www.pwc.com/jp 監査委員会 優れた実務シリーズ 第三者リスクの監督 PwC の 「 監 査 委 員 会 優れた実務シリーズ」 は、監査委員会が最 高のパフォーマンスを 実現するための実務 的かつ実行可能な洞 察、見解およびアイデ アを提供する。 「監査委員会 優れた実務シリーズ」の 本モジュールでは、 第三者リスクの低減につながる監督の 重要点および監査委員会が果たす 重大な役割について検討する。 1. 第三者リスクの理解が、監査委員会にとって重要な理由 2. 第三者リスクの特異性 3. 第三者リスクについての理解 4. 自社における、外部取引先とのビジネスの実施および契約締結 に関する現行基準の評価 5. 長期的な関係がもたらす特別な課題 6. 特別な注意を払うべき、第三者のセキュリティリスク 7. 終わりのないプロセス 添付資料――第三者リスク管理ツール 1. 第三者リスクの理解が、 監査委員会にとって重要な理由 最近は、企業が社外の第三者を活用する程度が非常に 高まっており、自社のサプライヤーや販売会社など、取引 関係先と業務を統合する企業が増えている。例えばフォー チュン500社のうち、89社が自社グループ内に平均10万社 を超えるサプライヤーを抱えており、その結果、サプライ ヤーとの直接的な関係は合計900万を超えている。そして このような関係にはリスクが伴う。すなわち、企業は、社外 の取引先の行動に関連するリスクにさらされているのであ る。業務統合が高度に進んだ世界では、例えば企業があ るソリューションを提供した場合、その「バリューチェーン」 には複数のサプライヤーが関与しているものの、それらが 個別に認識されることは少なく、全ての取引先がそのソ リューションの関係者として見なされることが多い。その結 果、複数のプロバイダーによる「バリューチェーン」が認識 されないまま、ソリューションの主たる提供者に説明責任が 求められ、第三者取引先によって自社のブランドが毀損さ れたり、債務が生じたりするリスクが増加している。 第三者リスクには、ブランドを毀損するリスクのみならず、 コンプライアンスリスクや規制上のリスクもある。言い換える と、自社の「バリューチェーン」に属する第三者が引き起こ した問題が、自社に甚大な損害を与える可能性がある。中 でも、労働法違反、安全衛生、環境問題、知的財産権の 侵害やソフトウェアの不正コピー、労働法の順守、ロイヤル ティー支払などの分野に、潜在的な問題が多く潜んでいる。 加えて、多くの第三者が企業のネットワークにアクセスでき るようになった結果、ネットワーク上の違反行為やプライバ シー侵害の可能性も生じている。 代理店、再販業者、販売会社などを利用する企業に とって、例えば英国贈収賄防止法や米国海外腐敗行為防 止法(FCPA)などは特に懸念される点である。米国の証券 取引委員会(SEC)や司法省(DOJ)は、上記のような第三 者による行為に対しても企業の責任を追及している。2012 年に司法省が起訴した贈収賄の場合、全てのケースで第 三者が関与していた。規制当局も、企業の責任について、 企業が実際に認識していたか、あるいは故意に目をつ ぶったか、ということを判断の基準とするケースが多い。つ まり、企業が責任を免れるために代理店、再販業者、販売 会社の行為に意図的に気付かないようにしていたかどうか が考慮される。残念ながら多くの場合、第三者に責任があ るという会社の主張は認められていない。なぜなら、第三 者を監視するのに十分な内部統制が整備されていたこと を主張できなかったからだ。 第三者の行為が及ぼす結果について、見解を示した規 制当局もある。2013年に、米国通貨監督庁(OCC)が銀行 に対し、第三者との関係に関連するリスクの評価・管理に 関する指針を公表した。この指針では、その行為が適法に 実施されるように第三者を利用した場合でも、銀行の取締 役会や最高幹部の責任は軽減されない旨が明確に示され ている。 企業の取締役会の多くが、リスク監督業務の調整を監査 委員会に割り当てている。一般的に、監査委員会が財務 報告にかかわるコンプライアンスやこれに関連する内部統 制の体制に責任を負うからだ。また、監査委員会は内部監 査の監督も行うことが多いが、この内部監査が第三者リスク の監督に対応しているケースもある。こうしたことから、監査 委員会がリスク監督業務の調整を担うことが多い。 第三者との取引においてリスクは避けられないものであ る。今回の「監査委員会 優れた実務シリーズ」では、当該 リスクの監督において監査委員会が果たす重大な役割に 焦点を当てていく。 2. 第三者リスクの特異性 第三者リスクは、贈収賄、環境問題、ソフトウェア不正コ ピー、安全衛生、労働法などの分野に関連するため、従 来型の内部統制や全社的リスク評価プロセスでは十分 な対処が難しい。取締役会全体で対処する場合もあるが、 多くの場合、監査委員会がリスク評価業務を担当する。 第三者リスクのもう一つの特性として、そこから生じるレ ピュテーションリスクおよびその他のリスクには、全て一つ の共通点がある。それは、自社および第三者の義務、権利、 償還請求権が、当該第三者との間で締結した法的契約に よって支配・管理されているという点である。 第三者リスクは通常、企業の既存のリスク評価プロセス ではカバーされない。そのため、それとは別に、第三者リス ク軽減を目的とする統制は、全社的な内部統制体制の個 別の構成要素として考えるべきである。一般的に、軽減す べきリスクの種類にかかわらず、あるいは当該第三者がサ プライヤーか、インフラ提供者か、販売会社かを問わず、 第三者の監視に必要な統制は広範に適用できる。企業は、 重要な第三者との関係の全てを対象とする包括的な内部 統制システムを整備することができる。このように、第三者と の関係は契約により支配されるため、自社の法務部門の 責任者を、統制プロセスの不可欠な一部として組み込むこ とがとりわけ重要である。 監査委員会の役割に関する検討項目 自社における重要な第三者との関係の数および性質 について把握する。 包括的なプロセスを実現するために、監査委員会が 監督する上で、第三者リスク全体の統制をどのように 考慮するべきかを評価する。 第三者リスクの統制環境に、企業の法務部門責任者 が十分に関与しているかどうかについて評価する。加 えて、当該法務部門責任者が自己の役割の重要性 を理解しているかどうかについても評価する。 第三者リスクの監督 3 企業の法務部門責任者が 統制プロセスの不可欠な一部で あることが必要である。 3. 第三者リスクについての理解 第三者との関係に係るリスクがないという企業を挙げるの は難しいだろう。第三者が、提携先であれ、サプライヤー、 販売会社、下請業者、サービス提供者、またはそれ以外の 関係者であれ、そこにリスクが伴うのが普通だ。基本的に、 相手が自社の知的財産や社内ネットワークにアクセス可能 であったり、相手からITインフラの提供を受けていたり、相 手が自社のバリューチェーンの一部であったりすると、そこ に第三者リスクが発生し、これをなんらかの方法で管理する 必要が生じる。第三者リスクの管理を、企業の全社的リスク 管理体制に組み込むことが肝要である。 第三者リスクの監督には、他のリスクとは異なる独特の問 題が存在する。第三者との関係を棚卸ししていない企業が 多いということを考えてもらいたい。第三者との関係が事業 部門または事業所レベルで構築されているならば、企業に 統制体制があったとしても、その統制を迂回してしまうかも しれない。あるいは、第三者と関係を開始し、それを監視す る方針や手順が整備されていないこともある。第三者関係 を正確かつ網羅的に把握できなければ、統制が有効とは なり得ない。 多くの第三者もまた、それぞれがサービスを受ける第三 者との関係を有しているということによって、問題がさらに複 雑なものになっている。すなわち、取引先の第三者が、自 社にとっては第二階層の第三者となる。第二階層の第三者 が自社にもたらすリスクについて第一階層の第三者がどの ように管理しているのかを把握することが肝要である。 さらに、第三者が、法令、実務慣行、ビジネス倫理が異 なる外国に所在するケースがある。それ以外にも、関係が 長期にわたっていたり、また取引関係が独占的である場合 には、関係を明確に把握したりリスクを低減することがます ます複雑になるケースもある(サプライヤー関係など)。 本書の添付資料は、次の事項のための、実効性のある 第三者リスク管理ツール例を示したものである。 4 監査委員会 優れた実務シリーズ 第三者との関係を棚卸しする。 重要性が最も高いものを優先する。 各種のリスクについてリスク格付けを行うとともに、 第三者ごとに全体的なリスク格付けを行う。 リスク管理責任を負う経営陣を明確にする。 個々の関係に関するリスクの監督を取締役会また は委員会に割り振る。 個々の関係に関する更新情報が取締役会に報告 される頻度について検討する。 4. 自社における、外部取引先との ビジネスの実施および契約締結に 関する現行基準の評価 第三者リスクの管理にかかわる基準や総合的な実務を 確立することにより、第三者リスクの低減が可能になるととも に、監査委員会による監督が容易になる可能性がある。取 締役は、契約締結の前と後の双方における自社のアプ ローチについて、次のベストプラクティスと比較しながら理 解しておくとよいだろう。 事前の対応 評判および能力に関する事前調査を行う――第三者と 日常的に協働する企業には、正式な事前調査プロセスが 必須だ。最も単純な形の事前調査としては、例えばデータ ベースを検索したり、マスコミ報道やインターネットサイトを 検索したりして企業の評判や能力に関する情報を調べるこ とが挙げられるだろう。より信頼性の高い方法としては、質 問票を活用して、コンプライアンスの実践状況や、第二階 層の第三者を利用しているかどうかを調べること、政府関係 者や政府機関との関係について情報を収集すること、実地 調査を実施することなどがある。また第三者の業務プロセス で使用する知的財産(ソフトウェアなど)に関するライセンス の証拠を求めることもあり得るだろう。第三者との関係を開 始するにあたって、どの程度の事前調査を行うかは、当該 第三者が自社にもたらすリスクの水準に基づいて決めるべ きである。 ガバナンスの観点から、第三者のコンプライアンス制度 に関する適正な報告体制を構築する――自社の誰が、第 三者管理機能の「オーナー」であるかを明確にすることが 重要である。管理の執行権限を持つ「オーナー」が、適切 な自立性、権限、リソース、CEOとの連絡体制や監査委員 会(もしくは取締役会によって監督が割り当てられた他の委 員会)との連絡体制を確保していることが必要である。 適切な契約および方針(知的財産の保護、従業員の研 修、監査の権利を含む)を整備する――第三者との関係は、 契約に支配されるのが一般的である。そのため契約書では、 納品や品質の具体的な条件の他、相手方当事者が当方の 知的財産をどのような方法で保護するのか、知的財産保護 に関してどのような従業員研修を行うのか、従業員の腐敗 防止問題にどう対応するのかについて、定めることが必要 である。企業は、上記の要件の順守について監査する権 利を有するべきであり、企業の法務部門責任者は、上記の ような契約条項の重要性を理解していなければならない。 契約違反による関係解除の権利を担保する――通常、 契約違反が生じた場合、相手方との契約を解除する権利 が認められる。第三者との契約が堅固な場合には、特定の 基準に適合していないことを事由として解除する権利を有 する。この場合の基準には、納品や品質にかかわるものだ けでなく、自社の評判またはブランドの毀損につながる可 能性がある問題を示唆する早期警鐘となる指標も含まれ得 る。例えば、労働者の権利または人権を侵害していないか、 自社ブランド製品の品質低下につながる「3交代制」を実施 していないか、自社の市場を脅かしかねない部外者に知 的財産を漏洩していないか、といった指標である。 従業員ホットラインを拡張する――自社の内部通報ホッ トラインに、主要な第三者の従業員もアクセスできるように する仕組みを構築する。このことが、対処を要する第三者 の企業文化の欠陥について早期警鐘を発することを可能 にするとともに、現地調査が必要な時期の決定要素にもな る。あるいは、次回のコンプライアンス監査の時期決定に影 響を及ぼす可能性もある。 文書化されたプロセスに従い、監査の権利を行使する― ―第三者を監査する契約上の権利を有する場合、この権 利を実際に活用することも重要である。監査に関しては、内 部監査部門が実施するか、監査法人のような第三者に委 託することが可能である。監査権の行使することより、第三 者に対し、自社が契約条件の順守をどれだけ重大視して いるかについて明確なメッセージを送ることになる。ロイヤ ルティー監査の場合、収益の回収源にさえなり得る。売上 高における自社の取り分の支払いを確実に受けるようにな るからだ。 万一、第三者が海外腐敗行為防止法などの不正行為で 告訴された場合、監査を実施していたことが自らの身を助 けることにもなり得る。それは、自社が当該第三者の行動を 監視するために合理的な努力を行ったにもかかわらず、発 生した違反であることを主張できるからだ。第三者が提訴さ れたとき、政府や規制当局は自社に対し、第三者について 監査を実施しているはずだと期待するだろう。もし実施して いなければ、監視プロセスが不十分だったとみなされる可 能性がある。 指標および報告を監視する――個々の第三者との契約 ごとに、有効な指標を明確に設定し、定期的に報告を受け ることが必要である。監視対象となる具体的な指標は、自 社と各第三者との関係に左右されることになるため、一律 に適用可能な公式は存在しない。 統制環境の有効性を維持するためには、報告書が適時 に提出されない場合のフォローアップ、報告された指標に 異常がないかどうかの検討、監査権の行使、第三者との継 続的なコミュニケーションが必要である。 継続的な対応 高リスクの第三者の監査および監督を行う――「高リスク の第三者」の定義は、企業によって異なるだろう。定義の基 礎となり得るのが、当該第三者との関係の金額ベースの価 値、自社における当該関係の重要性、当該第三者の所在 国(不正リスクが高い所在国かどうか)、当該第三者がアク セスできる、自社の知的財産の性質などである。高リスクと 定義された第三者については、継続的な監視の対象とす る必要がある。 監査委員会の役割に関する検討項目 第三者リスクの監督プログラムの「オーナー」である経 営陣幹部が、監督プログラムが有効性を最大化する ために、自社において適切な地位にあり、かつ、その 存在が認識されていることを検討する。コンプライアン スに向けた経営陣の心構えや姿勢について評価する。 自社の事前調査プロセスが、相手方第三者が自社に もたらす潜在的リスクを識別する上で適切であるかを 検討する。また当該第三者との関係を進める場合に は、そうした潜在的リスクを低減させ、監視する計画を どのように立案しているかについて検討する。 贈収賄のリスクが高い所在国または業種における第 三者との関係に関する自社の活動を把握する。贈収 賄が多発する地域において「仲介者」を利用している か、また利用している場合にはその理由について検 討する。 コンプライアンスに関する確認書を定期的に入手する― ―リスクの評価次第では、第三者に対し、コンプライアンス に関する確認書を定期的に提出するよう求めることも考えら れる。この確認書は、第三者が自身で(可能であれば、内 部監査部門により)実施した監査か、または委託した外部 機関による監査に基づいて作成する場合もあろうし、あるい は、知的財産の侵害も贈収賄法違反も一切発生していな いことを当該第三者が単に宣誓したものとする場合もあろう。 どの第三者にどのアプローチが有効かについては、当該 第三者が自社にもたらすリスクの水準に基づいて決める必 要がある。 第三者リスクの監督 5 自社が監査権や契約解除権を行使しているか、コン プライアンスについて継続的に十分な監視を行って いるかどうかを確認する。 第三者との関係に関する指標や報告手順を、経営陣 がどのように決定しているかを把握する。経営陣によ るレビューのプロセスや報告のフォローアップについ て検討する。 第三者リスクおよび不正の防止や発見に関して、重要 な第三者の監査を実施する内部監査(または委託し た監査法人)の役割を把握する。外部関係者に対す る不正監視用ソフトウェアツールの利用について検討 する。 5. 長期的な関係がもたらす 特別な課題 一部のサプライヤーと長期間に及ぶ関係を持つ企業も 多いだろう。そうした関係は、最近開始した新しい関係に見 られるような正式な体制を整えていないことも多い。また自 動継続条項がある場合と、自動的に更新されない場合があ る。20年前には、第三者の行動の監視がそれほど重視され なかった可能性があるので、長期的な関係の第三者との既 存の契約が、現在の環境において求められる水準を満たし ているかどうかを検討する必要がある。とはいえ、長年にわ たる提携先やサプライヤーを新しい仕組みへ移行させると きには、慎重に対処しなければならない。 一つの有効なアプローチとして、第三者関係を包括的に 管理するプログラムを整備し、新規・既存を問わず、全ての 第三者との関係に展開する、という方法がある。このアプ ローチでは、「脅威と予防措置」という観点に基づき実施さ れることが最も適切だと思われる。すなわち、贈収賄などの 懸念事項にかかわる重大なリスクがある国に所在する第三 者にまず焦点を合わせる。所在地、政府関係者との交流、 売上規模、支払手数料の金額などのリスク要因に基づき、 第三者をそれぞれ格付けすることで、重点的な取り組みを 要する対象について、優先順位を設定することが容易にな る。最も高リスクとなる第三者に関しては、最も広範な事前 調査を行う必要がある一方、低リスクの第三者に関しては、 それほど厳密な検討を要しないことがある。 6. 特別な注意を払うべき、 第三者のセキュリティリスク 第三者取引先が自社のネットワーク上の秘密情報にアク セスできるケースも多い。そうした第三者取引先には、サプ ライヤーの他、クレジットカードや給与支払に関する処理や データホスティングを担当する第三者も含まれるだろう。 6 監査委員会 優れた実務シリーズ また、第三者によるセキュリティ侵害による法的賠償責任は 増加 の 一途 を た ど って いる 。州 法 、 連邦 取 引 委員 会 、 HIPAA法(医療保険の相互運用性と説明責任に関する法 律)なども、こうした賠償責任を課している。これらのサイ バーリスクに対しても、他の第三者リスクに関して述べたも のと同じ検討項目が適用できる。その際、高リスクの当事者 に特に着目し、実効性のある継続的なモニタリングが重要 である。 アクセスを認める前に、ベンダーがセキュリティ上の要件 を満たす必要があるのは無論のことだが、テクノロジーは 日々変化するため、サイバー攻撃も日々複雑・高度化して いる。第三者のサイバーセキュリティに関する検討が1回限 りでは、長期的には妥当性に欠ける恐れがある。確かに最 初の評価は重要だが、現在のような常に進化する環境に おいては、セキュリティに対する期待を継続的に伝達し続 けることが不可欠である。さらに第三者のサイバーセキュリ ティプログラムが、求められる統制のレベルを維持している かどうかを判断するために、指標を設定し、監視し、必要に 応じて改定を行わなければならない。企業や第三者が、自 社のソフトウェアプログラムにかかわる最新のバグの修正、 アップグレード、改良に対する支出を抑制するのは珍しい ことではないが、そのことにより、潜在的なセキュリティ侵害 のリスクが増加する。 外部取引先がアクセス可能なデータ量を、必要なレベル のみに制限するよう配慮すべきと考える取締役もいるだろう。 加えて、第三者との契約の中で、違反の通知義務や、セ キュリティ監査を受け入れる義務を負わせたりすることが必 要である。 監査委員会の役割に関する検討項目 極めて重要性の高いデータのうち、どのデータに第三 者がアクセスできるかについて、自社が理解している か、データアクセスが必要な情報のみに限定されてい るかどうかについて確認する。 自社のITインフラをサポートするベンダー、およびベ ンダーの監視方法について確認する。 契約において、セキュリティ監査を実施する権利や違 反の通知を受ける権利が定められているかどうかにつ いて確認する。 契約に定められたサイバーセキュリティに関する義務 が順守されているかどうか、継続的に監視するプロセ スが整備されているかどうかを評価する。 7. 終わりのないプロセス 第三者との関係について定期的に検討することが不可 欠である。新しい関係が築かれる一方、既存の関係も変化 することから、第三者リスクの管理体制をアップデートして、 これらの変化を反映することが求められる。新製品による自 社の知的財産の増加、あるいは、新しいテクノロジーの採 用を受け、第三者との関係が必然的に創出されることにな る。さらに、合併や買収を実施する場合にも、第三者リスク 管理体制を大幅に変更する必要が生じる場合がある。 監査委員会の役割に関する検討項目 第三者にかかわる統制について、網羅性や適切性 を確保するために、継続的なアップデートおよび定 期的 な検 討に関 する経 営 陣の計画 について把握 する。 情勢の変化が自社の事業環境や第三者との関係に どのような影響を及ぼすかについて検討する。 第三者のサイバーセキュリティに 関する検討を一度実施しただけでは、 長期的には妥当性に欠ける恐れが ある。 第三者リスクの監督 7 添付資料――第三者リスク管理ツール 第三者関係の棚卸しおよび詳細検討に使えるリスク評価マトリクスの例 第三者 取引先1 リスク格付け 総合 格付け (1から5までのリスクスコアで評価) 経営陣による 管理責任 取締役会に よる監督 検討の 頻度2 取締役会全体 年に1回 贈収賄 収益 情報セキュリティ 環境 著作権侵害 その他 サプライヤー × × × × × × 内部監査部門 販売会社 クラウド プロバイダー × × × × × × (最高財務責任者) 監査委員会 四半期に1回 × × × × × × CCO(最高コミュニケー ション責任者) 監査委員会 四半期に1回 再販業者 × × × × × × CISO(最高情報セキュ リティ責任者) 監査委員会 年に1回 代理店 × × × × × × 事業部門 取締役会全体 年に1回 CFO (全ての 第三者を続けて 記載) 1 2 第三者取引先は、重要性の順に表示すること。 監督責任を負う取締役への報告の頻度。 第三者リスクの監督 9 お問い合わせ先 小林 昭夫 パートナー (080) 3158 6271 [email protected] 久禮 由敬 パートナー (080) 3270-8898 [email protected] 辻田 弘志 パートナー (090) 1424 3247 [email protected] 井坂 久仁子 ディレクター (080) 3253 3881 [email protected] 宇塚 公一 ディレクター (080) 3755 2909 [email protected] 岡本 晶子(大阪) ディレクター (080) 3254 7973 [email protected] 西村 智洋(名古屋) ディレクター (080) 3124 3153 [email protected] 阿部 功治 シニアマネージャー (080) 3508 9914 [email protected] 島袋 信一 シニアマネージャー (080) 3211 1349 [email protected] 手塚 大輔 シニアマネージャー (080) 4073 4034 [email protected] 平岩 修一(名古屋) シニアマネージャー (080) 9430 6898 [email protected] その他のトピック 「監査委員会 優れた実務シリーズ」で取り上げたその他のトピックは以下のとおりです。 日本語訳を作成しています。 財務報告の監督(2014年5月) 内部監査の監督(2014年7月) 外部監査人の監督(2014年9月) 会計方針の変更の監督 ― 新しい収益認識基準を含む(2015年2月) 役割、構成およびパフォーマンス(2015年5月) 当局の検査に対応する(2015年6月) サイバーメトリクス ― 取締役が知っておくべきこと(2015年9月) 不正防止における監査委員会の役割(2015年12月) 将来予測情報に関する実務ガイダンス(2016年5月) 詳細な情報(英語)は、以下からアクセスできます。 www.pwc.com/us/en/governance-insights-center/audit-committee-excellence-series.html PwCのiPad アプリケーション(英語)は、以下からダウンロードできます。 pwc.to/Get365 www.pwc.com/jp PwC Japanは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社(PwCあらた監査法人、京都監査法人、PwCコンサルティン グ合同会社、PwCアドバイザリー合同会社、PwC税理士法人、PwC弁護士法人を含む)の総称です。各法人は独立して事業を行い、相互に連携をとりながら、監査 およびアシュアランス、コンサルティング、ディールアドバイザリー、税務、法務のサービスをクライアントに提供しています。 PwCは、社会における信頼を築き、重要な課題を解決することをPurpose(存在意義)としています。私たちは、世界157カ国に及ぶグローバルネットワークに208,000 人以上のスタッフを有し、高品質な監査、税務、アドバイザリーサービスを提供しています。詳細はwww.pwc.com をご覧ください。 本報告書は、PwCメンバーファームが2016年2月に発行した『Audit Committee Excellence Series – Oversight of third-party risks』を翻訳したものです。翻訳には 正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。 電子版はこちらからダウンロードできます。 www.pwc.com/jp/ja/japan-knowledge/thoughtleadership.html オリジナル(英語版)はこちらからダウンロードできます。 www.pwc.com/us/en/governance-insights-center/publications/assets/pwc-aces-third-party-risks.pdf 日本語版発刊月: 2016年5月 管理番号: I201604-1 ©2016 PwC. All rights reserved. PwC refers to the PwC Network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.
© Copyright 2024 ExpyDoc
