2017年8月 7日 (月)

最高裁で問われるか?-企業の個人情報保護体制の不備

弁護士ドットコムさんのニュースで知りましたが、ベネッセ社の個人情報漏えい事件に関連して被害者が損害賠償請求を求めている裁判について、9月に最高裁弁論が開かれることが決まったそうです。集団訴訟で提訴されているほうではなく、別の被害者の方が個人で提訴しているほうの裁判のようですね(いや、これは実に興味深いです)。

地裁、高裁では被害者原告が敗訴しており、企業側の過失、因果関係のある被害額とも争点となっているようなので、このあたりに関して最高裁が下級審と別の判断を示す可能性が高まりましたね。ニュースでも述べられているように、この最高裁判断は、別の集団訴訟の判断に重要な影響を及ぼすだけでなく、個人情報漏えい事件を「甘くみている」企業にとっても警鐘を鳴らす判決になるのではないかと(もちろん、最高裁の判断の射程距離を厳密に分析する必要はありますが)。

ベネッセの事件では、故意に情報漏えいが発生した事案なので、どのような法律構成によって企業側の責任が根拠付けられるのかはわかりませんが、おそらく情報管理に関する内部統制の不備が問われることになると思います。また、ベネッセは被害者ひとりあたり500円の被害弁償を済ませていますが、ひょっとするとプライバシー侵害の代償は重い・・・ということで、さらなる高額賠償金額が適正と判断される可能性もあります。

改正個人情報保護法の施行、来年5月に控えたEU一般データ保護規則の施行など、企業側の情報管理体制の構築が喫緊の課題とされていますが、そのような社会の流れの中で、さらに情報漏えいに関する司法判断が示される意義はとても大きいはずです。本日は自分用の備忘録程度のエントリーですが、この9月末の最高裁判断には内部統制の視点から注目をしておきたいと思います。

8月 7, 2017 内部統制の事例検証 | | コメント (0) | トラックバック (0)

2016年10月19日 (水)

グループ・ガバナンスの話はなぜむずかしいのか?(あくまでも私見・・・)

旬刊商事法務2113号(2016年10月合併号)の巻頭座談会「グループ・ガバナンス強化に向けた取組みと法的論点(上)」を拝読いたしました。昨日の川井先生のブログ「学者や実務家の先生方が、グループ・ガバナンスを論じる際に"足りない"と感じている(?)こととは?」の中で、「このテーマにご関心のある法務関係者の方々には、必読の座談会だろう」と書かれておりましたので、自称「関心のある法務関係者」としては「これは読まねば・・・」といった気持が高ぶりました。

法律家が会社法の視点からグループ・ガバナンスを考えるにあたっては、司会者である石井先生の項目立ては問題整理のうえで秀逸だと思いました。また舩津先生(同志社大学教授)のご意見「子会社管理、グループ・ガバナンスといったものについて、実務的、具体的なイメージを学界として持てていないということも、多分にある」という点も同感です(だからこそ伊藤忠商事、キリンHDの法務責任者の方々をお招きして具体的事象でイメージを描きたい、といった企画になったように思われます)。川井先生も、

私が推測しているところでは、実務家のうち、外部の法律事務所の弁護士も、子会社管理、グループ・ガバナンス、グループ・コンプライアンスといったものについて、実務的、具体的なイメージを持てていないケースが多いのではないか、と思っているからなのです。そんなの、お前だけだよ、と言われるかもしれませんが・・・(笑)。

とおっしゃっていますが、実は私も恥ずかしながら持てていません(笑)。

ではなぜグループ・ガバナンスの具体的なイメージを持てないのかという点について、少しだけ私見を述べたいと思います(あくまでも仮設ということで、「これが真実」といった確信は持てませんが・・・)。

私は過去に、グループ会社が400も500もある大規模会社の「企業集団内部統制」構築のお仕事を2度ほどさせていただいた経験があります(また、セブン&アイHD傘下の上場子会社ニッセンHDのCSR委員会顧問として、親会社によるCSR統制の現場に2年ほど関与したこともあります・・・「あれ?それって業務執行じゃないの?」といったツッコミはなしということで・・・笑)。いずれの親会社も、私が意見を述べることがおこがましいほどシステムが充実していますので、あくまでもグループ会社の内部統制の構築が中心であり、それぞれ半年、1年の期間、多くのグループ会社のシステム整備や運用チェックに関与いたしました。その結果として私が抱いた感想は「グループ・ガバナンスは法律でコントロールできるものではなく、少なくともコンプライアンスの視点で考えるにあたっては法律の枠外で対処すべき問題が山積している」といったものでした。

まず、なんといっても「指揮命令系統の複雑さ」です。経理や法務、内部監査部門を通じて内部統制の仕組みを変えようとしても、親会社の事業部門から別の注文がグループ会社に届きます。「あれ?半年前に『このようなシステムに変えましょう』と指示したのに、どうして変わってないのでしょうか?」「いやいや、先生、本社の製造第3部の●●部長からクレームがきましてね。事業部からの指示には逆らえないですから・・・」といったやりとりを何度も経験しました。もちろん本社の経理部門からの指示も同様です。人事部は人事政策をまとめるところであって、グループ会社トップの実質的な人事権は本社の事業部門が掌握しています。グループ会社のトップが誰の意見を優先するかは明明白白でして、この複雑な指揮命令系統はもはや法律の世界ではなく、親会社における法務や経理と営業や開発、製造部門との力関係。親会社とグループ会社の歴史に依拠する問題です。

また、グループ間の連携は「人からシステムへ」と変遷しています。本社の経理や法務には優秀な人たちが集まっていますが、彼らの優秀さはどんどん「パーツ化」されています。狭い範囲でスキルが要求され、そこで完結するのであり、ITシステムで集約される全体像については、誰も把握できないこともあります(以前は警察出身の総務担当者と同じように、会計士の資格を持っている人が、経理部内でブラブラしていたりしましたが、最近はめっきりそんな人も減りましたよね)。そのブラックボックスが、時には「責任をあいまいにして処分を免れる」(自らのセクションをみんなで守る)といった人智につながっていたりします。

グループの管理部門は益々IT化によって効率性が追求され、また人がパーツ化されるなかで、グループ間における人の交流はあまり進みません。しかし事業部門においてはご承知の通り、事業戦略の一環として(片道切符もありますが)人事交流は進みます。こうなると、誰の意見が最もグループ会社を動かすかは歴然としています。私もグループ会社の内部統制支援にあたっては、「本社において、どの事業部門の誰に話を通しておくべきか」を考えながら「今度こそグループ会社のシステムは変わるだろうか」と期待をしておりました。そこでは法は無力であり、「根回し」がすべてといったところでしょうか。

先週金曜日、虎ノ門にある大学(サテライト)におきまして、JILA(日本組織内弁護士協会)主催のパネルディスカッションに登壇させていただきました。その準備の際、某社の社内弁護士の方からおもしろい話をお聞きしました。某社では、事業部門と本社管理部門において、それぞれ法務部門が事実上分かれているそうですが、事業部門に近いところの法務担当者は、できるだけ事業部門の要望に沿った形での(ある程度はリスクを承知でゴーサインを出す)支援を行い、本社管理部門の法務部門では「ダメなものはダメ(最終的には経営判断にも関与する)」といったスタンスでお仕事をされるそうです。これ、すごくわかるような気がします。「そんなものは法務の役割ではない!」といったお声も聞こえてきそうですが、それは法務の力が強い会社だからであり、そうでない会社の場合には十分ありえる話ではないかと。

つまり、グループ・ガバナンスの話を会社法という枠組みで考える(法律家がグループ・ガバナンスの具体的なイメージを持てるようになる)にあたっては、それが子会社管理責任(資産管理義務)という論点にせよ、グループコンプライアンス(コンプライアンス配慮義務)という論点にせよ、まずは法務部の力を各企業において高めること(社長が「法務は営業や開発、製造と同じくらい重要なセクションである」と認識するにはどうすればよいか?)を考えるべきだと思う次第です。役員セミナーにお招きいただく機会が増えれば増えるほど、この課題は容易には克服できないことを痛感するところではありますが・・・・・

10月 19, 2016 内部統制の事例検証 | | コメント (5) | トラックバック (0)

2013年3月11日 (月)

経理財務部門・内部監査部門必読!NOS第三者委員会報告書

ネットワーク運用業務大手のネットワンシステムズ社(以下、NOS社といいます。東証1部)が3月8日「当社元社員による不正行為に係わる調査結果に関するお知らせ」と題して、営業担当者らによる会社資産横領事件に関する第三者委員会報告書を公表しています。不正行為疑惑について社内調査に従事していた外部専門家の方々が、そのまま第三者委員会を構成しているため、純粋な日弁連ガイドライン上の第三者委員会ではありませんが、これに準拠する旨の合意書を同社と締結したうえで活動されたもののようであります。

委員長は日弁連第三者委員会ガイドラインの産みの親である国広弁護士です。さすが期待を裏切らない(?)内容でありまして、この報告書自体が資産流出型の不正防止体制整備の参考書になるかと思われます。文章が平易であり、(従業員不正を許してしまった)内部統制上の問題点もわかりやすく解説されています。本来ならば、もう少しじっくりと社内調査を進めたいところだったのかもしれませんが、おそらく監査法人より四半期報告書に対する意見が出せない(つまり調査後1か月ほどで報告書をまとめないと上場廃止になってしまう)という状況になったために、社内調査を第三者委員会調査に移行させ、時間との闘いの中で(必死で)調査をまとめ上げられたのではないかと推測されます。復元メールも事実認定のために活用されています。会計監査人が意見を出せるように、発覚した不正の「広がり」を確定する、という意味においては、本件調査とは別に「件外調査」の重要性、とりわけCAAT(コンピュータ利用監査技法)を駆使したフォレンジック(全件調査から不正疑惑を抽出する作業)の重要性があらためて認識されるところであります。

某銀行出身の中部地区営業責任者が、太い銀行とのパイプを利用して、社外関係者らと共謀のうえ7億8000万円ほどの会社資金を横領していたというもので、架空の外注費名目で不正請求を繰り返すという手法が使われていたようであります。会社経費に関する国税調査によって疑義が持たれたことが発端でありますが、社内に「これはおかしい」と声を上げた業務管理グループ社員が存在したことが大きかったように読めます。このような社員が存在するかどうか、これは運によるところもあるように(私は)感じております。外部関与者の所属する組織(金融機関等)でも第三者委員会が設置され、鋭意調査中のようですが、これらの組織においては、NOSでの不正が発覚していなければ、まったく疑惑にすら気が付いていなかったのではないでしょうか。

報告書では、外部者と共謀して不正請求を行っていた営業担当者の問題行為や、その発覚を防ぐための証拠隠ぺい行動について克明に描かれており、驚嘆の一言に尽きますが、このあたりの事情につきましては、ぜひ経理財務担当者、内部監査担当者の皆様にはお読みいただきたい内容です。社内で抜群の営業成績を上げ、とりわけ優良顧客(ここでは金融機関)に対して太いパイプを有する営業責任者の行動は誰も止められないものなのでしょうか?経理財務担当者や内部監査担当者は、「あの営業マンはおかしい」と感じても、恫喝されたり、不正隠ぺいを懇願されると、会社のためにご自身の魂を売ってしまうのでしょうか?それが組織で生きる社員のオキテなのでしょうか?この委員会報告書の最後に書かれていますが、こういった社員のほとんどが「まじめで誠実」な社員ということです。そういった真面目で誠実な社員の「ほんの少しの不正つじつま合わせ」がたくさん集まることによって大きな不正に発展してしまうのではないでしょうか。

それにしても、「俺は当社に多大な貢献をしているのだから、これくらい裏で頂戴してもバチは当たらないだろう」といった意識で会社資金を横領してしまう、というのはよく見かける正当化理由であります。委員会によるヒアリングに対して、「これだけ貢献してきたことを、社内処分にも斟酌してほしい」と懇願されていたそうですが、実にリアルであります。

そういえば、以前当ブログでもご紹介した2011年の中日本高速道路社の担当者による所得税法違反事件にも共通するところがあるように思います。あの事件では、企業がどうしても事業を進めていくために不可欠な用地買収の担当者が、「誰もやりたがらない、キビシイ役回りを自分がひとりで進めている」という意識を持っていたために、またその意識を他の社員も共有していたために、不正に手を染めた社員は「汚れ役は俺しかできないのだから、これくらいもらったってバチは当たらないだろう」との意識を持ち、また周囲もそれを認めて、やりたい放題の資金流用を誰もとめられなかった、という内容でありました(第三者委員会報告書の内容から判明いたします)。NOSの事例でも、内部監査部門も経理財務部門も、会社の屋台骨を支えている営業担当者の行動であるがゆえに「〇〇さん案件」として誰も口をはさめない、はさめないどころか、見て見ぬふりをするように指示され、これに応じてしまったというところは、なんともコンプライアンス経営のむずかしさを痛感するところであります。

とりわけこの営業責任者の方は、経理財務部門を恫喝する場面では、リスク管理の盲点を上手に突いています。不正はどこの会社でも起きる、と考えれば「不正が起きていること」を前提とした調査が行われます。しかし、平時において「不正は起きる」という視点で調査を行おうとすると、かならず「君は当社にそんなことをする人間がいるとでも思っているのか、それでも君は誇りをもった社員なのか」と批判を受けるのです。しかし、そこをクリアしなければ有事に役立つリスク管理などできないわけでして、この営業責任者の恫喝はまさにイタイところを突いています。

どうしてこれだけ大きな会社で内部通報制度が機能しなかったのだろうか、と素直に疑問が出るところなので、この報告書でも、内部通報制度が機能しなかった状況を社員へのインタビュー等で把握しておられます。

「内部通報などしたら、君の経歴にキズがつくぞ」(社員が管理職から言われたこと)

全体発注の3割が架空請求によるもの、というのはどうみても不自然です。その不自然さをそのまま許容していた組織風土こそ、どこの企業でも「自社にもあるのでは」と、チェックしてみる価値はあるのではないでしょうか。これからは自浄能力のある組織でなければ生き残れない時代です。自浄能力が失われていく組織にならないためにも、本事例においてもっとも重大なコンプライアンス違反と言えるものは何か、多くの企業の皆様にお考えいただくべきではないかと思い、ご紹介した次第であります。

3月 11, 2013 内部統制の事例検証 | | コメント (4) | トラックバック (0)

2012年11月14日 (水)

内部統制の運用に問題があると「重過失」リスクが生じる件-ファーストサーバ事件

先週、関西のCGN(コーポレートガバナンス・ネットワーク)勉強会におきまして、ITシステムに精通された某弁護士の方が「ファーストサーバ事件」について発表されました。もう数か月前の事件ではありますが、ご承知のとおり、レンタルサーバーを主たる業務とされているファーストサーバ社が5000件以上の顧客のデータを消失させてしまった、という事件に関するものです。本件については、関西の大手製薬会社さんが、ファースト社のクラウドサーバーを利用されていて被害に遭遇し、HP上のデータが一部消失してしまったことは存じ上げておりました。しかし、今年7月末に本事件に関する第三者委員会報告書(要約版)が公表されましたことから、その報告書に基づく今回の解説をお聴きして、このたび事件の概要を知った次第です。私的には「企業のリスク管理と内部統制」という視点から、とても新鮮なものでした。

利用契約上では、(消費者契約法上の問題は別として)ファーストサーバ社の管理運用上の過失については免責条項があり、事業者側が損害を被ったとしてもファーストサーバ社に故意または重過失が認められなければ損害賠償義務を負担しない、ということです。サーバー管理会社の場合、ほぼすべての会社がこの免責条項を入れている、とのことだそうですが、今回の事件でも、第三者委員会は(特定した原因事実をもとにしても)ファーストサーバ社の過失は軽過失である、ただし軽過失であったとしても、比較的重い程度の軽過失だと認定しておられます(「比較的に重い軽過失」と「重過失」とはどう違うのか?というツッコミは、法律専門家的なお話になってしまうので割愛)。

発表者の方は「この第三者委員会が認定した事実を前提にしてもなお、重過失になるのではないか」とのご意見でありましたし、本件については「ファースト社の管理・運用上のミスは重過失になるのかどうか」というところがネット上でも話題になっているようです。「重過失」なるものが、故意立証の代替的機能を重視して「故意に近いような、誰でも容易に重大な結果を予見しうるほどの注意義務違反」を重過失と捉えるだけでなく、そもそも高度の注意義務を要求される人のうっかりミスも重過失だと捉えるのであれば、重過失にあたるのかもしれません。このあたりは実際に裁判になってみないとわかりませんが、ともかく「重過失」と認定されてしまうリスクは生じていたのであり、だからこそ、会社側は免責条項にも関わらず、利用者の方々に利用料の範囲においては返金手続きをとったものと思われます。

ただ私は、「会社のミスが重過失にあたるかどうか」という純粋な法解釈上の関心とともに、実際に更新プログラムの作業ミスを発生させてしまった社員の方が「社内のルール違反を承知で作業を行っていたこと」「当該社員が長年ルールを無視して作業をしていることを上司が黙認していたこと」が第三者委員会の調査で明らかにされており、これが「軽過失といえども、その程度において重大なもの」との結論に影響を及ぼしている点にも関心があります。結果からみれば、今回のミスはファーストサーバ社の経営に極めて大きな影響を与えたことになり、重大なリスクが顕在化したことになります。そもそも会社が「重過失」リスクに見舞われないために、(業務の性質上、トラブルを完全に防止することは不可能でありますから)重大なリスクの発生しそうなところには社内ルールを策定して内部統制システムをきちんと整備していたものと思われます。しかし、社員自身がシステム(社内ルール)を無効化させてしまったわけですから、「重過失」リスクが顕在化することも当然のことかと思われます。

今年10月に日本内部統制研究学会で自社の7,8年にわたる内部統制構築の取り組みとその効果(検証結果)を発表されたSさんの話では、内部統制が現場に浸透するようになると、現場に合わないシステムについては現場から疑問の声があがり、現場自身がシステムを提言して、上司と一緒に効果的かつ効率的なシステムの改正がされるようになる、とのことでした。つまり、内部統制が浸透したことの証として「現場から声があがること」だとおっしゃっていたことが印象的でした。こういったことが現場で許容される「例外的取扱」と許容されない取扱も区別されるのでしょう。

上記のファーストサーバ社の一件も、プログラムに精通された熟練の技術者にとっては、社内ルールに則って運用することなど「かったるい」ことだったのかもしれません。また、彼のスキルを信用していたからこそ、上司が例外的取扱いを許容していたのかもしれません。しかし、第三者委員会の報告書を読むと、そういった例外的取り扱いが社内で協議されたような形跡もなく、社内ルールは例外を許さず、事実上彼の手法が現場で黙認されていたにすぎないように思われます。会社法が改正されますと、会社法上の内部統制の運用状況の概要についても事業報告の記載事項となりますが、いったん整備されたシステムが正しく運用されていないことに関する会社のリーガルリスクは高まることが考えられます。今回の事件が裁判沙汰にならなければ今後は特に問題にはならないかもしれません。しかし、第三者委員会報告書でも、「比較的程度の重い軽過失」と評価されるに至った原因として、この社内ルール違反という事実が(調査委員の方々にとって)重く受け止められているように思われます。

数年前に、内部統制の構築が世間で話題となり、リスク管理のために社内ルールがいろいろと整備されてきた会社も多いとは思うのですが、個々の企業のリスク評価の結果と比較しながら、リスク低減に向けたシステムの運用が正しく行われているのかどうか、検証しておく必要があります。裁判上でも、内部統制の運用上の不備が会社側に不利な判決に影響しているものと思われるものが出てきています。このファーストサーバ事件を通じて、内部統制の不適切な運用によってリーガルリスクが顕在化するおそろしさを改めて認識いたしました。

11月 14, 2012 内部統制の事例検証 | | コメント (0) | トラックバック (0)

2012年8月 8日 (水)

証券会社の自浄能力(インサイダー防止体制の運用)は機能するか?

(8月8日正午 追記あります)

8月7日、上場企業の公募増資を巡るインサイダー取引問題を受けて、大手の証券会社12社は、金融庁に報告した社内の情報管理体制などに関する自主点検の結果を一斉に公表しております。証券会社がどのように「自浄能力」を示しているのか、コンプライアンス経営に関心を持つ者としては全12社の報告書に目を通したいところですが、とりあえずSMBC日興証券社の「法人関係情報管理態勢の改善・強化策」について報告書を読ませていただきました。

日興証券社は既に業務改善計画において策定された改善策を発表しておりますが、今回の新たな改善策は、インサイダー取引防止体制の整備事項としては、なかなか突っ込んだ内容となっており、興味深いものであります。たとえば社員のインサイダー取引関与等によって証券会社の発生した損害について、これを当該社員に賠償請求することが明文化されるそうであります。そもそも、株主代表訴訟等により、企業の役員がインサイダー取引防止体制の整備義務違反が問題とされた場合、これまでは株主側が会社の損害や因果関係を立証することが困難だったわけですが、たとえばこういった規定ができますと、社員の犯罪によって企業がどのような損害を被るとされるのか(相当因果関係のある損害というのはどの範囲だと捉えられるのか)、今後の株主代表訴訟等においても参考になるものと思われますので、株主側からも関心が向けられるところではないでしょうか。

また、日興証券社だけでなく、多くの証券会社が業務用携帯電話の録音機能を強化する、とのことであります。インサイダー情報の管理を目的とするものでありますが、たとえば証券被害事件の顧客が証券会社を相手取って損害賠償請求訴訟を提起する場合、「原則として顧客とのやりとりは録音されている」という状況が基本となるのであれば、文書提出命令の運用や注意義務違反を基礎付ける事実の主張・立証の面において証券会社を相手とする被害者にとってもたいへんありがたいことになるのではないでしょうか。内部統制システムを整備した企業が、その運用を適切に行っていない場合には、そのこと自体が会社側にとって不利な証拠になる、ということは昨年のオリンパス配置転換命令無効等確認事件の東京高裁判決(最高裁で確定)でも確認されたところであります。

さらに内部監査部門による役員(取締役及び執行役員)の監査の実施が開始されるそうであります。これはかなり画期的なことのようにも思われます(企業実務として、執行部に属する内部監査部門がその監督者自身を監視する、ということはあるのでしょうか?)。しかし、内部監査部門が、本当に役員の不正もしくは不正のおそれをチェックすることができるのでしょうか。またチェックできたとしても、それをきちんと報告するだけの勇気があるのでしょうか?かなり疑問であります。監査役さんが4名ほどいらっしゃるようなのですが、なぜ監査役スタッフを増員して、監査役スタッフによる監視としないのか理解しにくいところであります。そもそも今回は情報管理体制の徹底が問題とされているのであるわけで、内部監査部門はこの情報管理体制の不適切なことに疑問を抱くことが「どういった理屈」から可能となるのでしょうか?内部監査部門だけは例外的に機密情報にアクセスできる、ということなのでしょうか。昨年のオリンパス損失飛ばし事件では、M&Aという機密情報にかかわる情報をごく一部の幹部役員が握っていたために、モニタリングが不全に陥ったものと調査報告書で分析されていましたが、証券会社の場合は、内部監査部門によって機密情報にもアクセスできる、ということが前提なのかどうか、とても知りたいところであります。

自浄能力を発揮するための施策というものは、整備することの100倍ほど、運用することは難しいわけでして、さまざまなリスクを抱えてでも、インサイダー取引の未然防止という最大の目的を遂行できるよう、適切な運用が求められます。今後の各証券会社の自浄能力がいよいよ内部統制システムの運用面によって発揮されることを期待いたします。

(追記)

本日のダイヤモンド・オンラインの記事に、大和証券社の内部資料に基づくインサイダー調査の内幕を語ったものが掲載されています。そのなかで、固定電話での会話は5年間保存されるため、顧客との会話は携帯電話でかけなおすことが常態化していることが説明されていました。やはり携帯電話の会話保存ということが、インサイダー情報伝達防止のために有効な手法、ということなのでしょうね。

8月 8, 2012 内部統制の事例検証 | | コメント (3) | トラックバック (0)

2011年9月14日 (水)

会計不正の発見力と内部統制の有効性(構造計画研究所事例)

旧日債銀粉飾決算事件において、東京高検は上告を断念することを発表し、被告人3名の無罪が確定するそうであります。高裁判決についてはまだ判決全文に触れておりませんので、全文を読ませていただいたうえで感想を述べたいと思います。(金融・商事判例あたりに判決文が掲載されることを期待しております)

さて週刊「経営財務」の最新号(9月12日号)で知りましたが、ネットワーク・システム・ソリューションを業とする株式会社構造計画研究所さん(JDQ)が同社の元取締役による不正支出があった旨を8月30日にリリースされております。

リリースによると、同取締役は 「平成13年9月より本年3月までの10年間にわたり、合計49百万円の収入印紙を会社経費にて購入し、自ら保管するとともに随時、うち45百万円分を小分けにしながら金券ショップ等に持ち込み遊興費等に流用していた」 というもの。すでに同取締役は辞任され、実損害額も全額回収されたそうであります。回収した損害額の内41百万円は特別利益(受取損害賠償金)、残りの4百万円は販管費戻入れに計上するそうです。

ところで(経営財務さんも関心を持たれているようですが)本件において、同社では自社の内部統制システムを

「一般的な水準を充たしており、また、本件不正が内部通報によって発覚し、調査委員会の調査により不正の内容を解明して損害額を全額回収することができたことを考慮すれば不正に対するチェック機能は有効に機能している」

と評価しておられます 。いわば、不正発見のためのシステムが早期に機能したために、内部統制に重要な問題があったとは評価していないというものでして、(職務分掌、ローテーション、ダブルチェックシステム等の)作業確実実行力に不備があったとしても、不正早期発見力が機能してモニタリングシステムが代替装置としての役割を果たすことに着目したものと言えそうです。(ただし、迷える会計士さんからご指摘のありますとおり、10年間、不正が発見できなかった、ということであれば、「早期発見」といえるかどうかは疑問があります)

2011年4月18日のエントリ「㈱大水社の内部統制システムは進化したか(二度目の不適切取引の発覚)」におきまして、私は

大水社(大証二部)の二度目の不適切取引の発覚については、自社の内部監査部門が「異常な兆候」を自ら発見し、非定例の調査を進め、架空循環取引の事実を把握したことによるものであり、これは同社の「自浄能力」が機能したものであり、内部統制が進化したものと評価できる

と述べましたが、今回も会計不正による被害が大きくなる前に、自社の不正発見力によって異常な兆候が把握され、社内調査委員会によって役員の不正を突き止めたものとして、構造計画研究所さんの自浄能力が機能したものと評価してよいのではないかと思います。こういった「自浄能力」を考える場合、会計不正を早期に解決したがゆえに「公表まで必要かどうか」といった論点も出てくるわけですが、同社は本件不正の処理がすべて確定したことから対外公表に踏み切った、としてその必要性、公表時期についての検討もなされた様子であります。

会計不正事件が発覚するも、自浄能力が失われていないことを対外的に示して、その信用回復措置を講じる、というスタイルが、これからも増えてくるのではないでしょうか。

9月 14, 2011 内部統制の事例検証 | | コメント (2) | トラックバック (0)

2010年11月26日 (金)

米国における財務諸表不正の減少とSOX法の影響

昨日のエントリーにて、「ラウンド・テーブルに行けなかった」と書きましたところ、数名の心温かい参加者の方々より、メールにてご報告を頂戴いたしました。なんとなく、雰囲気は理解できたように思います(どうもありがとうございましたm(__)m)また本日は金融庁企業会計審議会内部統制部会が開催されたそうで、すでに資料等が金融庁のHPにアップされております。

先日お会いした某上場会社の社長さんが、

「よく世間で『ガバナンスを改革したら、業績が向上するという実証例はない』などと言っておられるそうだが、そんなもの当たり前ですよ。業績が向上するためには良いタネ(ビジネスモデル)があって、そこに良いガバナンスがあるから育つ(業績が上がる)のですよ。でも、どんなに良いタネがあっても、ガバナンスが悪ければ業績は上がるわけないのです。つまりガバナンス改革とは、良いタネが育つための土壌作りなんですよ。だから時間がかかるのは当たり前だし、タネの検証もしないでガバナンスだけで業績が上がるわけないじゃないですか。」

とおっしゃっておられました。思うに、内部統制もガバナンス改革と同様、それだけで有効性や効率性が向上するわけではなく、内部統制を活用する人間も向上しなければ影響は出てこないのではないか、と思います。今回の内部統制報告制度の「運用見直し案」をみておりますと、すでに私の周囲でこれまで一生懸命J-SOXに取り組んでおられる企業担当者の方々は、(見直し案がなくても)すでに担当監査法人と見直しに関する協議済みのものも多いように感じております。つまり内部統制の簡素化・明確化の趣旨を十分に理解できる人間も、次第に増えてきたと思いますし、また現場にも浸透している中小上場会社もあるのではないでしょうか。たぶん、中小の上場会社の場合、内部統制も不祥事の早期発見力と同様に「人」に依存するところが大きいと思われます。

また最近、米国のACFE(公認不正検査士協会)から、非常に興味深い報告書(職業上の不正と濫用に関する報告書2010年版)が出ておりまして(日本のCFE資格保有者の方はHPで日本語版も閲覧できます)、そこでは、米国における2008年と2010年の財務諸表不正に関する件数や被害金額に関する統計、分析結果が出ております。この比較図表によりますと、2006年1月から2007年12月までの財務諸表不正の件数に比較して、2008年1月から2009年12月までの件数は約4割にとどまっております。調査規模はほとんど同じですから、ここ数年で米国では財務諸表不正の件数がかなり減少していることがわかります。また、財務諸表不正に限らず、汚職、資金横領のいずれにおいても、今回の調査は2年前の調査時と比較して、企業の平均損失額が大きく減少していることが報告されております。(調査結果は米国企業のみに限る)

たとえば財務諸表不正を例にとりますと、不正発覚の時点は、発覚の2~3年前頃の犯行についてのものと思われますので、米国SOX法導入時期から数年は(SOX法の施行が)あまり不正発生件数に影響はなかったもののようでありますが、2006年、つまりSOX施行から3年ほどが経過して、いまの日本と同じように緩和策がとられたころから、企業に浸透し、その結果が今回のACFEの報告結果に至ったのではないかと。本気で会計不正事件防止のための対策を講じたこと、そして数年を経て「緩和策」を検討するなかで、SOX対応が企業に浸透してきたことが、結局のところ大きな不正抑止の効果につながったのではないでしょうか。ちなみに、このACFEの報告書によれば、標準的な組織(企業および官公庁)の場合、毎年職業上の不正によって収益の約5%は毀損している、と述べております。

要は知恵と汗を出して、監査法人さんと徹底的に協議を重ねる・・・、そんな企業の担当者の方々は、すでに改正案にあるような簡素化・明確化は進んでやっておられるように感じておりますし、現場にもプロセスが浸透しているように思えるのであります。だからこそ、不正のトライアングルのひとつである不正の「機会」が減少し、効果的な不正抑止が図られるようになるのではないか、と考えております。

11月 26, 2010 内部統制の事例検証 | | コメント (5) | トラックバック (0)

2008年9月26日 (金)

アクセス社の「ガバナンス評価委員会」の役割とは?

先日の「全社的内部統制の重要な欠陥判断はむずかしい」のエントリーにつきましては、多数のコメントをいただき、本当にありがとうございました。また、丸山満彦先生には背中を押していただくようなエントリーも書いていただき恐縮です(笑)本日も、全社的内部統制にすこしばかり関連するようなエントリーであります。

粉飾決算(有価証券虚偽記載)および特別背任容疑で元代表者および前代表者が起訴されている大阪のシステム開発会社アクセス社でありますが、本日(9月25日)、社外調査委員会報告の最終答申書とともに、企業風土の改善を目的として「ガバナンス評価委員会」を新たに設置することを発表しております。(当初の委員は社外調査委員会の著名な先生方がそのまま横滑りで就任されるようであります)すでに法務・会計アドバイザーを擁した社内調査委員会が6月の時点で「ガバナンス評価委員会設置」の必要性を提言されておりましたが、不祥事を起こした企業の風土を改善するために取締役会における重要な意思決定に事実上の影響力を有する機関として、このような委員会を設置するというのは極めて珍しいケースではないでしょうか。買収防衛策の一環として有事に機能する社外独立委員会とは、かなり様相を異にするようであります。(現時点におけるアクセス社自体が「有事」にあたる、という見方もあるかもしれませんが・・・)

ちなみに、上記ガバナンス評価委員会の主たる役割は、①依然として34%の株式を保有し筆頭株主の地位にある元代表者の不当な影響力を排除する(取締役候補者の適否を評価し、意見を取締役会に述べる)②元代表者に対するアクセス社からの損害賠償請求訴訟の内容、提起時期等についての見解を示す、③ブラック・ナイト、グリーンメイラー等、株主共同の利益を害する、あるいは会社のガバナンスに悪影響を及ぼす者が株式を保有しようとする場合に、適切な対抗措置をとるように勧告をする、④ガバナンスに関する改善、実効的な内部統制の実施等について監督、監視する、というものでありまして、どれも非常に興味深い内容となっております。とりわけ、社外調査委員会はこのガバナンス評価委員会に対して

「再生アクセス社については早急に元代表者の影響力を排除する方策がとられる必要があることから、元代表者が保有する株式を第三者に譲渡させることを勧めたり、場合によっては提携先企業への第三者割当増資などの方策の検討も視野に入れる必要がある」

とされております。(最終答申書P6参照)

とても興味深いものではありますが、経営者の株式保有の面からの支配力が強く、他の取締役らが意見を述べることが困難なほどに経営にも影響力を持つ・・・というだけで、こういったガバナンス評価委員会がどこの企業でも「企業風土を改善するために」有効に機能するかどうかはわからないところだと思います。おそらくアクセス社の場合には、取締役の行動にきわめて透明性、公正性が要求される場面が今後予想されることから、こういった手法で切り抜ける必要が強いことによるものではないでしょうか。たとえば、場合によっては提携先企業への第三者割当増資などの方策も検討されるようでありますが、昨年の日本精密事件(さいたま地裁決定平成19年6月22日)や、本年6月23日のクオンツ事件(東京地裁決定)の裁判例の流れからしますと、株主の在り方を実質的にコントロールするための第三者割当につきましては、会社側にとってかなり実行しづらい状況になっております。また元代表者との株式譲渡に関する話を進めながら、一方で会社側より元代表者に対して損害賠償請求に関する提訴を検討するということでありますと、個別株主に対する「利益供与」の問題や、株主平等原則との抵触可能性など、いくつかの会社法上のかなりナーバスな問題点をクリアする必要が出てくると思われます。そういった法律上の問題点を厳格に判断しながら最終的な取締役会としての意思決定を行うためには、どうしても、こういった法務や会計に精通された社外委員が深く関与せざるをえない状況にあるのかもしれません。

ただ、こういった社外委員によるガバナンス評価委員会が、恒常的に長い期間存在する、というのもどうかなぁ・・・とも思いますね。むしろ本来的には社外取締役や監査役こそ、こういった透明性、公正性確保のために活躍すべきではないでしょうか。そもそも本当に企業風土を改善する必要があるのであれば、社外取締役を複数名導入したり、監査役(会)の地位を強化する方向で検討されるべきであり、真のガバナンスの変革のためには、本件ガバナンス評価委員会の皆様には、こういった恒常的な組織強化にもご尽力いただければ・・・と思う次第であります。

9月 26, 2008 内部統制の事例検証 | | コメント (0) | トラックバック (0)

2005年8月10日 (水)

内部統制の事例検証

月間「監査役」8月号から、内部統制システム研究で著名な鳥羽至英(とば よしひで)早稲田大学教授の「内部統制事例検証」の連載が開始されました。今回は東京電力原発点検記録改ざん事故に関する検証がなされており、改ざん発覚後の内部統制システムと改ざん当時の統制システムとの比較、および関与した人達への法的責任問題などが非常にわかりやすく説明されています。こういった企業不祥事の調査研究報告は、季刊誌「コーポレート・コンプライアンス」などでも詳細な解説が掲載されております。こういった解説を読みますと、統制環境(たとえば会社の社風やトップのコミットメントなど)が不祥事発生について大きな原因となっていることがよく理解できます。

私自身もすでにエントリーで少し書いたことがありますが、関西のある企業の不祥事をきっかけとして設立された「コンプライアンス委員会」で事故調査をしたことがありますので、こういった不祥事発生原因の調査報告書や改善提案書などを参考にしたことがあります。

関係者からのヒアリングや、膨大な資料の解読など、その調査に向けるエネルギーは相当なものなんですが、ちょっと私としましては、事故発生直前と調査後の内部統制システム変更ということで不祥事の再発が防止できるほど甘くはないなあ、と考えております。といいますか、私の場合、たとえ不祥事が発生したとしても、従前の内部統制システム自体を「目にみえる形で」変更する必要がないのでは・・・と思えるときもあります。なぜなら、たまたま新聞報道されるような企業不祥事が1件発生したとしても、それまでに、そのシステムによって10件ほどの「不祥事原因」を未然に防止した経験があるのであれば、それは「かなり良質の内部統制システム」であって、たまたま発生した1件によって「出来の悪いシステム」とはいえないのではないか、と考えるからです。

企業不祥事研究を読んでいて、よくあるパターンは過去の事実を分析して、内部統制に問題があったか、あったとすればどこに原因があるか、それを現在はどのように改善したのか、というものです。こういったパターンだと、内部統制システムの構築状況に目がいくことが多く、その運用状況に目がいくことが少ないように思います。たとえば、不祥事防止のために内部統制システムを構築して3年ほどは、誰もが運用に注目していたために不祥事が発生しなかったけれども、その後錯覚してしまって「このシステムがあるなら不祥事は起きない」と安心してしまうのではないか、その安心のためにレビューがおろそかになってしまい、誰もシステムの運用状況に気をつけなくなったころに「粉飾」「改ざん」などが発生してしまい、社内でも発覚しなくなってしまうのではないか、と想像できます。

実際に立派なシステムをすでに構築している企業も多く、そんなシステムによって不祥事の種を未然に摘み取っているケースも多いと思います。したがって、そのようなシステムのもとで不祥事が発生したからといって、かならずシステム自体を見直す必要はないと思います。もちろんこの「システム」という言葉のなかに、毎年の運用監視まで含めるとすれば、その見直しは検討する必要があるとは思いますが、「もっと文書化を厳しく」とか、「専門の部署を設立する」とか、そういった組織的再編を意味するということを指すのであれば、ちょっとそれ以前にやっておくことがあるんじゃないかな・・と思うわけです。むしろ、誰が担当者(責任者)の時代にどのような運用をしていたのか、内部監査報告というのは誰が誰に報告していたのか、システム改善策というものは誰の時代に提案したのか、していなかったのか、など時代ごとのシステム監視の「区切り」を丹念に調査することが最大の課題だと思います。

とりわけ、内部統制システムの運用状況の監視などは、今後内部通報制度の整備と不正監査士のような独立外部の人間を採用することが必要だと思います。その企業における「リスクの発生する危険性の高い場所」を特定して、外部監査人のもとで調査を行い、保証表明を得ることは、その企業の価値を高めることになると思われますし、広報活動としてもアピールしていいと思われます。外部監査人のチェックを受けること自体、もし隠したい不祥事があれば証拠隠滅工作を行わなければなりませんし、そのことが不祥事隠しについての抑止的効果を有することになるからです。

企業に不祥事が発生していないとき、その企業の内部統制システムが有効に機能しているからなのか、それとも「たまたま幸運なことに発生していないだけのこと」なのか、それは検証してみないとわからないですよね。でもこの検証は「人間をみつめる検証」であるがゆえに、不祥事が起きた後の検証よりもさらにムズカシイ作業であることをご理解いただけたら、と思います。

8月 10, 2005 内部統制の事例検証 | | コメント (2) | トラックバック (0)