長年のコンサルティング顧問としての豊富な経験に基づき、「コンプライアンス実務」の核となる内部統制とリスク管理の要諦について解説いたします。企業の持続的な成長と社会からの信頼獲得に不可欠なコンプライアンス体制構築に向け、その基本原則から実践的なアプローチまでを深掘りします。

私はこれまで、相続、著作権といった専門分野に加え、企業のコンプライアンス体制構築、経営リスク管理に関するご相談に数多く応じてまいりました。法律や経営といった社会科学のみならず、哲学思想や歴史、自然科学といった人文・自然科学分野への深い関心から得た多角的な視点も踏まえ、単なるルール遵守に留まらない、組織文化に根差した真のコンプライアンスについて考えてきました。

「『コンプライアンス実務』とは何か?」それは、組織が直面するリスクを効果的に管理し、法令遵守はもとより、倫理規範や社会からの期待に応え続けるための実践的な取り組み全体を指します。この実現には、いたずらに複雑な規程や体制を積み重ねるのではなく、シンプルかつ効果的なフレームワークの活用が鍵となります。

内部統制とリスク管理の基礎:法制度と歴史的背景

コンプライアンス体制の構築において、内部統制のフレームワークは非常に有効です。日本の法制度においても、官民双方にその重要性が位置づけられています。

  • 地方公共団体の場合: 地方自治法第150条において、内部統制に関する体制整備が義務付けられています。これは、行政自体が本来的に法令を執行する主体であり、その内部において法令遵守が内在的なものであることを踏まえたものです。総務省からも、地方公共団体向けの内部統制に関する様々なガイドラインや情報提供がなされており、これらを積極的に活用することが推奨されます。
  • 企業の場合: 企業における内部統制の議論は、1992年の米国COSO(トレッドウェイ委員会支援組織委員会)レポートが大きな契機となりました。日本では、その後の金融機関での不正事件などを背景に、当時の大蔵省(現:財務省)や金融庁が行政指導に取り込み、会社法改正等を経て、上場企業を中心に内部統制システム構築の重要性が定着しました(会社法364条等参照)。大和銀行事件に関する裁判例でも、内部統制システムがリスク管理体制そのものであるとの明確な認識が示されており、約30年以上にわたる実務の蓄積があります。しかし、近年においても、大手製造業グループ(ダイハツ、日野など)や貸金庫事件や億以上の横領・窃盗事件の発生の金融機関等で大規模な不正が頻発しており、その実効性を常に問い直す必要があります。

コンプライアンスは、単なる利益追求とは異なる、あるいはそれ以上に重い、組織にとってかけがえのない価値です。社会や株主を含む様々なステークホルダーからの信頼(信認)を得る経営の基本中の基本と言えます。

COSO内部統制フレームワークの活用

コンプライアンス目的を達成するための内部統制は、COSOフレームワークで示される5つの要素を中心に構築されます。

  1. 統制環境 (Control Environment): 組織の倫理観、誠実性(Integrity)、価値観(Ethical Values)など、組織の文化や風土を形成する基盤となる要素です。トップマネジメントの哲学や姿勢が最も重要となります。
  2. リスク評価 (Risk Assessment): 組織目標の達成を阻害する潜在的なリスクを識別し、分析・評価するプロセスです。コンプライアンスリスクは、個人の自由な選択や倫理観にも関わる厄介さを持つため、特に注意深い評価が必要です。
  3. 統制活動 (Control Activities): リスクを低減するために組織内に設けられる具体的な方針や手続です。承認プロセス、物理的な統制、職務分掌などが含まれます。
  4. 情報と伝達 (Information and Communication): 内部統制を有効に機能させるために、必要な情報が適切に識別、収集、伝達される仕組みです。正確な情報の流れと、責任者や関係部署への適切な報告体制が重要です。
  5. モニタリング活動 (Monitoring Activities): 内部統制が設計通りに運用され、有効に機能しているかを継続的に評価するプロセスです。内部監査や日常的な管理監督が含まれます。

特に、「統制環境」は全ての基盤となります。どれほど精緻なルールや仕組みを作っても、組織のトップや構成員全体の倫理観や価値観が伴わなければ、それは絵に描いた餅に過ぎません。これは、行動法学が示すように、ルールだけでは人間の行動は縛れないという普遍的な真理に通じます。

リスクマネジメントの実践:ISO 31000の考え方

内部統制は、突き詰めれば組織のリスク管理体制に他なりません。コンプライアンスリスクを含む様々なリスク管理には、ISO 31000などの国際的なフレームワークが参考になります。リスクマネジメントは、以下のプロセスを循環的に行うものです。

  1. リスクの特定 (Identification): 組織が直面する潜在的なリスクを洗い出します。業務効率性の低下、財務報告の不正確性、そして最も対応が難しいコンプライアンス違反など、組織の活動内容に応じた多様なリスクが存在します(製造物責任、食品衛生、個人情報漏洩、ハラスメント、独禁法違反など)。
  2. リスク分析 (Analysis): 特定されたリスクの発生可能性や影響度を評価します。
  3. リスク評価 (Evaluation): 分析結果に基づき、どのリスクに対応すべきかを優先順位付けします。
  4. リスク対応 (Treatment): 評価されたリスクに対して、回避、低減、移転、または受容といった適切な対応策を講じます。
  5. コミュニケーションと協議 (Communication and Consultation): リスクに関する情報を関係者間で共有し、協議を行います。
  6. 監視及びレビュー (Monitoring and Review): リスクマネジメントプロセス全体、および個別のリスクと対応策の有効性を継続的に監視し、見直します(PDCAサイクル)。

組織が拡大し、業務が複雑化するにつれて、トップや一部の管理者だけでは全てを把握しきれなくなります。内部統制やリスク管理システムが必要となるのは、このような状況下でも組織全体として統制を維持し、予期せぬ問題を未然に防ぐためです。現場任せにすると、組織全体の統一性が失われたり、問題が見過ごされたりするリスクが高まります。

リスク管理は、あらかじめ想定しているリスクだけでなく、パンデミックや大規模災害といった予期せぬ事態から生じるリスクにも対応できる柔軟性を持つ必要があります。

実務におけるコンプライアンス体制構築のポイント

具体的なコンプライアンス実務の対応として、以下の点が重要です。

  • トップのコミットメント: 何よりも、経営トップがコンプライアンスを経営の最重要課題と位置づけ、率先してその方針を明確に示すことが不可欠です。
  • 方針・規程の整備と周知: コンプライアンスに関する方針、行動規範、業務マニュアルなどを策定し、全従業員に周知徹底します。
  • 研修・教育: 定期的な研修等を通じて、コンプライアンス意識の向上と知識の習得を図ります。
  • 相談・内部通報窓口: 不正行為や法令違反に関する情報提供や相談を受け付ける窓口を設置し、その機能を強化します(外部委託なども含め)。
  • 人事評価への反映: コンプライアンスを遵守した行動を人事評価に適切に反映させます。
  • 正確な記録と管理: 業務の遂行状況や意思決定プロセスを正確に記録し、管理するシステムを構築します。これは、後々の検証や問題発生時の原因究明に不可欠です(単なるデジタルフォレンジック任せではなく、日常的な正確性が重要)。
  • 監督・監査の強化: 管理職による部下の業務チェック、内部監査部門による検証、社外取締役や監査役による監督機能を強化します。特に内部監査部門には優秀な人材を配置し、その独立性を確保することが望まれます。近年では、現場にコンプライアンス担当者を配置するなど、よりきめ細やかな体制を構築する例も見られます。

不正発生時の対応:初期対応の重要性

万が一、不正やコンプライアンス違反が発生してしまった場合、最も重要なのは初期対応です。過去の事例(タカタ、東電など)を見ても明らかなように、問題発生初期の対応の誤りが、その後の組織の信頼失墜や危機拡大に直結します。

不正発生時の対応ステップは以下の通りです。

  1. 迅速かつ誠実な初期対応: 問題を隠蔽せず、事実を認め、関係者や社会に対して誠実な姿勢を示します。
  2. 正確な事実調査: 社内外の関係者へのヒアリング、関連資料の分析など、徹底的かつ客観的な事実調査を行います。近年では、パソコンの履歴等を調査するデジタルフォレンジックも活用されますが、平時からの正確な記録が調査の質を高めます。
  3. 原因究明と責任追及: 不正の根本原因を特定し、関与者に対して懲戒処分を含む適切な対応を行います。日本社会においては、特に責任の所在を明確にすることが社会的な要請となる側面があります。
  4. 再発防止策の策定と実行: 特定された原因に基づき、実効性のある再発防止策を策定し、確実に実行します。複雑すぎる対策は現場で遵守されないリスクが高いため、シンプルでポイントを押さえた対策とすることが重要です。必要に応じて、社外の専門家を含む第三者委員会を設置することもありますが、その目的と範囲、委員会の構成には十分な配慮が必要です。

不正行為を繰り返す個人に対しては、組織の維持のためには、やむを得ず厳しい対応を検討する必要がある場合もあります。過去の事例(SMBCでの不当取引など)を見ても、コンプライアンス意識の欠如した個人の存在は、組織全体のコンプライアンス文化を損なう重大なリスクとなります。

具体的なコンプライアンスリスク

企業が直面する可能性のある具体的なコンプライアンスリスクは多岐にわたります。代表的なものとしては以下が挙げられます。

  • インサイダー取引(特に上場企業)
  • 粉飾決算、不正会計
  • 労働基準法違反(不払い残業など)、働き方改革関連法への不対応
  • 各種ハラスメント(パワーハラスメント、セクシュアルハラスメント、モラルハラスメント、育児・介護休業等に関するハラスメントなど)
  • 独占禁止法違反、下請法違反(談合、優越的地位の濫用など)
  • 個人情報保護法違反、情報漏洩(ベネッセ事件など)
  • 労働安全衛生法違反
  • 製造物責任法違反
  • 景品表示法違反(不当表示、過大な景品提供など)
  • 税務リスク(脱税など)
  • 贈収賄(国内・海外公務員等に対する贈賄、不正競争防止法違反)
  • 反社会的勢力との関係

これらのリスクに対して、個別の対策だけでなく、リスク管理のフレームワークに位置づけて組織的に対応することが求められます。

実効性のあるコンプライアンス体制とは

会社法において、取締役会での決議事項として内部統制システムの基本方針(いわゆる10項目決議など)が定められていますが、単に法律の条文を羅列するだけでは実効性のあるコンプライアンス体制にはなりません。

これまでの30年以上の蓄積を踏まえれば、やはり内部統制(COSOなど)やリスク管理(ISO 31000など)の確立されたフレームワークを基礎とし、そこに組織の特性や最新の状況(AIの活用可能性、新たなリスクなど)を反映させた体制を構築することが基本となります。

再発防止策についても同様で、詳細かつ膨大な報告書を作成するだけでなく、現場が理解し、実行できるシンプルで分かりやすい内容とすることが何より重要です。

この点において、私が参考にしているのが、警察庁が作成した「企業が反社会的勢力による被害を防止するための指針」とその解説です。これは10年以上前の文書ですが、その内容が非常に優れており、まさに内部統制のフレームワーク(統制環境、リスク評価、統制活動、情報と伝達、モニタリング)に沿って、反社会的勢力への対応策が具体的に示されています。経営トップの姿勢、リスクの識別(特に組織の弱みに付け込む手口への注意)、対応マニュアル、情報共有、外部専門機関(警察等)との連携、そして監査の重要性などが分かりやすく解説されており、コンプライアンス体制構築の良き手本と言えるでしょう。

コンプライアンスは、特定の弁護士や専門家に丸投げすれば良いというものではありません。組織自身が主体的にフレームワークを理解し、実践していく必要があります。

まとめ

本日は、コンプライアンス実務における内部統制とリスク管理の要諦について解説しました。法令遵守は組織存立の基盤であり、社会からの信頼を得るための必須条件です。COSOやISO 31000といったフレームワークを活用し、トップの強いコミットメントのもと、組織全体でリスクを管理し、予期せぬ事態にも対応できる柔軟で実効性のあるコンプライアンス体制を構築することが、現代の企業経営には不可欠です。

私、中川は、長年の経験と幅広い知見を活かし、貴社のコンプライアンス体制構築やリスク管理体制の強化をサポートいたします。相続、著作権、企業のコンプライアンス、事業承継など、法務・経営に関するご相談がございましたら、中川総合法務オフィスまでお気軽にお問い合わせください。

Follow me!