1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. コンプライアンスと危機管理(後編) ~監査法人トーマツ 丸山満彦氏に聞く~

コンプライアンスと危機管理(後編) ~監査法人トーマツ 丸山満彦氏に聞く~

 監査法人トーマツ エンタープライズリスクサービス部 パートナーの丸山満彦さんに訊く、「コンプライアンスの危機管理」。前回は、コンプライアンスの概念と危機管理とのつながりについて、また、日本の経営者のあるべき姿についてのご意見を伺いました。コンプライアンスとは、「社会から受けている期待」と「自分たちで決めてやろうと思っていること」を守ることだというお話でした。
今回は、丸山さんの普段のお仕事を通じて見えてくる「コンプライアンスで本当に大切なこと」について、監査の場では聞けない「本音」に迫ります。

監査法人トーマツ 丸山満彦氏

丸山満彦氏
(監査法人トーマツエンタープライズリスクサービス パートナー 公認会計士)

1992年、監査法人トーマツ入社。1998年から2000年にかけてアメリカ合衆国のDeloitte&Touche LLP デトロイト事務所に勤務。大手自動車製造業グループ他、米国企業のシステム監査を実施。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連の監査およびコンサルティングを実施して現在に至る。

コンプライアンスに何が大切か

★丸山さんは、普段、コンプライアンスに関連するお仕事をしているわけですが、そのような仕事を通じて見えることってありますか?

―そうですね・・・。たとえば、工場の中が整理整頓されている会社は品質事故も少ない、コンプライアンスもよくできているという傾向があるように思います(笑)。例えば、私はいつも傘立てに注目しています。晴れた日に傘たてを見にいくことにしているんです。晴れてる日なのに傘がたくさん置いてある!となる場合があります。そうすると次はデスクを見にいくわけです。そうすると、そういう会社はだいたいデスクに書類が散乱している。だいたいあたっています(笑)。仕事の仕方も見ていて、たくさんの仕事を同時にバーっとやってて、あれもこれもと中途半端にやっている人のデスクは散らかっている。一個一個きちっと片付けていけるような人は、デスクもきれいですね。 まあ、同じ会社でも部署によって違うし、同じ部署でも人によって違うので、一概にはいえませんが。往々にして、整理整頓ができているところは事故や不正が少ないことが多いように思います。

そういう部分は監査項目にはないですものね。

―傘立て不備、とか(笑)。会計監査のときはあくまでも決算書が正しいかという目でしか見ません。ただ、たまたま目についたときに「この工場ごみが散らかってるな」とか、つくりかけのものとか、工具が落ちてたりとかあって、「きっと決算も間違っているんじゃないかな」と思ってよくみてみると間違ってる、そういうことはありますよ。

★先ほどは経営者の覚悟のお話を伺いましたが、今のお話のように、逆に従業員のレベルから変えられることはありますか?

―挨拶です。

★挨拶!意外な感じがします。

―子供のころから挨拶は大切と教えられますよね。私も昔はなぜそんなことをいうのか全然わからなかったんです。でも今は挨拶が重要だと思います。
挨拶がない会社というのはコミュニケーションがない。コミュニケーションがないってことは、自分だけよくってもいいやっていう文化になってきます。挨拶してると、「お前なにしてんねん」とか突っ込みがはいりますよね。仕事中にそうやってコミュニケーションしていると、なにかまずいことをやってるときでも「お前そんなことしてていいのか」ということになる。
蛸壺(たこつぼ)ってご存じですか?だいたい事件が起こる会社というのは組織が蛸壷化してるんです。そこで不正が起きる。誰も監督できない。会社全体としてまじめにやろうとしても、工場長がそれを隠そうとしてしまったら、蛸壺ができてしまう。中でなにが起こってるのかわからなくなってしまう。 コミュニケーションがとれていて、「うちの工場でこんなことになってるけど、知ってる?」みたいな会話が工場を超えてあったら、「それはまずい」ということになると思うんです。そういうコミュニケーションの第一歩としてまず挨拶。
日本人って知らない人に対してはすごく警戒するんですね。知ってしまうと仲良くするんだけど。アメリカ人って誰にも挨拶するでしょ。そうやってコミュニケーションで計りながら、「この人大丈夫かな?」とか、「この人は問題ないな」とか、だいたいわかるでしょう。日本の場合、知ってる人とは仲いいけど、知らない人は知りません、関係ありません、ということになりがちです。そういう雰囲気が進むと蛸壷化につながるわけです。そこで事故が起きる。

★でも、うわべだけのコミュニケーションってありますよね。そういう時は内部通報するしかなくなるんじゃないでしょうか。

― 内部通報の制度だけあっても、信頼関係がなければ意味がありません。「言っても無駄だな」という空気の中では、あまり活用できないでしょう。そこに何が必要か、といえば、「言ったらちゃんと応えてくれる」という個人と会社の信頼関係だと思うんです。信頼関係をつくるには挨拶です。 だって自分が従業員生命をかけて通報したのに「何いってんねん」なんて言われて、首切られるような会社だったらいう気にもならないでしょう。
真剣にやろうとしている人に真剣に応えようとする会社じゃないとだめですね。コミュニケーションというのは、信頼関係をつくるもとになるものですから、ちゃんと挨拶ができてコミュニケーションが図れている会社になることが重要なんじゃないかなぁと思います。

公認会計士として思うこと

★監査法人は数字ばかり見ているというイメージがありますが、丸山さんのお話を聞いていると、数字以外の部分での言及が多いですね。

―監査をやっていて思うのは、不正を一個一個つぶしていくのはむなしい、ということです。 監査をしていると帳簿と現金が合ってなかったら、これは不正や、使い込みや、という話になるわけですが、実際、小さい些細な不正であることも多いんです。たとえば、経理担当が、数万円ほど、会社のお金をこっそり借りて、それを返すのが遅れてしまったとかね。それが悪くないとはいいません。ただ、出てきた不正だけを見つけて、あれは良いの悪いのと、そんな話ではなくて、裏にある仕組みというか、悪の仕組みを見なくてはいけないはずなんですね。
仮面ライダーにショッカーっているでしょう。ショッカーだけ倒していてもしょうがないわけです。ショッカーの製造元をなんとかしなきゃいけない、というふうに思うのです。でないと、次々とショッカーが現れてくる(笑)。つまり、死神博士を退治しなければならないわけです。組織の場合、ショッカーの製造元というのは、経営者ひとりじゃなくて、多くの人のちょっとした悪の気持ちが、重なりあって悪の権化となっている場合もあると思うんですね。いわゆる企業風土が悪い状態です。そういう意味では死神博士は人間のちょっとした悪い心が重なりあってできたのかもしれない、という風に思うようになりましたね。仮面ライダーは奥が深いなぁと思っています(笑)。

★なるほど。1つの不正をつぶしていっても解決にはならないということでしょうか。

―それだけじゃなくて、業務プロセスを見ても不正がみつからないケースもあります。 例えば、循環取引というものがあります。売上げを水増しするためにA社、B社、C社、A社、B社、C社と、どんどん売っていくんですね。循環取引はモノと伝票が一緒に動かない場合によく起こる不正行為です。例えば、カニを取引します。カニをA社からB社に売るけれど、カニ自体は倉庫にある。伝票だけはA社からB社に売ったことになっている。今度はB社がC社に売る。で、C社がA社に売る。A社がまたB社に売る。A社は同じカニを3回も4回も売っていることになります。こうして、どんどん売上げを吊り上げていくのが循環取引です。
こういうケースは、個々の取引だけを見てもわからないんです。個々の取引を見れば、契約書、受領書や預け在庫票など必要な書類が全部整っている。だから、文書化のプロセスを見て、それぞれに承認があることを確認しても、不正は見つかりません。最初から不正する意図があって仕組んでいるので、伝票だけ見ても不正を見抜けないんですね。

★そういう場合はどうするんですか?

―まず、仕組み、意図を見抜かなければなりません。そのためには、「きっかけ」をつかまなくてはいけない。循環取引のケースであれば、だいたい数社で組んでいるので、特定のお客さんに対する売上げがぐっと増えます。そして、特定の会社からの仕入れが増える。そこに目がいけば、「循環取引かもしれない」という想定ができます。特定の部門での売り上げが急増していることから気づく場合もあります。そうしたら、その取引ごとの利益率を見ます。循環取引の利益率は一般的に低いです。売上げ金額を増やすことが目的なので、実態と乖離した利幅になるわけですね。また、循環取引をしやすい特徴として、モノを動かさないというのもあります。モノを動かすと運送賃がかかるでしょう?運送賃をかけてまで循環取引をしようとはあまり思わない。そういう意味では、ソフトウェアの受注などを利用しても起こしやすいですね。
そういったことを考えながら、A社からB社へ、その次はどこへ行ったのか、と確認をとっていくと、全体像が見えてきます。こういう不正は、担当者レベルではなくて、上の人も絡んでいる場合が多いです。例えば、部門の売上げが伸びていない、ということを誰かから責められて、とか、取引先の資金繰りが厳しい場合に資金繰りを補完するために不正をするといったケースが多い。買ったお金を支払う期日と、売ったときのお金をもらう期日をずらすことによって、資金繰りで苦労している会社を一時的に助けることができるんです。こういう仕組みの不正は個々の取引を見ていても全然ダメで、もっと大きな、「不正をする動機、意図があるのかないのか」といった視点で見ていかなくてはならないところです。

★今いわれている「内部統制」も、不正ができない「仕組み」ということができそうですね。  

―重要なのは、なぜ不正が起きるのかということ。まず動機がある。決算書をよく見せたい、事故を隠したい、という気持ちです。次に環境があります。不正ができてしまうようなシステムの甘さ、コミュニケーションのない職場環境などです。最後に正当化。不正をしてもいいんじゃないか、という心の動きです。この3つがそろうと犯罪が起こります。
動機の部分を止めるのは無理です。それでもそういうことができない環境をつくる。正当化できない意識付け、これが統制環境です。仕組みと意識作りの両方で担保しなければならない。不正をしたいという気持ちは誰にでもあるわけです。不正をしようという動機が少ない人を経営者にするという方法もありますが、それでも動機を0にすることは無理です。大事なのは、動機を不正につなげないようにするにはどうしたらいいか?ということで、それが内部統制なんですね。

★これからの会社の形としてアウトソーシングが注目されています。アウトソース先とのコミュニケーション等はいかがでしょうか。  

―まず重要なのは、何をアウトソースして、何を自分たちのところでやるかということ。ちゃんと切り分けて考えることです。まず、大前提としてプランニング機能、あとはアウトソース先へのチェック機能というのは自分たちのところになければいけません。そうすると、実はアウトソースできる範囲というのは、そんなにないのかもしれません。モノの品質管理ひとつとっても、作ってない人に品質管理はできないですよね。

★アウトソース先の事故は多いですよね。  

―それはチェックする機能がないからです。往々にして、日本人というのは「チェック」が苦手という傾向があるように感じます。仲間同士は信頼していることになっている。信頼しておきたいという心理があるんですね。

★なるほど。それは、日本の伝統的な組織形態の特徴といえそうですね。日本はアウトソースに臆病であるという指摘もありますが、こういったところに理由があるのかもしれませんね。



おまけ ?「まるちゃん」のブログ観?

2回にわたって、監査法人トーマツ エンタープライズリスクサービス部 パートナーの丸山満彦さんに、コンプライアンスを巡るさまざまなお話を伺ってきました。いかがでしたか?コンプライアンス=法令遵守というお堅いイメージは払拭されましたか?最後に、丸山さんといえば、人気ブログ「まるちゃんの気まぐれ情報セキュリティブログ」をご存じのかたも多いのではないでしょうか。そこで今回は、番外編として「まるちゃん」のブログ観についてお話しいただきました。

★丸山さんはご自身でブログを書いていらっしゃいますね。当ブログの参考に、ブログのコツなどを教えていただけますか?

―あまり一生懸命やらないことです。疲れたら書かない。会社(*監査法人トーマツ)に迷惑かけない。ページビューを気にしない。これを書いたらウケるとか考えない。がんばらずに、思ったことを書く。これが続けるコツですかね。毎日ごはん食べるのと一緒です。まあ、商業ベースではないので、ゆったりとしたものですね。私の場合、あとで自分で検索できるようにしたくて書いているというのもあります。

★なるほど。当ブログはご覧になっていただいてますか?

―情報セキュリティブログは2?3日に1回くらい見ます。どれくらいの頻度で更新してるんですか?

★2?3日に1回くらいです。

―やわらかいのがいいですよね。本音感があります。日立グループなのにやわらかい、というのがいいです。普通のベンチャーがやわらかくってもある意味当たり前ですから。企業のブログはいろいろ見てますよ。各社の特徴がでていて面白いです。

★セキュリティ製品はわかりづらいものが多いので、できるだけわかりやすく、このブログとか、カルタとか、そういうアプローチをとるようにしています。セキュリーマン検定もそうです。

―カルタはいいアイデアですよね。力の抜けた絵もいい感じです。セキュリーマン検定は、最初は一問間違えました。95点でした。くやしいのでもう一回やって、100点を取ったのですが、100点も95点もエリートサラリーマンなんですよね。100点とっても一緒やったんかーって(笑)。一緒じゃつまらないです。

★今後の参考にさせていただきます(笑)。今日はどうもありがとうございました。
コンプライアンスと危機管理(前編) ?監査法人トーマツ 丸山満彦氏に聞く?前編へ
関連キーワード:

コンプライアンス

丸山満彦

会計監査

監査法人トーマツ

  • 株価操作スパムとは
  • カテゴリートップへ
  • 圧縮・解凍ソフト「Lhaca」の脆弱性を悪用したウイルス発見