人化を防ぐ。
  • 予防策: 銀行残高と会計帳簿の定期的な照合や、在庫の実地棚卸を抜き打ちで実施するなど、発見的な統制を強化する。

子会社・関連会社における管理体制

子会社、特に海外子会社は、親会社からの物理的・心理的な距離があり、管理体制が脆弱になりがちなため、不正リスクの温床となりやすい領域です。親会社に比べて管理部門の人員が不足し、特定の現地責任者に権限が集中しやすいことが背景にあります。

具体例と予防策
  • 具体例: 現地経営陣による独断での不適切な投資、架空売上の計上による業績の偽装、現地の公務員に対する贈賄など。
  • 予防策: グループ全体で統一された行動規範やコンプライアンス方針を定め、子会社の役職員に周知徹底する。
  • 予防策: 一定金額以上の取引や投資については親会社の事前承認を義務付けるなど、子会社の決裁権限を明確に規定する。
  • 予防策: 親会社の内部監査部門が定期的に子会社へ赴き、業務や会計記録を直接検証する(往査)。
  • 予防策: グループ共通の内部通報制度を設け、子会社の従業員が親会社の窓口に直接通報できる仕組みを整備する。

ITシステムの脆弱性を悪用した不正と予防策

ビジネスのデジタル化が進む中で、ITシステムの脆弱性を悪用した不正が急増しています。権限のない従業員や外部の攻撃者による不正アクセス、データの改ざん、機密情報の窃取などが典型例です。特に財務システムの管理者権限を持つ従業員によるデータ操作は、発見が遅れると甚大な被害につながる可能性があります。

ITシステムを悪用した不正に対しては、以下のような予防策が有効です。

主な予防策
  • アクセス権限の厳格な管理: 各従業員のIDに対し、業務上必要最小限の権限のみを付与する(最小権限の原則)。
  • 認証の強化: パスワードの定期的変更の強制や、複数の認証要素を組み合わせる多要素認証を導入する。
  • アクセスログの監視: システムへのアクセスや操作の履歴(ログ)を定期的に監視し、時間外のアクセスや権限のない操作などを自動検知する仕組みを構築する。
  • 脆弱性対策の徹底: OSやソフトウェアを常に最新の状態に保ち、セキュリティ上の脆弱性を速やかに解消する。

評価後の不正リスクへの対応策

リスク対応の4つの基本方針

評価された不正リスクに対して、組織はリスクの性質や自社の対応能力に応じて、以下の4つの基本方針から最適な対応策を選択します。

リスク対応の4つの基本方針
  • リスクの回避: リスクが極めて高く、対策を講じても許容できないと判断した場合に、そのリスクの原因となる事業や取引から撤退する方針。
  • リスクの低減: 内部統制を整備・強化することで、不正の発生可能性や影響度を許容可能なレベルまで引き下げる、最も一般的な方針。
  • リスクの移転: 保険への加入などにより、リスクが顕在化した際の経済的損失の一部を第三者に転嫁する方針。
  • リスクの受容: リスクの発生可能性・影響度がともに低く、対策コストが見合わない場合に、特別な対策は講じず現状のまま受け入れる方針。

これらの基本方針を個々のリスク特性に応じて適切に組み合わせることで、限られた経営資源を効率的に活用し、組織全体のリスクを最適に管理することが可能になります。

統制活動によるリスク低減策

不正リスクを低減するための具体的な統制活動は、不正を未然に防ぐ「予防的統制」と、発生した不正を速やかに発見する「発見的統制」の両面から構築することが重要です。

予防的統制は、不正が実行される機会そのものをなくすことを目的とします。

予防的統制の具体例
  • 職務分掌の徹底: 取引の承認者、実行者、記録者を分離し、単独での不正を困難にする。
  • 権限設定の厳格化: システム上のアクセス権限や決裁権限を明確に定め、必要以上の権限を与えない。
  • 物理的アクセスの制限: 現金や在庫品など、重要な資産への物理的なアクセスを制限する。

一方、発見的統制は、予防的統制をすり抜けて発生してしまった不正を、事後的に可及的速やかに発見することを目的とします。

発見的統制の具体例
  • 定期的照合: 銀行残高と帳簿残高の照合や、現物在庫と在庫データの突合を定期的に行う。
  • 実績分析: 予算と実績の差異を分析し、異常な乖離の原因を調査する。
  • データ分析: 大量の取引データから異常なパターン(休日の取引、端数のない取引など)を自動で抽出・監視する。
  • 内部通報制度: 従業員が不正の端緒を匿名で報告できる窓口を設置・運用する。

評価結果を取締役会へ報告・共有する際のポイント

不正リスクの評価結果を取締役会に報告する際は、経営の意思決定に資するよう、情報を整理して分かりやすく伝えることが重要です。以下のポイントを押さえることで、実質的な議論を促し、迅速な対応を引き出すことができます。

取締役会への報告におけるポイント
  • 重要なリスクの特定: 評価されたリスクの中から、特に経営への影響が大きい重要なリスクを抽出し、その性質や潜在的影響を明確に説明する。
  • 現状の対策と残存リスクの提示: 重要なリスクに対し、現在どのような対策が講じられているか、それでもなお残っているリスク(残存リスク)はどの程度かを客観的に示す。
  • 具体的な改善策の提案: 発見された統制上の不備を解消するための具体的な改善策と、その実行に必要なスケジュールや資源を提示する。
  • 事業戦略との関連付け: 各リスクが企業の事業戦略やレピュテーションにどのような影響を及ぼすかという視点で説明し、経営課題としての重要性を強調する。

不正リスク対応に関するよくある質問

「不正リスク対応基準」の適用対象は?

「監査における不正リスク対応基準」は、主に金融商品取引法上の監査対象となる上場企業などに対して適用されることを想定しています。したがって、すべての企業に一律で適用が義務付けられているわけではありません。

ただし、適用対象外の非上場企業などであっても、不正リスクへの対応は企業経営における重要な課題です。そのため、本基準の考え方を参考に、自社のリスク管理体制を整備・強化することが推奨されます。

不正リスクと事業リスクの違いは?

不正リスクと事業リスクは、どちらも企業の目的達成を阻害する要因ですが、その性質は根本的に異なります。主な違いは「意図性」の有無です。

観点 不正リスク 事業リスク
発生要因 意図的な欺瞞行為(粉飾、横領など) 外部環境の変化や事業活動の不確実性
意図性 あり(個人が不当な利益を得る目的) なし(事業活動に伴い不可避的に発生)
隠蔽行為 伴うことが多い 伴わない
具体例 経営者による粉飾決算、従業員による横領 市場競争の激化、為替変動、自然災害
不正リスクと事業リスクの比較

不正リスク評価はどの頻度で見直すべき?

不正リスク評価は一度行ったら終わりではなく、事業環境や組織は常に変化するため、定期的な見直しが不可欠です。一般的には、少なくとも年に1回は全体的な評価を見直すことが推奨されます。

加えて、以下のような組織の重要な変化があった場合には、その都度、臨時に評価を見直す必要があります。

臨時で見直しが必要なタイミング
  • 新規事業の開始や事業からの撤退
  • 大規模な組織再編やM&Aの実施
  • 新たなITシステムの導入
  • 海外など新たな地域への進出

監査役や監査委員会の関与方法は?

監査役や監査委員会は、経営から独立した立場で、不正リスクに対する内部統制の整備・運用状況を監視・検証する重要な役割を担います。具体的には、経営者が実施するリスク評価のプロセスや結果の妥当性を確認し、必要に応じて意見を述べます。また、内部監査部門や会計監査人から報告を受け、連携して不正の防止・早期発見に努めます。不正の疑義が発見された場合には、調査の指示や是正措置の勧告を行うなど、企業ガバナンスの中核として機能することが期待されます。

まとめ:不正リスク評価を実効性のある内部統制につなげるポイント

本記事では、内部統制における不正リスク対応の重要性、具体的な評価プロセス、そして評価後の対策について解説しました。効果的な不正対策は、不正のトライアングル(動機・機会・正当化)を理解し、経営者による無効化や子会社の管理体制といった典型的なリスク類型を把握することから始まります。形骸化させないためには、トップのコミットメントのもと、リスクの識別、分析・評価、対応策の策定という一連のプロセスを継続的に見直すことが重要です。まずは自社の業務プロセスを点検し、どの領域に不正の「機会」が潜んでいるかを確認することから始めるとよいでしょう。ただし、本稿で解説した内容は一般的な枠組みであり、個別の状況に応じた最適な統制活動の設計・運用に際しては、監査役や内部監査部門、必要に応じて外部の専門家と連携することが不可欠です。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ
Recommend
こちらの記事もどうぞ
記事URLをコピーしました