理事長対談 第5回:日本監査研究学会 会長 堀江 正之 氏に訊く「サイバー攻撃リスクへの対応としてどう会社を守るべきか」
2019年3月27日
理事長対談 第7回:総務省統計委員会 委員長 西村淸彦氏に毎月勤労統計の不適正統計作成問題について聴く
2019年9月2日
第 6 回の対談には、IIA Global (内部監査人協会本部) の Chairman of the Board である毛利 直広 氏をお迎えしました。毛利 会長は、金融機関、生命保険会社、損害保険会社で内部監査を務められ、現在は AIG の Executive Vice President & Chief Auditor を務める傍ら、2018 年 5 月には国際資格「公認内部監査人 (CIA; Certified Internal Auditor)」の認定団体である IIA Global の会長にも選出されました。本日は、グローバルに活動している内部監査の専門家としてのお立場から、内部監査のこれまでとこれから、また、日本で内部監査や不正検査を担う方へのアドバイスなどをお話いただきます。(聞き手:ACFE JAPAN 理事長 藤沼亜起)
毛利 直広 氏
AIG Executive Vice President & Chief Auditor、IIA Global Chairman of the Board、公認内部監査法人 (CIA)、米国公認会計士 (US CPA)
ジョージア州立大学卒。アーサー・アンダーセン、パリ国立銀行 内部監査部長、ドイツ銀行 東京支店監査部長、モルガン・スタンレー証券 内部監査室長、新生銀行 監査部長、JP モルガン アジア地域統括監査本部長、メットライフ生命保険 監査担当常務執行役を経て、現職。
藤沼 亜起 氏
日本公認不正検査士協会 理事長 (2018/6-)
中央大学 商学部 卒。1974 年 公認会計士 登録。国際会計士連盟 (IFAC) 会長 (2000-2002)、日本公認会計士協会 会長 (2004-2007)、IFRS 財団 評議員会 (Trustees) 副議長などを歴任。
もくじ
- 内部監査との関わり
- 内部監査に大きな影響を与えた事件
- IIA (内部監査人協会) の取り組み、経営者不正に対する内部監査人の位置付け
- 日米での不正調査を担当する部署の違い
- 不正への対応を行う内部監査人へのアドバイス
- 不正対策における内部監査人や不正検査士の役割と期待
- IIA Global 会長としての抱負
- 内部監査との関わり
1.内部監査との関わり
毛利 会長は、長年、金融業界や保険業界で内部監査を務められ、2018 年には IIA (内部監査人協会) の会長に就任していらっしゃいます。これまでの経歴をご紹介いただけますか。
私は米国で会計を学び、US CPA (米国公認会計士) 資格を取って監査法人アーサー・アンダーセンに入りました。最初は外部監査人でした。その後、日本に戻り、金融機関のコントローラーに転職しました。ところが、研修が終えると、退職予定のコントローラーが留任することになり、その銀行を辞めるか、内部監査部門を立ち上げるか、選ぶことになりました。
これが、私が内部監査に携わるようになった経緯です。銀行側は「CPA を持っているから内部監査ができるだろう」と考えたようですが、CPA の知識だけでできるものではありません。すぐに日本内部監査協会に駆け込んで基準を学び、CIA 資格を取得しました。当時の CIA 試験は英語だけで行われており、私は日本で 2 番目の CIA です。
部門を立ち上げてチームを作り、内部監査を始めましたが、やってみると面白いと感じました。(監査対象業務の) 中まで突っ込んで行きますし、会社の隅々まで分かる。CEO の目線で業務を見ることができ、これは勉強になると嬉々としてやっていたら、いろんな企業からオファーをいただきました。BNP (パリ国立銀行) から、ドイツ銀行、モルガン・スタンレーを経て、新生銀行の監査部長、JP モルガンのアジア統括、メットライフ生命、そして現職 (AIG) に至ります。ずっと内部監査に携わってきました。
すごいキャリアですね。
監査は学ぶことが多いと感じます。同じ会社でも業務や担当ごとに違うシステムがあり、やり方が違い、人が違う。前回やったことでも、また新しいことが学べる。より深く学べる。25 年ぐらいやっていますが、これはとても面白いと思います。最初から内部監査をやろうと思って内部監査に入ったわけではありませんが、やってみたら面白かった。
のめり込んでしまったわけですね。会社によっても違うのではありませんか。
そこが面白いところで、金融機関が扱う商品は似たり寄ったりです。もちろんプロセスが違いますしシステムも違いますが、どこに行っても学んだことを活かせます。前の銀行とはここが違う。支店でも違う。何で違うのかを考えながら、どっちがいいか、どっちがより効率的か、相手に伝えながらやっていくところが面白い。
外部監査にも似たところがあります。お客様から学んでいるわけですよね。
仰る通りです。私も外部監査で学びました。外部監査で学んだことは、内部監査でも役に立ちました。
2.内部監査に大きな影響を与えた事件
今世紀に入り、内部監査に対する要求や期待の水準は大きく様変わりしています。その転機になった事件や法規制などで印象深いものを挙げていただけますか。
2 つあります。
1 つはエンロンによる巨額の粉飾決算事件です。あの事件で米国では SOX (サーベンス・オクスリー法) が成立し、それから日本にも J-SOX (財務報告に係る内部統制報告制度) が入り、特に財務諸表に関する内部統制の深度が一気に深くなり、内部監査への期待も増しました。それ以外の業務のプロセスでも、より深く、どこが財務諸表に関連するかを学んで監査することが重要になってきています。
2 つ目は 2008 年のサブプライム ローン問題を発端とする金融危機です。そのときは、今までの統制のやり方が正しかったのかどうかが問われました。リスクの取り方や、金融商品の引き受けの仕方、今までやってきたこと、正しいと思っていたことが、実はよく見ると正しくなかった。とんでもないものもありました。
そのころはバブルでしたから、何でも金融商品にして、みんながそれに乗ってしまったわけですね。
はい。映画にもなっています。
最近では、業務がデジタル化して、インターネットが入ってきて、銀行や保険の業務がすべてスマートフォンでできるようになりました。そうすると、そのプロセスの裏側にあるものが、STP (Straight Through Processing; 発注から決済までの一連の過程が人手を介することなく電子的に処理される状態) になっていて、統制がきちんと効いているのかどうか。システムですべてを扱いますから、セキュリティや、アクセス コントロール、BCP (事業継続計画) が非常に重要になってきます。その辺の観点も含めて、従来とは違う見方で物を見なくてはいけなくなった。特にサイバー セキュリティの領域は、今、一番重要だと思います。金融機関は、基本的には全部デジタルの数字の付け替えですから、これが盗まれたりしたときの損失は極めて深刻です。また、ビットコインなどの暗号通貨への関心も高いです。
昨年 (2018 年に) 参加した ACFE グローバル カンファレンスでも、サイバー犯罪が注目されていました。日本でも、JAL が取引先を装った偽の口座変更の案内で多額の被害を受けました。詐欺の手口が高度化していて、対策が難しくなってきています。
そうです。俗に言われるのは、世の中には 2 つのタイプの企業があって、1 つはすでにハッキングされていて、それが分かっている企業。もう 1 つは、ハッキングされているけれど、それが分かってない企業。つまり、いずれにせよ企業はハッキングされています。
ある会社の役員会で、セキュリティの問題が報告されるわけです。フィッシング メールを役員や従業員に試験的に送ってみたら、上位者ほどその手口に騙されてファイルを開けている。その報告を聞いた役員が「どうなっているんだ!」と唖然とするわけです。
そうなんです。
3.IIA (内部監査人協会) の取り組み、経営者不正に対する内部監査人の位置付け
近年では、内部監査は経営と表裏一体として認知されています。規制や技術の変化に応えて経営を支える存在として、また、経営のガバナンス体制の監視者としての役割も期待されています。これらに対する IIA の取り組みをお話いただけますか。
経営の監視は、取締役会の役割です。我々執行サイド (内部監査) は、業務執行の内部統制を客観的に評価します。業務執行の中で、企業風土ですとかそういうものが醸し出されてくれば、我々から取締役会に報告を行い、それから監査委員会や監査役にも情報を共有して、そちらから監視していただく。そういう役割分担でやっています。
日本の内部監査部門は、社長直属の組織体です。だから、内部監査からはなかなか社長にものを言えない。
欧米とは逆ですね。日本では、社長が嫌がることを何か言うなら辞表を用意しないといけない。
日本版のコーポレートガバナンス・コード[※1] が昨年改訂されましたが、指名委員会の設置[※2] や、指名や解任のプロセスの確立[※3] など、社外役員の役割の拡大を求めています。しかし、社外役員もあてにならないことがある。CEO が自分の利益を図るようなことをしているときに、内部監査の人はどこまで言えるかが疑問です。
CEO の経費については、欧米の会社は全部取締役会に報告されますし、当然彼らが監視するべきことです。我々 (内部監査部門) も、経営幹部のフリンジ ベネフィット (賃金外給付・賃金外利益) に関して、ガイドラインに則ってない支払いの有無をレビューしています。仕事に直接関係のない本来払われるべきでないもの、たとえば家族の経費とかが CEO に払われているなら、それは指摘して、是正してもらうか、それがあまりに悪質であれば辞めてもらいます。実際にそうしたこともありました。欧米は、雇用の流動性があって、私が仮にそういう告発をしてクビになったとしても、その理由が正当であれば他の会社が雇ってくれます。
それはそうですね。「おまえ、いいことを言ったな」と、再就職に影響しない。
日本では、クビになったときに他の会社に同じようなポジションで転職できるかというと、まだ稀なのかもしれないですね。欧米の場合は、別にこの会社でなくても他がありますから、自分の信義にもとるようなことはしません。
日本では、まだそこまでいってない。だから上から下までみんな忖度 (そんたく) する傾向があるので、そこが難しい。
そうですね。日本では忖度していればとりあえず雇用は維持できます。欧米の場合はクビになりますから。
このような場合、内部監査人は言うべきことを言わないと、自分の専門家としての価値を下げてしまいますね。
おっしゃる通りです。(公認) 内部監査人としての倫理要綱がありますので。私も内部監査人なので、要綱にもとるようなことをしたら資格を剥奪されます。
4.日米での不正調査を担当する部署の違い
米国では、不正検査や不正調査は専門の部署が設けられていて、そこが担当することが多いようですが、日本では、ほとんどの企業で内部監査部門がそれらの役割を担っています。そのような日本の状況について、どのようにお考えでしょうか。
いい面と悪い面があると思います。欧米でも、会社によっては内部監査部門の中に不正調査を行う部署がある会社もありますが、別々の活動をしているのでグループとしては分かれているところが多いと思います。基本的な考え方として、内部監査部門は内部統制を客観的に評価して、不正調査は不正を調査する。不正を調査して、内部統制の綻びがあれば、当然、内部監査も関与します。 これまでに勤務した会社のほとんどが内部監査と不正調査を別々にしていましたが、協働はよくありました。不正調査をしていくと、不正が起きた理由が分かります。もし内部統制が存在していてきちんと機能していれば、殆どの不正は防げます。でも、内部統制が機能していなかったか存在しなかったので不正が可能になる。これは内部統制上の問題なので、内部監査も関わることになります。そういう関係が健全だと思います。
その場合は、報告書は両方の担当者が一緒に書くのですか?
一緒に書く場合も、別の場合もあります。当社では、不正調査を行う部署は法務部門の下にあります。不正は犯罪の可能性もあり、法的規制に掛かることもあります。また、当社は規制業種ですから、どこかの規制に違反している可能性もあります。まず不正調査がそれを調べて、原因究明で内部監査と協働する。彼らが報告書を書いて、次に我々内部監査が「内部統制上こういう問題がありました」と報告します。
最近では、各国で規制機関による厳罰化が進んでいると思います。不正に関するリスクが非常に大きくなってきていると感じています。
同感です。我々の内部監査も、法曹秘匿特権により、不正に関する内部統制の監査を弁護士の監視の下で行う場合が増えてきました。法に触れるようなことは、その結果として罰則規定が適用されます。そうすると、作った書類は全部裁判所が見る可能性があり、相手方の弁護士にも開示しなくてはならないので、当方の弁護士の監視下で行います。そのため、当社では、不正調査は法務部門の下に入っています。
5.不正への対応を行う内部監査人へのアドバイス
日本では、近年、品質不正やデータ偽装が相次いで発覚しています。子会社や関連会社によるものも多く、企業グループ全体での内部監査の強化が要請・期待されています。また、サイバー攻撃による被害も急速に増加しています。このような新たな不正について、アドバイスをいただけますか。
まず、組織の中に、見ることができないエリアを作らないことですね。
どのようにすればよいでしょうか。
対談中の藤沼亜起氏
組織全体を網羅したリスク評価を行い、リスクの高いところを見ていく。それから、監査頻度を考慮して、長い間見ていないところを見る。あとは見方を考える。今は IT システムを使っていない会社はありませんので、システムに蓄積されたいわゆるビッグデータからデータを抽出して、それを内部監査に活用していく事も有効です。
リスク評価を自動化して継続的にリスクを評価したり、監査の手続きを自動化して機械が精査したりする事は、アルゴリズムを組めばできます。きれいなデータがあって、そこにアクセスできれば、サンプル ベース (対象から一部だけを抜き出して行う監査) ではなく、全件のデータを見られるようになります。サンプル ベースでは、運がよくないと不正は分かりませんが、全件を見られるようになると不正も発見できます。たとえば傾向を見る。何年か何期か比べていくと、おかしいところが出てくる。関連した違う要素の相関関係を見ると、おかしいと判る。そのようなこともできます。データをいかに活用して、組織の全部をカバーして内部監査を有効に進めていけるかが、内部監査としては一番の課題ですし、組織としてもこれをやらなくてはいけないと思います。
日本企業の品質不正の事例では、検査担当部署が製造部門などから独立性を持って検査しないといけないのに、「現場の苦労はわかるだろ」「納期に間に合わない」などと言われて、データを改ざんして検査を通過させてしまうケースが多々ありました。海外ではどうですか。
ドイツのメーカーでもありました。これはカルチャー(組織風土)にもよりますが、「製品を出さなくては」「納期に間に合わせなくては」「売上を上げなくては」が先行すると、本来やらなくてはいけないコントロールを疎かにする。悪い方に行ってしまうわけです。同じことが他の会社でも起きる可能性もあるとは思いますが、私が理解しているかぎりでは、あのケースは特殊で、やはり企業風土です。
企業風土では、会社の伝統や、創業家が影響力を持っている場合がありますね。
そうです。カルチャーや企業風土も不正行為の大きな原因になっています。日本の某電機会社もそうですし、米国の某大手銀行もそうです。トップから言われ、しょうがないからやるしかない。やり方を考えていくと、不正をするしかない。それはおかしいですよね。
ACFE グローバル カンファレンスでも、トップによる内部統制の無効化のセッションがいくつかありました。ドイツのシーメンス (Siemens AG) やブラジルの国営石油会社 (ペトロブラス; Petróleo Brasileiro S.A.) などが取り上げられていました。米国の名門と言われた銀行でも、トップダウンによる内部統制を無視した不正が横行しました。それぞれ不正の内容と手口が違いますが。ブラジルの例では、政治家に賄賂を渡してしまいました。
シーメンスもそうですね。米国の銀行の場合は、トップダウンの目標を (普通のやり方では) 達成できないので、当然間違ったやり方をするわけです。そもそも達成できない目標を与えること自体がおかしい。そういうことは、現場の人はみんな感じていますが、上に言えない。本来は、そういう統治や統制に悪い影響を与える兆候を示す情報を内部監査が集めて、それを形にして上に報告するのが一番いいと思いますが、監査の対象は定量的なものが多く、カルチャー・風土やビヘイビア・理念のような定性的なものは、報告書に書きにくい。内部監査でもカルチャーの監査をしなくてはいけないと 少し前から言われていますが、一般的に受け入れられている監査の手法は未だに確立していません。
カルチャーは国や企業によってもみんな違いますから、なかなか難しいですよね。
そうなんです。マネジメント アウェアネス スコア (経営・管理の状況をどのように認識しているかを評価したもの) を付けるところもありますし、当社では、監査ごとに被監査部署に自己評価してもらって、彼らが認識している内部統制と、我々の監査結果を対比して、その差の原因を探っています。被監査部門が感じていることと我々が感じていることが同じであれば大丈夫ですし、大きく違えば被監査部門の認識が不十分という事になります。
それはいい方法ですね。
彼らは「よくできている」と自己評価で言っていて、フタを開けてみたら「ぼろぼろでした」だと、リスクや内部統制が分かっていない。まずアウェアネス (自己認識) から攻めていきます。これを総括すると「おかしい」となる場合が結構あります。まだまだやることはたくさんあると思いますね。
そうですね。不正について我々が出版した本[※4] でも「不正はなくならない」という前提で考えないといけないと論じています。
おっしゃる通り、必ず誰かが不正をしているという前提で調べなくてはいけない。いわゆる職業的懐疑心です。
6.不正対策における内部監査人や不正検査士の役割と期待
不正や不祥事の対策は、1 つの部署に任せきりではなく、経営トップも含めて組織全体で取り組む必要があると思います。全社的な不正対策の取り組みに CIA や CFE が果たすべき役割やその期待について、お言葉をいただけますでしょうか。
まず、不正や不祥事を防ぐための内部統制を構築して維持する責任は現場にあります。いわゆる Three Lines of Defense (不正を防ぐ役割・責任を持つ 3 つの立場を指す言葉) で言うと、ファースト ライン、つまりリスク オーナー (そのリスクに対する直接の責任を追うべき立場) が内部統制を作って、セカンド ライン (リスク管理部門やリスク主管部署) が監視して、サード ライン (内部監査部門) である我々が客観的に評価する。我々の役割としては、評価と同時に、ファースト ラインとセカンド ラインの役割をはっきりさせる。たとえばファースト ラインの営業の人は、物を売っていればいい、と考えるかもしれない。しかし、営業には営業事務や営業管理もあります。これをしっかりやってもらわないと、セカンド ラインやサード ラインがモニターできない。だから、CIA を持っている内部監査としては、営業管理や営業事務も営業の責任です、と認識させることを心掛けています。CFE の人たちも同じだと思います。
突き詰めていくと、不正や不祥事の原因はそれほど多くありません。たとえば、やっている人間が分かっていない。トレーニングをきちんと受けていない。そもそもポリシーがない。システムがない。組織がない。これぐらいです。このどれを取っても、第 1 線・第 2 線がしっかりと自分の役割を認識してやってもらうことが大事です。それを監査や不正調査を通じて促して、問題があればどんどん指摘して改善します。
そのコンセプトを、マネジャーとか部長とかそういうレベルの人は、きちんと分かっていますか。
人によりますし、組織にもよります。
そういう社内教育を内部監査人がやることはありますか。
監査を通じてやっています。当社では、部門ごとに監査担当者がいて、その担当者が自分の担当する部門の部門会議に出席して監査の報告をすると同時に、どういう内部統制を作ればいいか、この件についてはこういう内部統制を作ってください、という話もします。
そういう取り組みをしないといけないのですね。
そうです。継続的に啓蒙活動をしていかないといけないと思っています。システムは急激に変化し、デジタル化して、Straight Through Process(ing) になっていきます。システムはできてからでは遅いので、できるときに関与して、作っていくときに直してもらうようにしています。
内部監査人の中にも情報設計の専門家が必要ですね。
7.IIA Global 会長としての抱負
最後になりますが、IIA 会長としての抱負などをお聞かせいただけますか。
IIA の歴代会長には、それぞれテーマがあります。私のテーマは、“Emphasize the Basics. Elevate the Standards.”。「基本を重視し、基準を尊重する」です。我々 IIA は、グローバルなスタンダードがありますので、専門職として常に基準に自分の行動を照らし合わせながら内部監査をやっていくことが大事です。会計士が会計基準に従うように、内部監査人も内部監査基準に従わなくてはいけません。
内部監査の基準はどこかの国の影響を受けていたりするのですか。
IIA の内部監査基準はグローバルです。内部監査人は、会計士、弁護士、医師と違って、国により規制されているわけではありません。全世界で、かつ、どの業界でも使えるようにしています。
基準の改定は、どのくらいの頻度で行われていますか。
頻繁にやっています。基準自体は、5 年から 7 年ぐらいの間隔で新しくなっています。その下にある、実践的にどうやるかを示すガイダンスは頻繁に出ています。最近では、ブロックチェーンや、人工知能 (AI)、ロボティクス (ロボット工学)、Internet of Things (IoT) にどう対応するかに取り組んでいます。
日本の会社では、内部監査で経験を積んでも、定期人事異動でまた元の部署などに戻ってしまいます。つまりローテーション人事です。海外では、どちらかというと専門職として経験を重ねます。そのあたりはどうお考えですか。
日本のやり方も、内部監査を通じて内部統制の重要性が分かって、それを現場に持って帰るので、会社を強くするためにはいいことだと思います。一方、内部監査をやりたい人は専門職として上がって行って、経営層や上級管理職に行きたい人は違う部署で責任のある立場に就いて経験を活かす。そのような柔軟な形になると良いと思います。
公認不正検査士の試験に合格したり資格認定を受けたりした人でも、資格維持が負担で継続を断念してしまう人もいます。
人間は死ぬまで学びだと思います。CPE (継続的専門教育) は、結局、学びをずっと続けていくということです。新しいことが次々に出てきますから、それに対応できないとプロとしては困ります。あとは、人間として新しいことを学んでいくのは、脳の活性化にもなりますし、楽しいですし。そういうふうに捉えたらいいのではないかと思います。
IIA の会長をやって、その後こういうことをやりたいというのはありますか。
会長職という本当に名誉なタイトルをいただいて、世界中のカンファレンスや内部監査協会でお話させていただいている中で、このプロフェッションのためにできることがたくさんあると思いました。私は、内部監査が好きですから、どんどん自分でも勉強したいですし、もっと勉強したことを伝えていきたいと思います。
勤務している会社の仕事との両立は難しいと感じますか。
私は、幸い内部監査の仕事をさせていただいて、内部監査協会で学ぶことを仕事に使えます。また、仕事の成果を内部監査協会での活動に活かすこともできています。そのような有機的な相互作用を今後も活用していきたいと思います。
どうもありがとうございました。
文中注釈について
- [※1]:https://www.jpx.co.jp/equities/listing/cg/
- [※2]:補充原則 4-10
- [※3]:補充原則 4-3
- [※4]:「鼎談 不正─最前線 これまでの不正、これからの不正」(共著, 同文舘出版, 2019/2)
関連情報
- ACFE JAPAN お知らせ「IIA Global の Position Paper で不正調査と CFE (公認不正検査士) について触れられていました」
- Global Institute of Internal Auditors (IIA Global) [英語]