ニューノーマル時代のコンプライアンス

第3回 法規制違反の未然予防における根本的な間違いと対応策

危機管理・内部統制
水戸 貴之 KPMGコンサルティング

目次

  1. はじめに
  2. 未然予防策に取り組む前提
  3. 未然予防策の各論
    1. リスクアセスメント
    2. 方針・手続
    3. 研修・コミュニケーション
  4. 小括

はじめに

企業が直面する環境変化を象徴するコロナ禍、ESG/ SDGsは、企業に求められるコンプライアンス対応にも大きな影響を与えています。
本連載では、上記の環境変化により発生するリスクに適応するためのコンプライアンスのポイントを、KPMGコンサルティングのコンサルタントが解説します。

今回は、前回に引き続き、第1回の記事でご紹介した、各国の規制当局にて発行されているコンプライアンスガイドラインをとりまとめ、KPMGのグローバルでの実績を踏まえたアレンジしたKPMGコンプライアンスプログラムフレームワークの構成要素ごとに、対応のポイントを紹介していきます。

前回は、各種コンプライアンス施策の基盤となるガバナンス・企業風土について取り上げました。今回は、法規制違反の未然予防について取り上げます。各種ルールの整備、研修の実施などは、未然予防策の代表例といえます。こうした取組みは、コンプライアンスに関する取組みとして最も想起しやすく、着手しやすい一方、その効果を実感しづらい施策となっています。
その背景にある、各企業でよく見られる未然予防策の課題と対応策を解説します。

未然予防策に取り組む前提

前述のとおり、未然予防策としては社内規程等のルールの整備、それを伝達する手段としての研修が代表的です。一方、各国の規制当局にて発行されているコンプライアンスガイドラインを参照すると、そうした取組みの前提として、リスクアセスメントを行うことが求められています。

リスクアセスメントの定義は、各種ガイドラインにより異なるものの、おおむね、リソースや時間の配分を決めるために、リスクを特定・分析・評価したうえで対応の優先順位付けを行うこととされています。

たとえば、米国海外腐敗防止法(Foreign Corrupt Practices Act, FCPA)にかかるガイドラインであるFCPA Resource Guideでは、リスクアセスメントは強力なコンプライアンスプログラムの基盤であること、リスクアセスメントを踏まえない「One-size-fits-all(汎用的)」のコンプライアンスプログラムでは、低リスク領域に過剰にリソースが投入され、高リスク領域のケアが不十分となり無効なものとなると記載されています。闇雲に法規制違反の予防を進めても効果が薄く、事業や各種業務に潜む具体的な法規制違反リスクを見定めて、そのリスクを念頭に置いた取組みを進めることが肝要といえます。

単に法規制違反により「多額の罰金が発生する」、「事業に悪影響が出る」といったことを強調するのみでは、具体的にどのようなアクションを起こすべきかが従業員に伝わりません。筆者の経験でも、従業員が「法規制違反は悪いことと」知りながらも違反せざるを得ない状況に追い込まれ、法規制違反が発生してしまうことが多いと感じます。法規制違反につながるリスクがどのような場面に存在するかを整理し、ルールや研修を考えることで、はじめて現実的な未然予防策となっていきます

未然予防策の各論

リスクアセスメント

(1)よく見られる課題

  • 事業理解を踏まえない検討不十分なリスクアセスメント
    FCPA Resource Guideで言及されているような巨額の入札案件、コンサルタントなどへの疑義ある支払い等に焦点を当てず、低額の接待・贈答対策のみを贈収賄規制対策として重視するといった取組みは、残念ながら、多くの企業で見られます。
    また、M&Aは、企業グループを人体にたとえれば、いわばまったくの異物を体内に取り込むことに等しいにもかかわらず、十分なリスクアセスメントがなされず、あとで重大な法規制違反が判明するケースが多く発生しています。このことは、日本企業のM&Aへの苦手意識をさらに深める原因となっているといえます。

  • サイロ化したリスクアセスメント
    程度の差こそあれ、国を問わず、「法規制は遵守すべきものであり、法規制違反にはリスクがあるもの」と考えられています。それにもかかわらず、法規制違反が後を絶たないのはなぜでしょうか。それは、別のリスクとの兼ね合いによるところも大きいといえます。
    たとえば、贈収賄のケースを考えてみます。税関や税務調査対応において不備等を指摘され、納期への悪影響を回避するために贈収賄を行うケースは、実際に多く見られます。これはすなわち、法務・コンプライアンスに関するリスクでありながら、財務・税務部門が関わるリスクとも深いつながりを有しているといえます。このような点が意識されず、部門・機能ごとにリスクアセスメントを行ってしまい、有効な施策が策定できていない例が多数見られます。

(2)課題への対応策

  • バリューチェーンを踏まえたリスクアセスメント
    一連の事業活動(購買→製造→出荷→販売→サービスなど)とそれを支える管理活動全般(人事・労務や法務・コンプライアンス、技術開発など)に潜むリスクを、企業として価値を創出していくためのバリューチェーンに則して把握・評価することで、リスクの具体化、それに伴う効果的なリスク低減策の検討が可能となります。たとえば、情報管理については、どのような場面で自社の営業秘密を他者に共有し、他者の営業秘密を預かることになるのか、またどの部署で共有するのかなどを明確にしやすくなるため、統制施策の検討が容易になります。

  • 複数部門、特に財務部門との連携
    バリューチェーン全体を見渡したリスクアセスメントにより、連携すべき部門やリスク対策の中身が明確になります。そのなかでも贈収賄規制違反をはじめ、各種コンプライアンス違反には金銭が関わるケースが多いこと、また、財務諸表の信頼性に関わる内部統制の整備・運用や連結財務諸表の作成・監査等で、海外子会社等と定常的に連携していることから、財務・経理部門との連携は、法務・コンプライアンスリスクへの対応において必須と考えます。

方針・手続

(1)よく見られる課題

  • 場当たり的なルール整備
    前述のとおり、未然予防策として、ルール整備は最初に思いつきやすい事項であるため、真っ先に検討を進める企業は少なくありません。しかし、規程全体の体系を踏まえず、目の前にあるリスク、あるいは経営陣からの指示に応じた規程のみを制定してしまい、従前から存在する規程との優先関係や重複についての整理がおろそかとなり、かえって混乱を招いてしまう例が散見されます。ここまで見てきたとおり、コンプライアンスに関わるリスクには、財務・経理に関連するものも含まれます。当然、各拠点の既存ルールとの重複が発生するため、それらとの調整を前提にした検討を行う必要があります。

  • グローバル共通ルールと現地事情との調整不足
    特に海外子会社を含むグループ全体でのルールを検討する場合、方向性を揃えた対応を取るために、グローバル共通ルールを策定すること自体は必要でしょう。しかし、共通化する内容の粒度については注意する必要があります。たとえば、贈賄防止にかかる統制として、接待の承認にかかる金額基準をグローバル共通で「1人1万円」などと設定してしまうと、物価水準が低い国では不正の意図があると疑われかねない多額の接待が可能となってしまいます。あるいは、公務員との会食を「一律禁止」としてしまえば、国によっては事業運営が円滑に進めづらくなることもありえます。

(2)課題への対応策

  • グローバルでの規程体系の全体設計
  • まずは、グローバルで共通化できるもの、現地事情に合わせてカスタマイズが必要なものを区分します。そして、図表に示すようなグローバルでの規程体系の全体設計を行ったうえで進めていくことが望ましいと考えます。このことにより必要な規程の全体像が把握でき、取組みのゴールを見える化できるため、本社・海外子会社側の双方で予測可能性をもって対応を進めることができます。

グローバルでの規程体系イメージ

グローバルでの規程体系イメージ

  • 現地事情との調整
    グローバルでの規程体系を踏まえて、規程レベル・マニュアルレベルについては、サンプルを作成したうえで、基本的に海外子会社ごとにローカライゼーションを行うことになります。誰がローカライゼーションを行うかが問題となりますが、海外子会社側では十分なリソースがないことが一般的であるため、リスクが高く海外子会社側での対応が困難と思われる拠点から優先順位付けし、順次、本社のコンプライアンス部門側で支援しながら整備を進めていくことが求められます。

研修・コミュニケーション

(1)よく見られる課題

  • 研修の効果測定の対象
    米国司法省が公表しているコンプライアンスガイドラインであるEvaluation of Corporate Compliance Programsでは、「研修と情報伝達」の項目にて、「How has the company measured the effectiveness of the training?」すなわち、「トレーニング(研修)の効果をいかに測定しているか」という問いを含んでいます。研修の理解度を確認することは当然として、本来の研修の目的であるコンプライアンスリスクの低減効果につながる、コンプライアンスプログラム全体の機能向上を確認する必要がありますが、そこまでの取組みを実施している例は多くありません。

(2)課題への対応策

  • 指標の設定
    前述のとおり、研修の目的をコンプライアンスプログラムの機能向上とする以上、コンプライアンスプログラムの理解度を問うことが考えられます。たとえば、役職員の理解度が機能の有効性を大きく左右する、内部通報制度について確認し、その理解度と通報件数の相関を見ることは一案です。実際に、そうした取組みを行っている企業もあります。一方で、内部通報の件数は、通報すべき事案の有無等、他の要因によっても大きく左右されうるため、あくまで参考指標としつつ、研修のテーマごとにコンプライアンスプログラムのチェック・改善につながる指標を設定することが重要です。

小括

連載第3回にあたる今回は、法規制違反の未然予防について、各企業でよく見られる課題と対応策を解説しました。第1回でも強調したとおり、これからのコンプライアンス対応では、コンプライアンス対応の全体像を把握し、全体最適を目指した対応を進めることが必須となります。今回取り上げた未然予防策は、多くの企業でコンプライアンスに関する取組みとして導入されています。しかし、リスクアセスメントの結果を踏まえたうえで実施しなければ、予防に偏重したコンプライアンス対応となり、コンプライアンス疲れの一因ともなりかねません。

前回もご紹介した、KPMGグローバルで作成した成熟度モデル(下表はリスクアセスメントの例)などを参照して、各構成要素のレベルを確認しつつ、取組みのバランスを図っていくことが肝要です。

Foundational Developing Intermediate Mature Advanced
①リスクアセスメントが行われていない ①場当たり的なアプローチ・サイロ化したリスクアセスメントが行われている

②いくつかの方法論は文書化されている
①組織横断的に、一定の方法論に則ってリスクアセスメントが行われている

②リスクや統制活動を包括的に特定できておらず、完全には統合されていない
①組織横断的に、一定の方法論に則ってリスクアセスメントが継続的に行われている

②法規制変更時に、規制要件からシステムコントロール・監視・テストまで、一通り、アップデートできるように、文書化・マッピングされた形で規制が適切に管理されている
①組織横断的に、一定の方法論に則ってリスクアセスメントが継続的に行われている

②法規制に基づく遵守事項の一覧が、法規制の変更に応じて自動的に、システムコントロール・監視・テストまで、一通り、アップデートできるよう整備されている

次回は、法規制違反とその兆候の早期発見について取り上げます。

BUSINESS LAWYERS COMPLIANCEのご案内

BUSINESS LAWYERS COMPLIANCEは、わかりやすく面白いドラマ形式のオンライン研修動画でコンプライアンス研修の実効性向上をサポートするサービスです。パワハラやセクハラ、下請法違反など、企業が陥りがちな違反ケースをそろえた動画コンテンツは、すべて弁護士が監修。従業員の受講状況や確認テスト結果などの一元管理も可能です。

詳しくはこちら

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する