見出し画像

" 発生事実(不祥事/不正行為) " が発生しない上場会社の内部監査 Part. 12 - リスクの先取り/先読み -

 上場会社での発生事実(不祥事/不正行為)が跡を絶たない昨今、内部監査はその責務を果たすため、どのようにしたら良いでしょうか。
 直近事例を内部監査の目線でみていきます。



 今回ご紹介する直近事例は、大々的にニュース等で報道された火災事故に関する訴訟の事例です。これまで「 " 発生事実(不祥事/不正行為) " が発生しない上場会社の内部監査」のシリーズでは、不正行為等不祥事が発端・原因の事例を取り上げてきましたが、今回は外部委託先の業者による業務上の過失が原因の火災事故の訴訟を取り上げます。この事例は、内部監査の皆さんにとって非常に学びの多い事例ですので、皆さんと一緒に見て、考えてみましょう。

 今回の直近事例のポイントは、次のとおりです。

  • リスクは現場に潜んでいる。

  • リスクに偶然は無い。

  • 外部委託先の管理に内部監査の助力が必要。

 これらを内部監査の目線でみてみましょう。



直近事例から - 概要説明 -

【事案の概要】

 当該当社の物流センター内で火災事故が発生。その後の調査の結果、当該会社の資材の再生資源搬出先(以下「当該外部委託先」といいます)の従業員による車両の不適切な利用により火災を引き起こしたものと判明。この火災の鎮火には12日間を要し、同センター付近の近隣住民にも多大な被害があった。
 当該会社が被った損失は次のとおり。

  ・物流センター全損
  ・近隣住民に対する損害補償費用
  ・火災対応のための人件費
  ・代替物流センター開設費用
  ・販売機会の損失等間接的損失

 当該会社は当該外部委託先に対し、以上の損失の賠償等について複数回協議を重ねたが合意に至ることなく、当該会社は協議よる解決が困難であると判断し、訴訟の提起に至った。当該訴訟の第一審の判決は、当該外部委託先が当該会社に対して約52億円の賠償とその遅延損害金を支払うものであった。
 *原告側が請求した賠償金額は約100億円強とその遅延損害金。
 *第一審の判決までにかかった期間は約2年7か月間。

 この判決を受けて当該会社・当該外部委託先双方とも不服として控訴が提起され、翌年に控訴審判決が言い渡された、その内容は第一審の損害賠償額を大きく上回る約95億円とその遅延損害金を当該外部委託先が当該会社に対して支払うことを命じた判決であった。
 なお、控訴審の判決は上告又は上告受理申立て期間の経過により、同判決が確定した。

(出典:TDNETに掲載の某社リリース、総務省消防庁「平成29年版 消防白書」より要約)


 この直近事例は控訴審まですすんだ事例です。最終的には当該会社は賠償金を受け取る形になりましたが、金銭的にも金銭に表すことができない損失について十分に補填することができたものではないでしょう。
 結局のところ、リスクが事案・事故となって発生したとき、会社は損失を被ることとなります。

 ここで皆さんと学びたい点は、以下の点です。

  • 取引先・外部委託先に関するリスクをどのように洗い出しているか。

  • リスクの発生の可能性・影響度等の情報を、社内のどの範囲まで共有しているか。

  • それらのリスクに対して、内部監査はどのような対応を行うのか。

 この3点です。

 内部監査の皆さんは、他の部門のようにそれらのリスクに対する業務を直接遂行することはできません。しかし、内部監査の皆さんでもできることがあります。それは、内部監査を行うことで、会社がリスクと考えている事象について実際に発生しうるのか。発生するとしたらどの業務、どの作業工程なのかなど、実際に部門、拠点において業務・作業工程を見ることができ、そこで携わる従業員の皆さんからヒアリングを行うことができます。リスク管理部門・委員会等においても同様のことを行うと思いますが、内部監査はそれとは違った観点、切り口で内部監査、継続的モニタリングを行うことができますし、それらを行うことが本来の内部監査の業務と言うことができます。

 それでは、内部監査が会社のリスクに対してどのように見ていくかを考えてみましょう。



リスク管理部門・委員会との連携

 以前の記事「内部監査の在り方 Part. 01 - 内部監査とリスク管理との連携の重要性 - 」でご紹介しましたとおり、内部監査とリスク管理部門・委員会等との連携は非常に重要です。

 内部監査とリスク管理が連携する方法として次のようなことが考えられます。

  1. リスク管理で洗い出しされたリスクを、内部監査は内部監査の視点で業務監査、会計に関する監査を実施する。

  2. 内部監査が行なった監査の結果をリスク管理にフィードバックし、さらにリスク管理はその監査結果を踏まえたリスクの洗い出しを行う。

  3. 内部監査は業務監査等を実施した過程で、新たにリスクと思われる点を検出した場合、その内容をリスク管理に共有する。

  4. リスク管理は社外におけるリスク情報を元に、社内においてもリスクと思われる情報を内部監査に共有する。


 上記の内容は、内部監査とリスク管理の間を、監査結果やリスク情報が循環し、相互にそれらをもとにそれぞれ計画・行動・評価/検証・対策/改善を行ういわゆるPDCAサイクルのかたちを取りながら相乗効果を上げていくイメージです。このPDCAサイクルを回し続けて内部監査とリスク管理のそれぞれの働きにおいて相乗効果を上げることがなぜ必要なのかというと、リスクは会社の状況、成長等によって変化しますし、その変化によって発生可能性、影響度も変化します。その変化に常に対策を講じ、対応し続けることがリスク管理です。内部監査が行なった監査結果をリスク管理部門・委員会等に共有することで、リスク管理部門・委員会等はその情報を分析して会社のリスクの変化の状況が分かります。反対にリスク管理部門・委員会等はその分析結果に基づいて新たにリスクへの対策を講じて改善を図ることができます。その対策と改善内容を内部監査に共有することで、内部監査はその状況を内部監査する。このように内部監査とリスク管理部門・委員会等がそれぞれの役割を果たしてPDCAサイクルを回し続けるのです。これを回し続けると、内部監査とリスク管理部門・委員会等は会社のリスクの先読み/先取りが自然と行なえるようになりますので、会社にとってのメリットは大きいです。
 ちなみに、内部監査がリスク管理部門になり得ない理由は、内部監査とリスク管理部門・委員会等がこのPDCAサイクルを回し続ける関係性・連携があるからこそ「リスク管理」が成立すると考えます。



取引先・外部委託先に関するリスクの管理は難しい

 今回の直近事例では、外部委託先の従業員による車両の不適切な利用により火災事故が発生しています。このような取引先・外部委託先との取引におけるリスクをどのように管理していくか。とても難しいところです。おそらくこれらは通常、取引契約書の損害賠償条項を定めることと、事業者賠償責任保険の加入等でリスクを低減させることとなります。ただし、これはあくまでリスクを低減する対策であり、事案・事故の発生の防止・抑止の対策ではありません。事案・事故の発生の防止・抑止の対策は取引契約書上で「取引先・外部委託先の責任」として定めるに止まってしまうことがほとんどでしょう。
 そこで皆さんの会社ができる、取引先・外部委託先による事案・事故の発生の防止・抑止の対策は、その取引先・外部委託先の業務に対する監査の実施です。取引契約書の条項に監査条項を入れていると思いますが、大抵の場合は事案・事故が発生する可能性が非常に高い場合や実際に発生した後にこの監査を実施する場合がほとんどです。これを会社の取引先・外部委託先管理の一環としてしっかり定期的に実施している会社は少ないかもしれません。この点については、内部監査の皆さんはまず取引契約書に監査条項が定められていることを確認したうえで監査を実施すること。そしてその監査は不定期ではなく、定期的に実施し、通常社内の業務監査を実施するレベルと同等の監査を実施することをお勧めします。

 内部統制において、この外部委託先の委託業務の評価・監査はIT統制(IT全社統制・IT業務処理統制)において実施するものと思われがちですが、2023改訂版「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(企業会計審議会・金融庁)では、内部統制の有効性を評価する範囲の中に「委託業務の評価」を含まれています(参照:実施基準70ページ)。つまり、内部統制評価者である内部監査の皆さんは、IT統制に限らず内部統制の全プロセス・内部監査の観点でその評価・監査の範囲に「取引先・外部委託先の業務」を入れることがMustになると考えます。
 今回の事案・事故の発生原因となった「外部委託先の従業員による車両の不適切な利用」が今回1回限りならともかく、もし日常的にそのような不適切な利用が行われていたとしたら、内部監査の実施で見つけられたかもしれません。

 リスクが事案・事故の発生につながる予兆は、必ずあります。その予兆を見逃すことのない内部監査ができたら、こんなに素晴らしいことはありません。そのような内部監査が会社の業績と成長に大きく貢献できる業務と言えるでしょう。「リスクの先取り」は大切です。



取引先・外部委託先の管理に内部監査の助力が必要

 取引先・外部委託先の管理は、会社のガバナンスとして本来は取引先・外部委託先と取引を行う部門・部署が担当するものです。その管理の業務の一環として取引先・外部委託先の業務に対する点検・確認を行うと思いますが、あくまで業務に関わる法令遵守と業務の有効性及び効率性に専念していただくことが必要です。そうなると、例えばその取引先・外部委託先の業務に対する監査の実施となると、牽制機能の立場として内部監査の皆さんが行うのが良いでしょう。
 内部監査の皆さんが部門・部署に代わって取引先・外部委託先の業務に対する監査を行うことのメリットは、普段から取引先・外部委託先の業務を目の当たりにしていないことで先入観が無いことです。内部監査の皆さんにとって、監査の前に当たりを付けて(予測・予想を持って)監査を実施することは必要ですが、先入観をもって監査を実施すると、その業務状況の「なぜ良いのか/悪いのか。なぜそのような業務(手順)となっているのか。」という " 根本の原因(理由) " が見えにくくなってしまいます。内部監査として取引先・外部委託先の業務の有効性及び効率性を確認・評価するためには、根本の原因・理由を把握したうえで監査を実施することをお勧めします。そして内部監査の皆さんは、取引先・外部委託先の業務に対する監査の結果を取引先・外部委託先と取引を行う部門・部署に共有し、業務改善が必要であれば内部監査の皆さんはアドバイザリーとしてそれに助力することもできます。もちろん、この監査の実施の中でリスクが事案・事故の発生につながる予兆を検出することもあります。監査報告の中で又は別でも構いませんので、そのような予兆を検出した旨の情報を共有することはとても有益です。これらを行うことで、皆さんの会社の業務の有効性及び効率性を正確に評価できることに加えてこれらの向上、ひいては企業価値の向上に寄与につながるものとなるでしょう。「リスクの先読み」は大切です。
(*業務改善の主体は取引先・外部委託先と取引を行う部門・部署です。)


 内部監査の皆さんの業務の幅と範囲は、かなり広いです。会社の各部門・部署との連携の仕方や業務への助言・助力の仕方などの形はいろいろあります。ぜひ皆さんの会社の状況、求められている役割等に応じて各部門・部署との連携の仕方や業務への助言・助力の仕方などを検討し、内部監査の業務にあたることをお勧めします。



この記事が気に入ったらサポートをしてみませんか?