第3のディフェンスラインは、内部監査です。第2と第3の違いは執行部門にあるか否かです。このことから内部監査部は社長や取締役会直属の組織になっています。

 3つのディフェンスラインは義務ではないので、できていなくても法的に問われることはありません。しかし、リスクマネジメント体制の有効性を検証するためには、わかりやすい考え方です。

「品質保証室」の置き位置が不適切

 暫定報告と最終報告で、試験・検査記録の自動化とデータ入力時の1人作業排除によってデータの改ざんを防止する対策が出ています。これは第1のディフェンスラインを強化するために有効な方法といえるでしょう。しかし不正行為はハッキングのようなもので、さらに巧妙な方法で不正が起きるかもしれません。

 品質保証体制の強化はすでに暫定報告で打ち出されています。具体的には各事業部門直轄の品質保証部(室)を置き、各事業所の品質管理と品質保証の機能を分離し、品質保証部署を事業所長直轄とするという対策です。

 現場でミスや不正が起きないように監視するのが、第2のディフェンスラインの役割です。本来なら、品質保証部署は第2のディフェンスラインであるべきですが、事業所直轄に置かれているため、事業所内の製造を監視する立場での検査ができません。これは拙著『企業不正の研究』で繰り返し指摘したことです。

 また、同書の中で、改ざんが数十年続いている拠点では不正の関与者が昇格して事業部長や役員クラスに昇格している可能性があり、そのような体制では品質保証部署からの監視が効かなくなるとしました。最終報告をみると、不正の実行者のうち2人がその後製造部長や工場長、製造所長などを経て役員になっています。まさに懸念していたことが起きていました。

 再発防止策では、品質保証部署の長を事業所の設計・製造部門長と兼務させないなど、品質保証の独立性を強化しています。しかし、品質保証部署が事業所長直轄にある限り、第2のディフェンスラインは不在のままです。

[画像のクリックで拡大表示]

次ページ 危うい監査機能