不正リスクを防止・発見するために日本企業が抱える共通課題と対応第4回　

不正発覚時の戦略的クライシスマネジメント（前編）(2010.02.25)

著者：デロイトトーマツFAS株式会社　フォレンジックサービス　　三島　佐織

はじめに

企業が社会的責任を果たす上で、コーポレートガバナンス（企業統治）やコンプライアンス（法令遵守）を重視した経営が不可欠のものとして、今日では一般的に認識されている。その一方で、企業を取り巻く環境は依然として厳しく、企業目的を達成するためにさまざまな経営課題を抱えており、それに伴い不正・不祥事リスク（以下、「不正リスク」）も増大している。

デロイトトーマツFASが2009年6月に発行した「「企業の不正リスク実態調査（Fraud Risk Survey 2007-2009）」（以下、「本サーベイ」という。）の反響は大きく、これをきっかけに様々な企業の経営者、監査役、コンプライアンス部や内部監査部の責任者等とお会いし、各企業の不正リスクを防止、発見するための仕組みとその運用状況に関する具体的な討議（以下、「ディスカッション」という。）を繰り返し実施した。ディスカッションの結果、日本企業が抱える共通課題が浮き彫りになった。

今回は第4回として、「不正発覚時の戦略的クライシスマネジメント（前編）」を解説する。なお、本文中の意見に関する部分は私見である旨お断りする。

1-1.日本企業の課題

不正の重要度の程度に関わらず、企業が発覚した不正に対して適切に対処することは非常に重要である。連日のように報道されている企業の不正は、不正の発生を示す警告シグナル（兆候）に対して、企業が日々の適切な対応を怠ってきたことが原因である。特に不正が発覚した場合において、企業の対応に問題がある場合、企業価値の重大な毀損さらに企業の存続そのものが困難となる可能性があることはいうまでもない。比較的重要度が低い不正においても、そのまま放置すると、将来大きな損害につながる可能性がある。

ディスカッションまたはデロイトトーマツFASへの不正調査依頼の経緯を分析してみると、不正が発覚した場合における日本企業の課題は、主に以下のように整理することができる。

1．初動調査における課題

・不正の兆候の適切な評価
・不正発覚時の対応方針（調査体制、調査手続、証拠の収集方法、開示基準等）の意思決定
・証拠保全によるデータ消失、拡散の防止
・社内の調査リソースの確保、外部専門家等の利用方法の判断

2．実態調査における課題

・適切な調査メンバーの選定
・調査実施における制約の排除
・適切な調査範囲・調査手続の決定
・社内調査の十分性の判断基準
・訴訟に耐えうる証拠収集の判断
・情報における所有権の判断

3．是正措置の策定・実施における課題

・不正事実および対応状況の報告・公表のタイミング
・不正関与者等および監督責任者の公正な処分
・社内外に対する説明責任
・是正措置の実施に関する企業側と利害関係者側の認識ギャップの対処・調整
・法的手段の実行に関する判断
・安全宣言の判断

不正による損失拡大のイメージ

これらの課題は、それぞれ個別の独立した課題ではなく、相互に関連し影響を及ぼすものである。日本企業は今後、不正・不祥事が発生した場合に備えて基準（ルール、規程類）等を策定し、不正・不祥事が発覚した場合には、状況に応じた柔軟な対応することが重要である。本稿においては、将来不正・不祥事が発覚した日本企業が企業価値や信頼性の毀損を最低限にとどめ、早期回復を実現するために予め備えておくべき対応を解説する。なお、ディスカッションからのコメントは以下のとおりである。

＜ディスカッションのコメント＞

「幸い弊社は重大な不正・不祥事は過去に発覚しなかったが、もし仮に重大な不正・不祥事が発覚した場合に適切な対応ができるかどうか不安である。」（製造業　取締役）
「十数年前になるが、弊社の業績トップの部門において不正が発生し、部門責任者が不正に関与していることが判明した。戦略的人材であった彼を処分するのをためらった結果、当時の経営者は株主代表訴訟の対象となった。」（IT関連業　内部監査部部長）
「不正調査実施にあたり調査対象業務に詳しい調査対象部門の人員を調査チームに入れたが、不正協力者であった可能性があり、不正の実態解明にかなりの悪影響を及ぼしたと考えている。」（貿易関連業　取締役）
「前任の取締役は、弊社の業績に不正による重要な影響がないことを積極的に公表するために記者会見に臨んだが、顧客への配慮が足りず、結果として弊社の経営姿勢を批判する論調の報道がなされてしまった。」（製造業　監査役）
「不正が発覚した際に、不正が発生した部門を調査し、不正行為者を処罰したが、数年後に同じ手口の不正が別の部署でも起きてしまった。これは是正措置を策定したものの実施を怠っていたためである。」（通信業　法務部部長）
「証拠が十分にない状況下で、不正関与者の供述だけを根拠に子会社の関係者にインタビューを実施した。調査結果の公表後に、親会社にも不正協力者がいたことが判明し、不正の実態を意図的に隠蔽したのではと疑われ、株主に不信感を与える結果となった。」（サービス業　経営者）
「不正発覚時に外部調査員会を発足しさえすれば株主が納得すると思っている経営者は少なからずいるのではないか。」（ジャーナリスト）
「社内調査が不十分であり、不正実行者と管理者の処分は行い、不正が行われていた部門は廃止した。その後、是正措置として他に何をすべきかわからない。」（小売業　監査役）

1-2.不正発覚時の戦略的クライシスマネジメント

（１）初動調査段階における対応のポイント
初動調査とは、内部通報ホットラインや内部監査等により不正の兆候を察知した場合にその内容を評価し、対応方針を決定するとともに必要な緊急対応の実施を目的とした調査である。初動調査は機動的かつ慎重に実施する必要があり、ここで失敗すると後に大きく影響するため以下の点に留意する必要がある。

・調査の機密性の確保（調査メンバーの限定、内部通報者の身分の保護）
・指揮命令および意思決定の方法（経営者不正の可能性がある場合についても考慮する）
・証拠の保全方法等

A　不正調査基準の策定
不正発覚という緊急事態に迅速かつ適切に対応するためには、調査手順を不正調査基準として策定しておく必要がある。これにより、発覚後の早い段階で適切な対応・方針決定が可能となり、証拠の散逸・隠滅の防止、不正の実態のより的確な把握等、より効果的な対応ができ、損害を最小限に抑えることが可能となる。なお、グローバル企業においては、国・地域により法律・文化等が異なるため、不正発覚時の対応において問題となる可能性のある法規制や海外拠点との連絡、報告体制を予め考慮し、不正調査手順を決定する必要がある。

不正調査基準において規定するポイント（例）

独立性、目的、守秘性、公正な手順等の調査基本事項
不正の報告・申告を受理した時の内部報告手順（経営者、取締役会、監査役会等）
初動調査のガイドライン（調査の範囲、体制、調査計画の立案）
証拠の収集方法や取扱、インタビュー実施方法等の調査実施方法・手順
社内および社外への報告方法とその後の対応策の策定基準

出典：デロイトトーマツFAS不正リスク診断ツール「Fraud Risk Diagnotics」から抜粋

調査基準の規定内容の決定にあたっては特に以下の点に留意する必要がある。

取締役会による特別委員会、あるいは監査役会等により選定された不正調査専門家等、経営者から独立した者による監督体制があること
調査メンバーの調査対象からの独立性確保（および影響力排除）、指揮命令等の調査体制
外部不正調査専門家の関与の要否を判断する基準（社内調査メンバーに必要な能力も明確になっている必要がある）
従業員や経営者が不正調査事実を覆い隠すこと（隠蔽体質）を許容しない徹底した全面的協力要請の明示
不正調査によって発見された情報を公表する報告手順

＜ディスカッションのコメント＞

「弊社では、初動調査の段階で、共謀による不正・不祥事、経営者不正の可能性がある場合には外部の不正調査専門家による調査を実施する旨を不正調査基準に明示し、即時に対応できるようにした。」（流通業　監査役）
「社内で初めての不正調査であったため、専門家にアドバイザーとして参加してもらい、十分な調査が実施できた。」（製造業　経営者）
「アジアにある子会社の現地社長による不正であったため、グローバルに業務を展開している会計事務所に不正調査を依頼した。調査の結果、長年にわたって取引先からキックバックを受け取っていることが分かった。」（IT関連業　法務部部長）
「会社の人間が自社の部下・同僚・上司に対して不正調査（電子メールの閲覧、インタビューの実施、処分等）を実施することは非常にやりにくいであろう。」（デロイトトーマツFAS不正調査担当マネジャー）
「多くの企業は初動調査の段階で失敗する。」（デロイトトーマツFAS不正調査担当マネジャー）

（２）　実態調査段階におけるポイント

初動調査の結果、不正調査方針（実施期間、体制、対象、範囲、手続など）を決定した上で、実態解明を目的とした実態調査が行われる。実態解明は主に以下に関する事実を明らかにすることであり、実態調査は「情報の収集」と「情報の分析」をし、不正手口の「仮説を構築」し、「仮説の検証」を行う一連のサイクルを繰り返すことにより不正の実態解明を行うプロセスである（仮説検証アプローチ）。

・関与者（実施者・協力者）と手口の把握
・不正の定性的・定量的影響の確定
・不正の要因（動機・機会・正当化）分析等

A　情報の適格性の確保
仮説の構築および検証にあたっては適格な情報を収集・分析できるように収集した情報が以下の要件をどの程度満たしているかどうかを検証することがポイントとなる。

・適合性　：収集・分析対象の情報は、立証する命題（仮説）の目的と適合していること
・適時性　：必要な情報を適時に入手する、あるいは適切な時点における情報であること
・信頼性　：必要な証明力（情報の性質、保全状況、客観性・独立性の程度）を備えていること

収集すべき適格な情報のイメージ

B フォレンジック・テクノロジーの活用
証拠となり得るデータを早期に収集・保全することは不正調査において極めて重要である。今日では事業活動のあらゆる場面においてITが浸透しており、不正調査における情報の保全・収集についてもフォレンジック・テクノロジーの重要性は日々高まりつつある。

不正調査の情報収集段階におけるフォレンジック・テクノロジーの基本手続は以下のとおりである。

・識別　：企業のIT統制および情報のロケーション・保存状況を把握し、保全・取得する情報を決定する
・保全・取得　：保存されている媒体等に応じた情報の保全・取得を行う
・分析・処理　：保全・取得した情報を分析し、削除されたデータの復元や、作成者・作成日時による解析等を行う。また不正調査チームによるレビューが可能な状態でファイル等を出力する

収集対象とすべきデータは業務上の使用帳票・証憑類、会議体および業務連絡等の正式なコミュニケーションに関するデータに限らない。また、電子メールおよびドキュメントに関する情報についてもユーザが容易にアクセスできるデータとアクセスするには専門知識が必要となるシステムデータ、メタデータがある。システムデータ、メタデータには、データそのもののプロパティだけではなく、ユーザーのPCの使用時期、操作の内容の記録等も含まれているため、この情報自体を証拠として利用することも可能である。また、PCやサーバだけではなく入退室管理の記録や監視カメラの映像、通話記録も収集する情報の対象として検討すべきである。したがって、システムデータの管理体制やバックアップデータを保管するデータセンターの所在等、情報システムそのもの以外の仕様についても事前に明確になっている必要がある。

システムデータやメタデータはデータ収集の際に誤って書換・更新されてしまう場合があるため、保全には細心の注意が必要である。システムのデータの保全にあたっては、ビットごとに複製を行う物理コピー（イメージング）が原則である。これは証拠能力を保全する目的と、データの分析の際にOSレベルで削除されたデータの復元等を可能とする目的がある。

＜ディスカッションのコメント＞

「弊社では以前海外拠点において不正が発覚した時に、発生部門だけではなく、発生部門を統括している本社のサーバ上のデータを保全した。外部の不正調査専門家に調査を依頼した結果、本社部門と共謀して不正が行われていたことが判明した。」（IT関連業　法務部部長）
「EDIシステムのバックアップデータを収集し、財務的に分析したところ、仕入債務のデータが改ざんされて社内に報告されており、残高確認書も偽造されていたことが判明した。」（グローバル企業　法務部部長）

情報収集の対象となる電子データ