戦略的パートナー としてのコンプライ アンス部門
競争優位の獲得へ向けて
2015年度
コンプライアンス調査
ごあいさつ
PwC の第 5 回年次調査「2015 年度コンプライアンス調査」は、業界で一般的 なコンプライアンスの実施状況を理解し、今後、より効果的かつ効率的なコンプ ライアンス業務の計画を立てる上で必要なベンチマークデータをコンプライアン ス責任者に提供するために作成されました。2011 年に初めて発刊された本年次 報告書は、組織の構成と人材配置、責任の範囲、対象とするリスク、コンプライ アンス制度を管理するために守るプロセス、自由に使える経営資源などに関する 包括的な見解をコンプライアンス部門の責任者に提供することに主眼を置いてい ます。
クライアントからのフィードバックを検証し、前年度調査で得られた知見を取 り入れることで、報告書(質問)の内容を毎年進化させておりますが、調査の核 となる質問については経年比較ができるようにそのまま残しています。
私たちは、最高コンプライアンス責任者および最高倫理コンプライアンス責任 者(総称して CCO またはコンプライアンス責任者といいます)が現在直面してい る課題と、事業部門のパートナーになるために自らの役割をどのように拡大すれ ば組織の戦略と方向性に積極的に貢献できるかという点に着目して、調査結果を 5 つのポイントに分類しました。
2015 年度調査では、前年とほぼ同数の 1,102 社のコンプライアンス責任者が 回答にご協力くださいました。回答は 23 業種に及ぶ幅広い企業から得られ、その 企業収益も 5 億米ドル未満から 250 億米ドル超にまで及んだことから、多種多様 な組織のコンプライアンス部門に関する包括的な見解が得られました。本年度の 回答企業は、規模の点で昨年度と比較してやや大きいといえます。
本報告書は詳細な分析の一部であり、特定の業界に関する調査結果については 別途分析が行われる予定です。本報告書をお読みになった方は、業種別の結果分 析について、こちら(www.pwc.com/us/stateofcompliance)をご参照いただくこ とをお勧めいたします。なお、本報告書は、2015 年度コンプライアンス調査の一 部を取り上げたものです。本調査の質問全 21 項目の結果を表したチャートを含む 全調査結果についても、上記サイトでご覧いただくことができます。
2015 年度コンプライアンス調査から得られた情報が、貴社にとって洞察にあふ れた有益なものであるとともに、本報告書をコンプライアンス部門の有効性を高 める上でお役立ていただければ幸いです。
Sally Bernstein Principal, PwC
[email protected] +1 617 530 4279
Andrea Falcione
Managing Director, PwC [email protected] +1 617 530 5011
2015 年度コンプライ アンス調査(英語版)
の詳細はこちらをご覧 く だ さ い。pwc.com/
us/stateofcompliance
目次
はじめに 3
1. 経営戦略の策定に積極的に関与する
5
2. 組織にどのような「コンプライアンス」が存在しているか認識し、
7
責任範囲を把握する
3. 事業部門におけるコンプライアンス管理責任者と連携する
10
4. コンプライアンス部門の存在意義を評価し、見直す
13
5. コンプライアンスに係る業務効率および有効性を高める方法を探る
18
まとめ 23
今日のダイナミックな事業環境で は、新たなコンプライアンスリスクを 引き起こし、法的規制に影響を及ぼす ような潮流が急激に現れるため、企業 が基本的なコンプライアンス上の義務 を把握し、履行することは、かつてな く難しくなっています。この基本的な コンプライアンス上の義務には、適用 される法令全てと全社的なコンプライ アンス要件の順守や、幅広い任意の約 束の履行などが含まれます。
基本的なコンプライアンス上の義 務の履行がコンプライアンス責任者 の大きな責任であることに変わりは ありませんが、特に、規制当局や消 費者保護団体、物言う株主からの監 視が厳しい、いわゆる規制業種に属 する企業の場合は、それに伴う課題 を抱えていると私たちは認識してい ます。
PwC の第 18 回世界 CEO 意識調査
(2015 Global CEO Survey)では、急 速に変化する事業環境を乗り切る上 で CEO が直面する課題を取り上げて います。CEO にとって懸念材料とな るのは、経済ファンダメンタルズだ けではありません。78%の CEO が過 剰な規制を懸念事項として挙げてい ます1。この懸念事項は業界特有の規 制に限られたものではなく、貿易や 雇用といった分野にまで広く及んで います。しかし、こうした傾向が広 がっているにもかかわらず、PwC の 2015 年度調査から、倫理コンプライ アンス部門(以下、「コンプライアン ス部門」といいます)の変革は、わ ずかな前進にとどまっていることが 明らかになりました。
こうした環境はコンプライアンス 責任者にとって脅威であると同時に
機会でもあります。コンプライアン ス責任者によっては、成り行きを見 守り、先導者に追随する場合もあり ますが、コンプライアンス業務を基 本的要件の順守にとどめず、組織に 幅広く価値を付加するような戦略目 標追求の機会と捉えるコンプライア ンス責任者もいます。
78%の CEO が規 制強化を事業成長 の最大脅威である と回答
しかし、この機会を最大限生かすた めには、コンプライアンス責任者は 変化する事業環境、政治環境、経済環 境に迅速に適応する必要があります。
54%の CEO が新たな業種に参入した、
または参入を検討していると回答して おり、コンプライアンス責任者にとっ ては複雑性や規制上の不確定要素がさ らに増すことになります。
コンプライアンス責任者は、戦略的 な意思決定や方向性に主体的に貢献 し、事業部門と緊密な連携を図り、企 業文化の推進に協力し、企業の戦略全 体や主要イニシアチブに伴うリスク対 応を支援することが可能であり、しか も大抵の場合、その実現のために理想 的なポジションにいます。企業は、コ ンプライアンス部門の力を活用し、同 業他社よりも効果的に現在のリスクや 新たなリスクに対応することで、競争 優位を獲得する強力な手段を手に入れ ることができます。
どんな企業も過剰な規制に立ち向か う必要があります。法律や規制要件は、
業種や地域によって当然異なりますが、
同業種の企業や同地域で事業展開する 企業であれば、同等もしくは同様の規 制圧力にさらされます。では、同じよ うな規則や規制に直面する企業が、い かにして同業他社に対して競争優位を 確保できるのでしょうか。それは、コ ンプライアンス関連のリスク管理に優 れていることで実現できます。例えば、
クラウドプロバイダーの場合、データ セキュリティに対してより厳格なコン プライアンス基準を設けていることを 示すことができれば、新規顧客を獲得 する上で同業他社よりも優位に立てる でしょう。同様に、コンプライアンス 関連のリスクをより効率的に管理でき る企業であれば、それに伴う経費削減 分を顧客に対しては値下げという形で、
投資家に対しては利益還元という形で 転嫁することができます。
企業は、成長と利益を促す戦略や イ ニ シ ア チ ブ を 追 求 す る 上 で、 さ ま ざ ま な リ ス ク に 直 面 し ま す。 例 えば、多くの企業が新製品の発売や 顧客経験の向上に際して革新的なイ ニシアチブに取り組みます。そして 持 続 的 な 成 長 を 目 指 し て、 新 た な 提 携 先、 新 規 市 場、 さ ら に は 別 な 業 界 へ の 新 規 参 入 に ま で 目 を 向 け ます。しかし、こうした戦略はコン プライアンスリスクの問題をはらん でおり、コンプライアンス部門とし てだけでなく、全社的な事業課題と して取り組む必要があります。コン プライアンスリスクを効果的に管理 することができなければ、十分に練 り上げられた、考えうる最善の経営 戦略でさえも失敗に終わる恐れがあ るのです。
1 第18回世界CEO意識調査「A marketplace without boundaries? 境界なき市場競争への挑戦」PwC(2015年1月)
はじめに
78% 35%
コンプライアンス責任者は、定期的 に他部門の責任者と一緒に、経営戦略 や関連イニシアチブに伴う特定のコン プライアンスリスクについて慎重に検 討を重ねるべきです。そうすることで、
問題となるリスクを戦略実行の最中
(または最悪の場合、戦略実行後、想 定外のコンプライアンス問題が発生し てから)ではなく、計画の各段階で検 討することができます。また、コンプ ライアンス責任者は、他部門の責任者 による当該組織のリスクの検討を支援 し、経営戦略全体が確実に成功するよ うにリスク管理フレームワークを導入 することもできます。
2015 年度コンプライアンス調査報 告書では、コンプライアンス部門が いかにして基本的な法的規制要件の 順守という従来の義務から、組織内 でのより戦略的な役割に移行できる のか、5 つのポイントを設けて検討し ています。
1. コンプライアンス部門は経営戦略 の策定に積極的に関与しなければ ならない
2. コンプライアンス管理責任者は、
組織にどのような「コンプライア ンス」が存在しているか認識し、
自らの責任範囲を把握しておかな ければならない
3. コンプライアンス部門は事業部門 におけるコンプライアンス管理責 任者と連携しなければならない 4. コンプライアンス責任者はコンプ
ライアンス部門の存在意義を評価 し、必要に応じてそれを見直して いかなければならない
5. コンプライアンス責任者は業務効 率および有効性を高める方法を検 討しなければならない
PwC の Research to Insight(r2i)は、CCO、最高リスク管理責任者、ジェネラルカウンセル、最高内部監査責任者など、
コンプライアンスに対して責任を負う上級幹部を対象として、2015 年 2 月および 3 月に「2015 年度コンプライ アンス調査」を実施しました。
本調査の目的は、各企業がどのようにコンプライアンス部門を展開してきたか調べること、多くの利害関係者から の要求の高まりにコンプライアンス部門がどのように対応しているか理解すること、コンプライアンス部門がどの ような位置づけを目指しているのか明らかにすること、の 3 つです。
本年度調査では、責任の範囲、コンプライアンスコスト、リスク評価、コンプライアンス部門によるテクノロジー 利用について詳細に調査しました。
オンライン調査の回答者には PwC のクライアントとそれ以外の企業が含まれています。4 週間に合計で 1,102 社か ら回答が寄せられました。割合については、結果を四捨五入したこと、また「分からない」という回答を除外して いることから、合計が 100%にならない場合もあります。
PwC に よ る 第 18 回 世 界 CEO 意 識調査の結果、規制強化が事業成長 の最大の脅威であることが明らかに なった。CEO の大多数(78%)が過 剰な規制と、それが経営戦略と目標 の達成に及ぼす影響に懸念を表明し ている2が、経営戦略の策定や実施に CCO が関与していると回答した企業 は 3 分の 1 強(35%)にすぎない。
CEO は過剰な規制が戦略目標 の達成に及ぼす影響を懸念して いると回答したが、戦 略策定に CCO が関 与している企業は 35%にすぎない
この没交渉は驚くべき結果である。
規制が経営戦略に及ぼす影響に懸念が 高まっていることを踏まえ、CEO は CCO に戦略の方向性について助言を 求めるべきである。コンプライアンス 部門には、戦略目標の達成に脅威とな る規制上のリスクなどのコンプライア ンスリスクを特定・管理する能力が備 わっているはずだが、多くの CEO は コンプライアンス部門から得られるは ずのメリットを享受していない。ある 回答者は、「CEO や COO がコンプライ アンスにしっかり取り組んでいる姿勢 が見られない。口先だけだ」と回答し ている。
質問
貴社の事業戦略の策定・導入に、CCO/コンプライアンス部門はどの ように関わっていますか。35%
事業戦略策定に関する年次会議への出席18%
事業戦略に関する意思決定の後、その導入を支援15%
事業戦略導入後に発生した問題に対応17%
事業戦略の策定・導入には関わっていない2 第18回世界CEO意識調査「A marketplace without boundaries? 境界なき市場競争への挑戦」PwC(2015年1月)
1. 経営戦略の策定に積極的に関与する
78% 35%
3 第18回世界CEO意識調査「A marketplace without boundaries? 境界なき市場競争への挑戦」PwC(2015年1月)
戦略的パートナーとしてのコンプライ アンスの専門家
コンプライアンスの専門家は、企 業の成長目標や戦略的に達成すべき 事項に影響を及ぼす重要な経営上の 意思決定に貴重な知見を提供するこ とができる。車の運転者は、ブレー キが存在し、必要なときに止まるこ とができると分かっているから、安 心して車を加速させることができる。
これと同様に、効果的なコンプライ アンス管理があれば、CEO や上級幹 部は自信を持って成長戦略の実施に 伴うリスクを引き受け、しかも同業 他社よりも迅速に対応することがで きる。そういう能力においてコンプ ライアンス部門が垣根を広げ、機会 を捉える強力なプラットフォームを 提供すれば、コンプライアンス部門 は単に基本的要件を順守する以上の 存在になる。その結果、コンプライ アンス部門と事業部門の責任者が生 産的な関係を築く機会が必然的に生 まれ、事業部門はコンプライアンス 部門を周到な守りの部署として、ま た、多くは否定的な意味合い(「ノー」
しか言わない部署など)で見るので はなく、もっと協力的で主体的かつ 肯定的な方法(「可能性を模索する方 法」など)で捉えるようになる。
コンプライアンス責任者は、事業部 門による経営戦略やイニシアチブに関 連したコンプライアンス問題の検討を 支援することができ、それによって、
実施後に問題が発生するまで待つので はなく、前もって解決策を立案するこ とに協力できる。あるコンプライアン ス責任者は次のように回答している。
「コンプライアンス責任者は、事業に関 する知識と優先課題を明確に示し、コ
ンプライアンス要件を事後に追加する のではなく、業務プロセスの中にコン プライアンス要件をあらかじめ反映さ せておくことができなければならない。
そうすれば、コンプライアンス部門は 恐い存在ではなく、重要なパートナー であるという見方が広まることになる」
「 当 社 の コ ン プ ラ イ ア ン ス 部 門 が 監 視 役 と し て で は な く、 付 加 価 値 の あ る 資 産 と し て 機 能 す る た め に は、組織の戦略的方向性や事業運営 に対する理解を深める必要がある」
─ 2015 年度調査の回答者
コンプライアンス部門を戦略的に 活用することができれば、同部門は 市場における組織の差別化の一端を 担うことができる。例えば、現在の サイバーセキュリティ環境において、
ある小売業者がセキュリティ侵害に 対する脆弱性抑制につながるガバナ ンスやコンプライアンスに投資して いることを示すことができれば、そ のメッセージを利用することで、消 費者に、ライバル企業ではなくその 小売業者の店舗で買い物することの メリットを納得させることができる。
あるいは銀行の場合、顧客の利益優 先 で の 年 金 投 資 商 品 の 販 売 を 金 融 サービス会社に義務づける新法案を 順守していることを知らしめること ができれば、消費者はそうした銀行 の方に資金を預けることになるであ ろう。(一部の企業では、すでに同様 の前提で自社の売り込みを開始して いる。)
「 コ ン プ ラ イ ア ン ス は 新 規 顧 客 の 獲 得 や 維 持 に 重 要 で あ る。 組 織 内 に コ ン プ ラ イ ア ン ス の 重 要 性 を 広 め る た め に は、 コ ン プ ラ イ ア ン ス の 取 り 組 み が 営 業 成 果 に 直 接 結 び つ く よ う に す れ ば よ い 」
─ 2015 年度調査の回答者
コンプライアンス部門は、その企 業の基盤産業以外での成長を模索し ている企業にとって特に重要となる。
PwC が実施した世界 CEO 意識調査に よ る と、CEO の 56 % が 今 後 3 年 間 で新たな産業で競争する可能性があ ると回答している3。企業がテクノロ ジーや小売業といった規制が厳しく ない業種からヘルスケアや金融サー ビスなどの規制が厳しい業種に参入 する場合には、時に複雑ともいうべ き規制を順守できることが成功のカ ギとなる。
コンプライアンス部門の責任範囲は、
会社の規模や業種、企業文化によって 大きく異なるが、その定義については 意見が一致していなければならない。
コンプライアンス責任者とコンプライ アンス上の義務を監督する者は全て、
自身の責任範囲を理解するだけでなく、
法的規制要件の順守から社内の経営上 その他戦略上の義務の順守まで、どの ようなコンプライアンスが組織に存在 しているか意見の統一を図る必要が ある。最高財務責任者が、自ら資金を 使うことはなくとも、会社の資金がど こに使われているかを全て把握してい るように、CCO も、自らが全てのコン プライアンス上の義務やリスク低減活 動の責任を負わなくとも、組織が社内 の全てのコンプライアンス上の義務と
課題にどのように対応しているか理解 していなければならない。
コンプライアンス上の義務が組織の どこに存在し、どのようにその義務を 追跡・報告しているか把握するように なることは、コンプライアンス制度を 充実させ、コンプライアンス部門が組 織に価値を付加する上で重要なステッ プである。業務の中で誰がどのコンプ ライアンス上の義務を管理しているか 理解することで、コンプライアンス責 任者は全社的に価値を付加する機会を 特定することができる。
業種(金融サービスなど)によっ ては、CCO が事業運営を十分に理解 している場合もあるが、会社が法令 を順守しているか否かの判断を各事 業部門のスペシャリストに任せてい る場合もある。CCO は事業部門から コンプライアンスの対応状況につい て具体的な説明を受け、通り一遍の 説明(「○○(他の者)が対応している」
など)で納得してはいけない。
質問
コンプライアンス部門は、下記事項について一義的なオーナーシップある いは説明責任を負っていますか。直接的なオーナーシップ
行動規範 86%
企業倫理に関するプログラムと統制 84%
FCPA(連邦海外腐敗行為防止法)/贈収賄防止 76%
不正調査 71%
ホットライン 68%
コンプライアンスに関する監査 68%
ポリシー管理 63%
プライバシー/データの保護 60%
委託先/ベンダーなどに関するコンプライアンス 52%
記録管理 49%
ERM(全社的リスク管理) 43%
輸出管理に関するコンプライアンス 32%
内部監査 31%
輸入管理に関するコンプライアンス 29%
2. 組織にどのような「コンプライアンス」が存在しているか
認識し、責任範囲を把握する
ほとんどの企業でコンプライアン ス部門以外の部署が全面的または部 分的にコンプライアンス上の義務の 多くに対応している。例えば、デー タの機密性、貿易コンプライアンス
(輸出入取引)、紛争鉱物など、業務 分野のコンプライアンスには、事業 部門が直接対応することが多く、コ ンプライアンス部門の関与は監督と 支援、また多くの場合で取締役会へ の報告にとどまっている。しかし、
こうした役割は組織によって異なる のも事実だ。
「社内の各コンプライアンス領域の責 任者は誰か」と自分に問いかけてみよ う。すぐに答えられない、あるいは利 害関係者によって答えが異なる場合に は、コンプライアンスの責任範囲を明 確に定義する必要がある。
コンプライアンスの責任範囲を明 確に定めたら、CCO は社内のコンプ ライアンス管理責任者にその期待を 明確に伝えなければならない。そし てコンプライアンス上の役割につい て、指揮する者、従う者、遂行する 者がそれぞれ誰なのか、明確にする 必要がある。しかし、本調査結果と クライアントとのやり取りの中から、
これまで一般的にコンプライアンス の範囲は明確に定義されておらず、
組織内でも明確に伝えられていない ことが明らかになった。その結果、
コンプライアンス管理にギャップが 生じる、あるいはコンプライアンス 活動の遂行や監視が不十分なために 想定外の問題が生じることがある。
監督の重要な役割
誰がどのコンプライアンス上の義務 の管理責任を負うかに関係なく、コン プライアンス部門は、全てのコンプラ イアンスリスクが組織全体で効果的に 管理されるように徹底しなければなら ない。従って、コンプライアンスの全 領域を CCO の管轄下に置き(ただし、
必ずしも直接的な管理責任を負う必要 はない)、それらを共通フレームワー クの下に管理するとともに、コンプラ イアンス部門が一元的に監督を行う態 勢を構築するべきである。この一元的 監督によって、CCO は、会社全体に わたる全ての主要なコンプライアンス 上の義務を CEO と取締役会にとって 直接見えるようなものとすることがで きるのである。また、想定外の事や問 題点を迅速に指揮命令系統に報告する ことができるので、適切な対応を図る ことが可能となる。
コンプライアンスの範囲を理解する上 で役立つツール
組織がコンプライアンスの範囲を文 書にまとめる上で利用できるツール は、アシュアランスマップからコンプ ライアンスリスク一覧表やダッシュ ボードまで数多くある。こうしたツー ルは、各コンプライアンス管理責任者 を決める際の話し合いや交渉の出発点 として有効なものとなり得る。
その一例として、ブルズアイチャー ト(図 1 参照)を挙げる。チャートの 中央は、行動規範や利益相反など、基 本的にコンプライアンス部門が直接管 理する領域を表す。中央の円のすぐ外 側は、政府との契約、製品の安全性と コンプライアンス、サードパーティの デューデリジェンスといった、コンプ ライアンス部門が直接管理しないが監
視役を務める領域を表している。さら にその外側の輪は、コンプライアンス 部門が直接監督責任を有する領域と、
コンプライアンス問題を管理するフ レームワークを提供し、問題が発生し たときに対応する領域から構成され、
製品品質表示や記録管理などが含ま れる。ブルズアイチャートの外は、税 法やサーベンスオクスリー法の順守な ど、完全にコンプライアンス部門の管 轄外の領域となっている。
次ページのブルズアイチャートは一 例を示したものにすぎず、組織のニー ズに合わせて修正する必要がある。実 際、組織の事業と、関連するコンプラ イアンスリスクの管理責任が変化、発 展するに伴い、チャートは変わる可能 性がある。ツールの目的は、あくまで も組織の中でコンプライアンス管理を 行っているのがどこなのか、それを明 確化することである。
政府との契約 製造物責任 職場の安全と労働安全衛生法(OSHA)
インサイダー取引 ソーシャルメディアその他テクノロジーの活用 競争 製品の安全性とコンプライアンス サードパーティのデューデリジェンス 税関と貿易コンプライアンス
製品品質表示 M&Aデューデリジェンス/統合 記録管理紛争鉱物 知的財産/秘密保持契約および戦略的協定 事業継続労務
コンプライアンス上の義務の実例
行動規範贈賄防止および腐敗防止 経営方針管理
データの機密性 利益相反
範囲外:財務報告、
サーベンスオクスリー法、税法 図1:コンプライアンスの範囲の特定;実例を示すツール
管理責任
監視 監督責任
コンプライアンス部門:役割の実例
コンプライアンス部門の役割と責任は組織によって大きく異なるが、それを決定するのは一般的に企業文化である。
私たちは、これまでさまざまな管理責任や責任体制を見てきたが、以下に2つの実例を挙げる。
法務重視型コンプライアンス部門 ある大手企業の事例
CCOは専ら法律/規制義務に対応しており、国際標 準化機構による技術基準のコンプライアンスや自主的 な環境基準といった一部のコンプライアンス活動につ いては、事業部門に任せている。これまでコンプライ アンス上の義務が特定の法的要件や規制義務によって 明確に推し進められるものであるか、これらと結びつ いていない限り、事業部門がリスク管理の責任を負う ものとされ、中心となるコンプライアンス部門の関与 はほとんど、あるいは一切なかった。こうして明確な 指針がないまま、そうした状況がコンプライアンスギ ャップの潜在化につながった。
この企業の場合、コンプライアンス部門が厳に重視 しているのは法律面で、事業部門を守ろうという強い 意識による。だが、こうした企業の場合、コンプライ アンス部門が事業部門内のコンプライアンス活動を監 督することは極めて難しく、全く力が及ばないことも ある。
新たなコンプライアンスリスクの支援 もう一つの企業の事例
CCOはコンプライアンスリスクと関連する内部統制 について幅広く評価を実施し、効果的に管理されてい ない新たな主要リスクを特定した。その上で事業部門 の主要協力者数名と協議し、上級幹部と意見の統一を 図った後、CCOは対象となるコンプライアンスリスク を管理する人材を雇用した。リスクの性質は主に業務 上のものであり、通常であれば事業部門で対応する。
しかし、今回のケースについては、事業部門内にコン プライアンスリスクの管理と当該リスク領域における 内部統制の管理責任を負う体制が整っていなかった。
そのため、新たに雇用した人材はコンプライアンス部 門に所属した上で、いずれ適切な時期にコンプライア ンスの管理義務を事業部門に移し、最終的に事業部門 がその責任を負うまで、新たなリスク領域の支援に当 たることになった。
コンプライアンスの責任範囲を定 義し、管理責任者に伝達したら、コ ンプライアンス部門は、組織内での 位置付けに関係なく、組織全体のコン プライアンス関連の主要リスクと活動 の全てが効果的に管理されるよう徹底 しなければならない。そこで、通常コ ンプライアンス上の義務の大半を管理 している事業部門との連携が必要とな るが、そのためには中心となるコンプ ライアンス部門と事業部門内のコンプ ライアンス管理責任者との間に活動の 連携と調整が円滑に進むような体制が 整っていなければならず、また、コン プライアンス上の義務に関する明確な
説明責任を組織全体に求めていく必要 がある。
重大リスクを効果的に管理するため には、多くの分野で連携が必要となる。
そこで多くの組織にとって優先課題で あるサイバーセキュリティについて考 えてみる。通常、サイバーセキュリティ リスクの管理責任者はテクノロジー責 任者またはセキュリティ責任者だが、
問題が複雑なため、いくつもの異なる 要素をコンプライアンス責任者や事業 部門の責任者、法務部など複数の担当 者が、連携をほとんど図ることなく対 応している。
こ う し た 連 携 不 足 か ら 生 じ た ギャップがサイバー犯罪者につけこ ま れ る こ と に な る。 実 際、PwC の 2015 年グローバル情報セキュリティ 調査によると、検知したセキュリティ インシデントの件数は、2013 年から 48%増加して 4,300 万件に達してい ることが分かった。インシデントが 増加すれば、コストも増加する。セ キュリティ侵害を原因とする 2014 年 の 経 済 的 損 失 額 は 2013 年 か ら 34%上昇した4。
4 2015年グローバル情報セキュリティ調査、PwC
質問
コンプライアンス委員会のメンバーとなっているのは以下のどの部門ですか。0 20 40 60 80 100
2014年 2015年
コンプライアンス 法務 内部監査 財務 人事 リスク管理 オペレーション IT ビジネスユニット 営業・販売・マーケティング サプライチェーン 調達 研究開発 IR(Investor Relation)
その他
3. 事業部門におけるコンプライアンス管理責任者と連携する
縦割り型アプローチを見直す
セキュリティ侵害の件数とコストが 増大していることから、多くの企業が サイバーセキュリティ管理に対する縦 割り型のアプローチを見直している。
サイバーセキュリティのリスクを効果 的に管理するためには、テクノロジー の専門知識、法律知識、コンプライア ンスの専門知識、リスク管理の経験、
事業に対する理解力を備えたチームの 間で連携を図る必要がある。例えば、
情報技術部門、法務部門、コンプライ アンス部門、各事業部門の責任者、外 部の利害関係者が効果的に連携して企 業を守る一体型モデルが求められる。
サプライチェーンリスクも、新たな 地域に進出しようとしている企業に とっては特に懸念が生じる領域で、コ ンプライアンス部門との連携が必要に なる。サプライヤーやサードパーティ のコンプライアンスは、今後予想され る最大リスクとして上位に急浮上して きており、回答者の 22%が将来的な リスクとして上位 3 つの中に挙げてい るが、この割合は 2014 年調査から倍 増している。この重要なリスク領域の 管理は、企業がベンダーのレジリエン シー(対応・復旧力)やコンプライア ンス、関連する事業継続リスクへの対 応に苦慮していることから、コンプラ イアンス部門、調達部門、流通部門、
サプライチェーン部門などの責任者の 間で分担する場合が多い。
重大リスクの管理責任者は誰か サプライヤーの問題が脅威を増して いるにもかかわらず、コンプライアン ス委員会にサプライチェーンの人員が 参加している企業はわずか 13%で、昨 年の 12%から微増にとどまっている。
では、この優先課題はどこか別のとこ ろが対応しているのだろうか。そして、
そうであった場合には、CCO の協力が 得られているのだろうか。その答えが、
いずれも「はい」であり、たとえサプ ライチェーンリスクが従来のコンプラ イアンス委員会体制の外で管理・監督 されていたとしても、CCO が適切に関 与していることを期待したい。しかし、
コンプライアンス委員会にサプライ チェーン担当者が参加していないため、
私たちの調査結果からこの点を判断す ることは難しい。
サプライチェーンのケースは一例に すぎない。この他にもコンプライアン ス委員会に参加していないハイリスク 領域(営業・販売・マーケティング、
調達、研究開発)が依然としてある。
こうした領域のコンプライアンスリス クについて、事業部門の人員がコンプ ライアンス委員会に参加して対応して いないのであれば、そのリスクはどこ で管理されているのか。そしてコンプ ライアンス部門は、こうしたリスク管 理を監督しているのか。そうでないの であれば、いかにして企業は、各コン プライアンス管理責任者が共通フレー ムワークに従い、リスクを効果的に管 理していると確信できるのであろうか。
図2:PwCのコンプライアンスフレームワーク(連邦量刑ガイドラインに対応)
経営戦略
経営管理
業務の監督
経営者の姿勢
リスク評価
監督と責任 方針と手続き
監視
監査 研修 執行と規律 対応と予防 コミュニケーション
(社風)
コンプライアンス部門は、事業部門がコンプライアンスの問題に対応する際に役立つフレームワークを開発すべきである。
このフレームワークはCCOが各事業部門の責任者と連携する上で活用できる効果的なツールである。
事業部門の管理責任者にフレームワー クを提供する
私たちは、コンプライアンス部門が サプライチェーンやサイバーセキュ リティなどの重大リスクの責任を常に 直接負うべきだといっているのでは なく、こうしたリスクの管理と監督を 主体的に検討し、対応することを提唱 している。コンプライアンス部門は、
事業部門がコンプライアンスの問題に 対応する上で役立つようなフレーム ワークを開発し、そのフレームワーク を順守しているか監督する。
コンプライアンスフレームワーク
(図 2 参照)は、個々のリスク(詐欺、
汚職、プライバシー、セキュリティ などのリスク)を管理する体系的な アプローチである。フレームワーク には方針と手続き、タイムリーな監 督を支援し、プロセスにおける目標 実現状況の監視、プロセスが意図し たとおりに実施されていることを確 認する監査などが含まれる。コンプ ライアンスフレームワークは、各事 業部門のコンプライアンス管理責任 者にリスク管理の一貫したアプロー チを提供する上で役立つ。私たちの
経験では、こうしたフレームワーク は CCO が各事業部門の責任者と連携 する上で活用できる効果的なツール となり得る。
「CCO とは、問題が生じたときだけ現 れる嫌なやつ、というのが大半の見方 である」
─ 2015 年度調査の回答者
過剰な規制は時として事業成長の最 大の脅威と捉えられるが、CCO にとっ ては、組織におけるコンプライアンス 部門の重要性を主張する絶好の機会に もなる。リスクの増加や加速する変化、
規制の増大に伴い、CCO にとってコン プライアンス部門の存在と組織におけ るその立場を引き上げる機会がこれほ ど大きかったことはかつてない。今後、
事業と規制環境の結びつきがさらに強 まり、戦術・戦略上の対応を誤った場 合の処罰が重くなることから、私たちは CCO とコンプライアンス部門の役割は さらに重要度を増すものと見ている5。
リスクの 増 加 や 加 速 する 変化、規制の増大に伴い、
CCO にとっては、コンプライ アンス部門の存在と組織に おけるその立場を引き上げる にあたり、かつてないほど大 きなチャンスが訪れている。
戦略的役割を妨げる障壁を乗り越える 法律面に絞り込んだコンプライアンス 対応
将来のコンプライアンス部門の姿とし ては、戦略的な役割と組織内での存在 意義の強化が想定されるが、コンプライ アンス部門の対応領域を法律面に絞り 込んでいる企業が依然として多い。この 点は、多くの企業でコンプライアンス機 能を法務部門の中に置いていることを踏 まえると納得がいき、ある程度の説明 はつく。本年度の調査結果から、コン プライアンス部門は私たちの予想以上 に法務に偏っていることが分かる。以下 のグラフに示すとおり、CCO を任命して いない企業の 48%で事実上の CCO が ジェネラルカウンセルである。CCO を任 命している企業の場合、その 3 分の1 弱(31%)がジェネラルカウンセル直属、
26%が CEO 直属であった。また、CEO 直属の CCO の場合、ジェネラルカウン セルを兼任するケースも多く見られた。
5 今後、CCOの戦略的役割が重要度を増す理由については、“The surprising truth about the C-suite star of 2025,” Resilience: A journal of strategy and risk, PwC(2014年)の中で詳細に考察している。
質問
最高コンプライアンス責任者(CCO)または最高倫理コンプライアンス 責任者(CECO)は、誰の指揮命令系統下にありますか。0 5 10 15 20 25 30 35
最高財務責任者(CFO)
内部監査部門長 最高リスク責任者(CRO)
取締役会/監査委員会 最高経営責任者(CEO)
ジェネラルカウンセル/法務 担当役員ジェネラルカウンセル
25
48 45
17
42
31%
26%
21%
8%
2%
2%
4. コンプライアンス部門の存在意義を評価し、見直す
コンプライアンス機能を法務部門の 中に置くことは、企業によっては現実的 な解決策であろうし、利点もある。例 えば、コンプライアンス対象事項の専 門家が法務部門に多くいるのであれば、
コンプライアンス管理の効率化を図るこ とができよう。
しかし、私たちはコンプライアンス機 能を従来の法律重点対応から拡大させ ることの利点について先に述べており、
法務部門の中にコンプライアンス機能 が置かれている限り、その実現はより 困難であろう。ジェネラルカウンセルや 法務担当者は当然ながら企業を守るこ とを重視する。しかし、企業を守ると 同時にコンプライアンスの透明性を確 保しなければならない状況において、こ のケースでは必然的に緊張が生まれる。
ある回答者は次のように述べた。「意識 を高め、コンプライアンスに対する懸 念を伝えることを、法的リスクの拡大懸 念や弁護士・依頼者間秘匿特権を理由
に法務部門が阻むことのないようにする 必要がある」
理想的には、コンプライアンス部門 を CEO 直属の独立部署とし、役員レベ ルの専任 CCO を置くことを推奨する。
CEO の検討課題により密接に結びつく ことで、CCO は主体的に動くことがで き、戦略的意思決定に関与することが できる。一方、事業部門の責任者がコ ンプライアンス部門を法律順守の監視 役と見なすと、CCO を貴重な知見を提 供できる戦略的パートナーと捉えること が難しくなると思われる。法務部門所属 のコンプライアンス責任者は、戦略的知 見をもって組織に貢献する際に、こうし たさらなる課題に直面するということを 認識する必要がある。
スキルや経験、事業運営の知識・経験 において多様性に欠けるコンプライアン スチーム
コンプライアンス部門が組織のどこに 所属しているかに関係なく、依然として 同部門を構成するスキルと経験はコンプ ライアンス、倫理、法務である。デー タ分析経験、テクノロジーの専門知識、
事業運営経験、業界知識の他、コンプ ライアンス部門をより充実したものにし、
経営戦略に寄与するようなスキルセット と知識・経験は、現時点で十分に備わっ ているとはいえない。しかし、回答者の 55%は、コンプライアンス部門に業界 知識と事業運営経験を有する人材が配 置され、いずれもコンプライアンス制度 を意義と意味のあるものにする上で極め て役立っていると述べている。
質問
CCOの役目を果たしているのは誰ですか。0 10 20 30 40 50
財務部長
最高情報責任者(CIO)
最高経営責任者(CEO)
最高執行責任者(COO)
最高総務責任者
コンプライアンスマネージャー その他
その他-法務
最高財務責任者(CFO)
人事部長 内部監査部門長
最高リスク責任者(CRO)
VP/AVP/コンプライアンスディレクター ジェネラルカウンセル
48%
10% 6% 6% 5% 5% 5%
3% 2% 1% 1% 0%
4% 4%
コンプライアンスチームの構成は規 制の範囲によって異なる。規制産業に 属する企業の大多数が倫理、法務や監 査、規制および業界に関する経験を備 えた多様性の高いコンプライアンスチー ムを設けている。一方で、規制が厳しく ない業種のコンプライアンス部門の場 合には、主に法律と倫理の専門知識を 備えた者で構成され、その他の分野の 知識を備えた者も配置している企業は 半数程度であった。
質問
Composition of compliance teamsコンプライアンス部門には、下記のスキルや経験を持つ方がいますか。0 10 20 30 40 50 60 70 80
コンプライアンスまたは倫理 法務(弁護士・弁護士補佐など)
監査 規制コンプライアンス 所属業界に関する専門性 オペレーション 財務 人事 データ分析
テクノロジー 33%
33%
43%
55%
55%
64%
65%
80%
80%
28%
コンプライアンスの人材構成の幅を広 げる
事業部門の責任者の目に映るコンプ ライアンス部門の存在感を引き上げる ために、CCO はチームの人材構成の幅 を広げる必要がある。コンプライアン スが複雑性を増し、事業戦略の遂行に 欠かせない中、CCO は事業、業界、複 雑なデータ分析、テクノロジーのスキル や知識を備えた人材をチームに加える と良い。そうすることでコンプライアン ス部門は組織の中でこれまでよりも戦 略的な役割を果たすことができるように なる。つまり、コンプライアンス部門の 存在意義を高めるのは人材である。
業種によっては、CCO に求められた 従来のスキルも変える必要があるかも しれない。例えば、金融サービス業界 のコンプライアンス部門は過去数年の 間に急激に拡大し、レメディエーション
(是正対応)やルックバック制度などの 大型プロジェクトに対応する必要がで てきた。その結果、CCO には、大規 模なチェンジマネジメントの経験や一 流企業で指導的役割を果たした経験が 求められる。私たちは、規制環境がま すます複雑化することを踏まえ、求め
られるスキルの進化が続くものと見て いる。
コンプライアンス部門が、最高経営 幹部となるような優秀な人材を惹きつ けるダイナミックで刺激的な選択肢とな るために、CCO は社員のキャリアの機 会を広げる新たな方策を検討する必要 がある。しかし、コンプライアンス部 門を内定者にとっての魅力的な選択肢 として位置づけることは難しいと認める CCO もいる。ある回答者は、「倫理コ ンプライアンス部門は魅力的な異動先 とは見られていない。そのため、人材 の採用に際しては、同部門に配属され たとしても、事業部門に栄転できること をはっきりと示さなければならない」と 述べ、別の回答者は、「経営全般のさま ざまな役割に携わる前に、組織内のあ らゆるレベルのコンプライアンス業務 に必ず配属されるようにするとよい」と の見解を示している。
こうした提案は一考の価値があるか もしれないが、私たちの調査から大半 の企業が有能な候補者を採用する措置 を講じていないことが明らかになった。
本年度調査では、人材の獲得方法につ いて質問したところ、主な方法は競争 力のある報酬パッケージの提示であっ た。他の革新的な方法を検討し、効果 的なコンプライアンス制度の構築とコ ンプライアンス部門への幅広い視野の 提供に必要な人材の獲得や維持に動い ている企業は、ごく限られていること が分かった。例えば、コンプライアン スの主要ポジションから上級ポジション へのキャリアパスを正式に整備している 企業は 23%、特定の大学や大学院か ら積極的に人材を採用している企業は 13%、コンプライアンス担当者に事業 部門での魅力的なポジションを用意し ている企業は 9%にすぎない。
将来を見据えた CCO であれば、これ らの調査結果を活用して、コンプライ アンスチームにふさわしい優秀な人材 を採用するための画期的な方法を開発 することができよう。そうすれば、労働 市場で競争優位を獲得することになる。
最高経営幹部の支援を得る
CCO は現在の環境をコンプライアン ス部門の存在意義を高める好機と捉え、
同部門が会社の戦略目標の実現にいか に貢献できるか CEO にはっきりと伝える べきである。事業、業界、テクノロジー のスキルや知識を備えた多様性のある チームを構築することによって、コンプ ライアンス部門が単なる法律順守の監 視役ではなく、業績を重視する戦略的 パートナーであることを知らしめること になり、最高経営幹部からの支援を得 ることにもつながる。
コンプライアンス部門の存在感をさ らに高めるために、CCO は各事業部門 の責任者との間に信頼を醸成し、戦略 的パートナーシップを築く必要がある。
さらに、CCO は、コンプライアンス部 門の役割を、経営幹部の逮捕や会社 がマスコミの餌食となるのを防ぐだけ のものから、事業を推進し、成長目標 の実現を倫理的で費用対効果の高い 効率的な方法で支援することに移行さ
せることで、その価値を確立する方法 を引き続き模索しなければならない。
また、コンプライアンスリスクの検討と 低減を怠れば、会社の利益を伴う成長 力と効果的な競争力が著しく損なわれ る恐れがあるということを発信する必 要もある。
私たちは、多くの組織において CCO が役員レベルのポジションについていな いことを認識しているが、業界を問わず、
CCO がそれを求めてはいないということ もよく耳にする。というのも人員削減と 職務拡大によって仕事は厳しさを増し、
より戦略的な役割を果たす時間がほと んどないからである。
私たちは、CCO は自身が役員レベル のポジションに就くことを強く求めるべ きであると考えるが、組織内におけるコ ンプライアンス部門の位置付けによっ て、それが必ずしも可能ではないことも 理解している。コンプライアンス部門 の位置付けは業界や規制環境によって 大きく異なる。そうであったとしても、
CCO が戦略的な役割を求めることに消 極的であるのならば、それは、収益拡 大を重視し、サポート機能を軽視する 上級幹部が、コンプライアンス部門の 潜在能力を戦略目標の達成のために生 かしていないということであろう。複雑 性が増し、事業リスクが増大する時代 において、有能なコンプライアンス責 任者はどんな企業にとっても重要な資 産である。
質問
コンプライアンス人材を確保するためにどのような施策を行っていますか。0 5 10 15 20 25 30 35
競争力のある給与・福利厚生パッケージの提供 コンプライアンス上級管理職への 正式なキャリアパスの確立 ビジネス部門からコンプライアンス部門への 短期ジョブローテンション コンプライアンスにおける経験を、
経営陣への昇進要件として追加 大卒・大学院卒の学生を積極的に採用 コンプライアンス部門の人員に対する、ビジネス 部門における魅力的なキャリアパスの提示
人材確保へ向けた施策は行っていない 30%
9%
23%
32%
13%
13%
13%
コンプライアンス部門の責任範囲と 役割の明確化を図り、事業部門のコン プライアンス管理責任者と連携すること
(既に考察した 2 つの重要な責務)で、
CCO はコンプライアンスリスクに関する 知識を備えた信頼できる実力者と見な されるようになり、その結果、CEO にとっ てその重要度と有益性が増す。コンプ ライアンス部門の戦略的な役割に対す る支援を最高経営幹部から得るために、
CCO は CEO の最重要課題でもある主 要コンプライアンス問題に焦点を当てる とよい。例えば、(本年度調査に新たに
加わった)データセキュリティは、今後 予想されるリスクとして他の領域を大き くしのいでおり、回答者の 47%が上位 3 つのリスクの中に挙げている。この結 果は PwC の第 18 回世界 CEO 意識調 査とも一致しており、CEO の 61%がデー タセキュリティの不足も含め、サイバー 脅威を「ある程度」または「非常に」懸 念していると回答している6。この問題 や他の重大リスクについて、またコンプ ライアンス部門がこれにいかに対処でき るかという点について CEO と話し合うこ
とで、同部門が有する戦略上の価値を 実証する端緒とすることができる。
6 第18回世界CEO意識調査「A marketplace without boundaries? 境界なき市場競争への挑戦」PwC(2015年1月)
質問
今後5年間(2020年まで)に予想されるコンプライアンスリスクについて、該当するものを3つお選びください(上位3つをお選びください)。
Data security is the future risk most frequently selected by respondents
47% 31%
2015 2014
0 10 20 30 40 50
物理的セキュリティ 倫理にかなった調達インサイダー取引 ソーシャルメディア 企業の社会的責任(Corporate Social Responsibility)
公正な競争/独占の禁止政府との契約安全/環境記録の管理 輸出入コンプライアンスマネーロンダリング雇用・労働規制消費者保護知的財産事業継続規制対応利益相反不正 サプライヤー・ベンダー・外部委託先に係るコンプライアンスプライバシー・秘密保護データセキュリティ業界特有の規制贈収賄
0 5 10 15 20 25 30 35
インサイダー取引記録の管理 倫理にかなった調達 労務コンプライアンスソーシャルメディア 公正な競争/独占の禁止 企業の社会的責任(Corporate Social Responsibility)サプライヤーのコンプライアンス輸出入コンプライアンスプライバシー・秘密保護マネーロンダリング業界特有の規制政府との契約セキュリティ戦略的リスク安全/環境知的所有権消費者保護事業継続利益相反規制対応贈収賄不正
収益環境が厳しくなる中、規制要件 が強化されているにも関わらず、予算の 削減に直面しているコンプライアンス部 門もある(回答者の 8%)。コンプライア ンスチームは、予算を抑えながらも高ま る要求に応えるために、業務効率と有 効性の向上を実現する方法を模索しな ければならない。
あらゆる事業分野において、コスト に見合った価値を把握し、これに合わ せようとする動きが引き続き見られる。
しかし、コンプライアンスの範囲の特 定と活動の実施は、組織によって異な るため、どのような項目をコンプライ アンスコストとするか、一概に決める ことはできない。
例えば、コンプライアンスは法令を順 守する行為に関連した活動と定義するこ とができるが、これはすなわちコンプラ
イアンス問題の対応費用といえよう。コ ンプライアンスコストは、コンプライア ンス活動に伴う積極的支出(義務や予 防的支出)や、違反への緊急対応とコ スト回避(罰金の回避など)に伴う防御 的支出など、いくつかに分類することが できる。しかし、こうした分類も組織に よってさまざまに異なる。
質問
CCOまたはコンプライアンス部門は、コンプライアンス 関連のコストを算出していますか。いいえ 分からない 25 はい
24%
41%
35% 45
質問
コンプライアンス関連費用を算出する際、以下のどの 要素を考慮しますか。25
48 45
17
42
直接費用
74%
コンプライアンス関連の取り組み
69%
システム、ツール
57%
外部委託先(例:派遣職員、契約職員、
コンサルティング費用など)
55%
間接費用
51%
コンプライアンス違反時の直接費用
36%
その他
2%
分からない
12%
質問
コンプライアンス関連費用を算出しない理由について、該当するものを全てお選びください。0 5 10 15 20 25 30 35 40
その他 不明 自社にとって重要ではない 費用算出はコンプライアンス部門以外の他部門が実施している コンプライアンス関連費用以外の情報を用いて予算を策定 計算が困難 社内で要求されたことがない
25
48 45
17
40%
15%
28%
20%
9%
7%
5. コンプライアンスに係る業務効率および
有効性を高める方法を探る
こうした難しさもあって、コンプライア ンスコストを計測している CCO はわず か 41%に過ぎず、計測しようとしたこと がない企業も 35%に上ることが調査か ら明らかになった。しかし、難しいとは いえ、2015 年の世界 CEO 意識調査で コスト削減が CEO の優先課題であるこ とが明らかになっている7ことを踏まえ、
どの領域でコンプライアンスコストが有 効に使われているか明らかにすることは 重要である。
3 つの分野で効率化を図る
さまざまな地域で事業展開すること の複雑性、100 万米ドル超の予算を獲 得しているコンプライアンス部門がわず か 33%であること、また、コンプライ アンス予算が前年度と同程度には増額 されなかったことを踏まえると、直接経 費の削減は難しいであろう。私たちは、
3 つの分野において生産性とコスト効率 を高める機会があると見ている。
• リスクの識別と評価
• コンプライアンスの監視と検証
• テクノロジーソリューション
リスクの識別と評価
年に 1 回コンプライアンスリスクを評 価している企業が大多数(67%)を占め、
それより頻度の少ない企業は 11%にす ぎなかった。3 分の 2 以上(67%)の 企業がリスク評価に重要なステークホル ダーの協力を得ているが、これは全ての コンプライアンス部門が取り入れるべき 手法である。その他にも主要業績評価 指標(KPI)やフォーカスグループ調査 の実施など、多くの企業がさまざまな手 法を取り入れている。
大多数の企業がコンプライアンスリス クの評価を適正な頻度で行っているも のの、事業戦略を支援する上で必要な 情報となるコンプライアンスリスクの増 大または縮小の判断に必ずしもその評 価結果を利用していない。その代わり、
多くの企業が、研修や内部統制、方針 や手続き改正、あるいは内部監査計画 の改訂にこれらを利用している。
質問
以下の事項のうち、コンプライアンスリスク評価の際に実施しているもの を全てお選び下さい。0 10 20 30 40 50 60 70 80
その他 不明 フォーカスグループ(グループインタビュー)の実施 取締役会からのインプットを依頼 従業員アンケートの実施 ビジネス部門のコンプライアンスKPIの分析 コンプライアンス関連の違反事象の分析 重要ステークホルダーとの連携
17
42
67%
58%
41%
29%
23%
21%
13%
9%
7 第18回世界CEO意識調査「A marketplace without boundaries? 境界なき市場競争への挑戦」PwC(2015年1月)
