【Proact’s View Vol.15】不正の「発見統制」を強化し、その有効性を検証せよ!
Points of View
- 発見統制の不備を示す銀行と生保の事案
- 4つの日付を管理せよ
- 2つのエスカレーション・ラインを管理せよ
- 経営に対する現場の信頼感を醸成せよ
- そのための2つの方策(不正発見型アンケート、バッドニュース・サンクス)
- 人的資本経営を推進するために
銀行4年半、生保18年
これらの年数は、三菱UFJ銀行の行員が貸金庫から顧客資産約14億円相当を不正取得した事案と、第一生命保険の社員が顧客から金銭約19億円を不正取得した事案で、不正の開始から発見に至るまでに要した年数です。
我が国を代表する金融機関で行われた不正が、なぜこれほどの被害規模になるまで、長年にわたり「発見」できなかったのでしょうか?
内部統制は、不正を未然に防止する「予防統制」と、発生した不正を早期に発見して是正する「発見統制」のコンビネーションからなる、というのが筆者の持論です。2つの事案では、明らかに発見統制に不備があったといえます。
会社が生身の人間で組織されている以上、不正を完全にシャットアウトすることはできません。犯罪や火事のない町を作れないのと同じです。したがって、発見統制を強化して、不正により被る被害の最小化(ダメージコントロール)を図る必要があります。
生保の事案についていえば、最初の1億円で不正を「発見」できていれば、残りの18億円は「予防」できたのです。早期発見こそが最大の予防策であることが理解されます。
不正について再発防止措置をとるのであれば、なぜ未然に防止できなかったかという予防統制の不備のみならず、なぜもっと早く発見して是正できなかったかという発見統制の不備についても、しっかりした再発防止措置を講じ、発見統制をより強化する必要があります。
では、発見統制の強化に取り組む際に、どのような施策が考えられ、その有効性をどのように検証したらよいか、以下に解説します。
4つの日付を管理せよ
発見統制の有効性を検証するには、会社が認知した不正について、4つの日付、つまり【①不正が開始された日→②不正を上長が認知した日→③不正を経営層やコンプライアンス部門が認知した日→④不正が是正された日】を管理する必要があります。
①~②が長ければ、上長のインシデント発見能力を鍛える研修を行います。②~③が長ければ、上長に経営層やコンプライアンス部門への早期伝達の必要性を理解させる研修を行います。
4つの日付間の日数を短縮することが、目指すKPIとなります。定期的に日数の平均値を算出して、日数がどれだけ短縮されたかを確認することで、発見統制が強化されたかを検証することができます
2つのエスカレーション・ラインを管理せよ
現場から不正に関するリスク情報がエスカレーションされるラインには、職制上のレポートライン(メインライン)と内部通報制度(ヘルプライン)の2つがあります。
発見統制というとヘルプラインの話に飛びついてしまう実務家が多いのですが、現場のリスク情報は、メインラインを通じて中間管理層を経由して経営層やコンプライアンス部門にエスカレーションされるのが、本来組織が予定する情報伝達です。
ヘルプラインは、メインラインが何らかの理由(中間管理層による不正が典型)により目詰まりした際のバイパスラインという位置づけであり、リスク情報のエスカレーションは2つのラインから成り立つことを理解すべきです。
発見統制の有効性を検証するには、認知した不正について、メインラインから何件、ヘルプラインから何件エスカレーションされたかを定期的に集計して比較することで、2つのラインの有効性を検証することができます。
もし件数がヘルプラインに大きく偏っていたならば、それはメインラインの不備を疑わせる兆候であり、メインラインの中核となる中間管理層に対する研修を強化します。
メインラインが主として機能し、ヘルプラインがそれを補完する形で従として機能するのが、目指す理想像です。
経営に対する現場の信頼感を醸成せよ
コンプライアンス業務に従事する方々が、コンプライアンス部門への早期報告や内部通報制度の有効利用を目指して、不断の努力をされておられることは十分に承知しています。
しかし、コンプライアンス部門への報告や内部通報を社員に義務づけるような社内規程を作ったり、内部通報制度の周知に努めたとしても、それだけで発見統制が強化されることはありません。
情報伝達には健全な「インセンティブ」が必要です。現場からリスク情報を伝達したら、経営者はそれを真剣に受けとめて経営資源を投入して早期に解決してくれるはず、という経営への「信頼」がなければ、現場がリスク情報をエスカレーションすることはありません。
したがって、何よりも経営者が、「現場のリスク情報を本気で欲している」「現場の問題・課題に強い関心を寄せている」という姿勢を現場社員に繰り返し見せつけ、「この経営者なら真剣に受けとめて解決してくれるはず」という信頼感を醸成することが、発見統制強化の最大のカギになります。
そのための具体的な方策として、2つご提案します。
不正発見型アンケート
1つは、「不正発見型アンケート」を実施することです。単なるコンプライアンス意識調査ではなく、現場の不正情報を直接掴みに行く形のアンケートです。
コンプライアンス報告や内部通報に二の足を踏んでいる社員に対して直接質問をぶつければ、普段から問題意識を持っていた社員は「よくぞ聞いてくれました!」とばかりに多くの情報を回答してくれます。
回答者の心理的安全性を高めるために、内部通報の外部窓口と同じような建付けにして、回答者の匿名性や安全性を守ることをアピールすることも一案です。
アンケート実施の副次的な効果として、「うちの経営者は不正情報を真剣に欲しているんだ」という理解が現場社員に拡がることで、その後コンプライアンス報告や内部通報が増えるという傾向が見られます。
バッドニュース・サンクス
バッドニュース・ファーストという言葉はよく聞きますが、筆者が数か月前にある実務家から教えていただいた言葉が「バッドニュース・サンクス」です。
現場のリスク情報をエスカレーションしてくれた社員に対し、経営者や中間管理層が、「ありがとう!あなたのおかげで現場の問題・課題がよく理解できました、あとか経営資源を投入して解決するから任せてください」という態度で接することを示す言葉です。
経営者と中間管理層がこのような態度で部下に接することで、リスク情報のエスカレーションは強化されます。
人的資本経営を推進するために
現場の社員が出来心で始めた不正を早期発見できなければ、会社は不正の「機会」を提供したことになり、やがて大ごとになってから認知した時点では、行為者を組織から「排除」せざるを得なくなります。
ハラスメント事案を早期発見できずに被害が深刻化してしまえば、会社は、被害者と加害者の双方を失うことにもなりかねません。
こうした事態を避けるため、経営者は「大切な人的資本である社員を不正から守る」という姿勢で、発見統制の強化に鋭意取り組んでいただきたいと思います。