内部通報と事後調査だけでは遅い――不正リスクを“結果”ではなく“プロセス”で捉える

塩川 晃平

上場企業にとって、内部通報制度の整備や規程類の整備、研修の実施は、もはや当然の前提となっている。しかし、それらが一通り揃っているにもかかわらず、不正の兆候を捉えきれず、問題が表面化して初めて対応に追われる事例は後を絶たない。

問われているのは、制度の有無ではない。
その制度が、不正の兆候を“起きてから”しか拾えない設計になっていないかである。

2026年3月に日本証券業協会、日本取引所グループ、日本公認会計士協会が共同で公表した「新規上場時の会計不正事例を踏まえたIPO関係者の対応について」でも、経営陣から独立した通報窓口の設置状況や通報者保護の環境整備、不正リスクに関する情報収集・連携、さらにはAI活用等による情報収集・分析能力の向上が打ち出された。

そこに表れているのは、形式的な制度整備だけでは不十分であり、実効性のある情報設計と監視能力が求められているという市場のメッセージである。

会社がいま直面している課題は、単に「内部通報を増やすこと」でも、「発覚後の調査品質を高めること」でもない。むしろ重要なのは、異常が“確定的な事実”になる前の段階で、どこまで違和感を捉えられるかである。

関連文書
新規上場時の会計不正事例を踏まえたIPO関係者の対応について | 日本取引所グループ
「新規上場時の会計不正事例を踏まえたIPO関係者の対応について」 | 日本公認会計士協会
新規上場時の会計不正事例を踏まえた引受審査に関するガイドライン | 日本証券業協会

多くの統制は「結果」を見ている

従来、多くの企業の不正対応は、財務数値、承認済み稟議、契約書、請求書、監査資料など、いわば結果として残ったデータを中心に組み立てられてきた。
もちろん、これらは重要である。だが、意図的な不正ほど、最終的な帳票や承認文書の見た目は整えられる。実務上、不自然さが最初に現れるのは、必ずしも完成した証憑の中ではない。

むしろ、その前段階にある

• 誰が誰に、どの順番で相談しているか
• なぜ通常ルートを外したのか
• なぜその案件だけ異常に短い時間で進んだのか
• なぜ本来入るべき関係者が外れているのか

といった、業務プロセスの揺らぎである。

それにもかかわらず、多くの会社では、最終的に上がってきた案件や正式な申請・通報・報告を受けて初めて動く設計になっている。この構造のままでは、発見できるのは「すでに形になった異常」に限られる。

内部通報制度は重要だが、それだけでは“最後の砦”にすぎない

内部通報制度は、不正対応において不可欠である。ただし、それは不正の兆候を拾うための唯一の入口ではない。

なぜなら、内部通報は本質的に「誰かが違和感を持ち」「それを言語化し」「一定のリスクを引き受けて行動する」ことを前提にしているからである。

この前提に依存しすぎる統制は、平時には整って見えても、有事には脆い。

今回の共同文書でも、独立した通報窓口の設置状況や通報者保護の環境整備状況が確認事項として明示されている。これは、制度そのものの有無ではなく、通報が実際に機能する環境があるかが見られ始めていることを示している。

しかし、ここでさらに踏み込んで考える必要がある。

仮に通報制度が機能していたとしても、それは多くの場合、かなり危険な段階まで事態が進んだ後にしか表面化しない。会社が本当に備えるべきなのは、「通報が来た後にどう対応するか」だけでなく、通報に至る前の段階で、どのように異常の兆候を拾うかである。

関連コラム：内部通報制度は“ある”だけでは不十分：「沈黙」を防ぐための制度設計 | NaLaLys

いま見るべきは「文書」より「前工程」である

不正は、稟議書そのものよりも、その前の相談や交渉、例外処理の中に兆候を残すことが多い。

たとえば、

• 特定案件だけ相談相手が限定されている
• 特定取引先だけ呼称や距離感が不自然に近い
• 「急ぎ」「例外」「今回だけ」といった表現が反復する
• 稟議前の調整で、すでに結論ありきの会話が進んでいる
• 本来共有されるべき相手が継続的に外されている

といった変化は、個別に見れば些細でも、連続すると重要なシグナルになる。

こうした兆候は、従来型の点検では拾いにくい。なぜなら、財務数値や正式文書は「出来上がった後の姿」であり、そこに至るまでの文脈や圧力は、別の場所に現れるからである。

こうした兆候を見にいくチェック部門に必要なのは、違反が確定した後の処理能力だけではない。
違反が“まだ違反として確定していない段階”の不自然さを、継続的に観測できる視点である。

「AIを入れるか」ではなく、「何を観測対象にするか」

ここでしばしば、AIやモニタリングツールの導入の是非が議論になる。だが、本質的な問いはそこではない。本当に問うべきなのは、

会社として、どのデータを見て、どの段階で異常を認識する設計になっているかである。

共同文書でも、AI活用等は「情報収集・分析能力の向上」に位置づけられている。
したがって、AIは目的ではなく、あくまで観測可能性を広げるための補助手段として捉えるべきだ。

もし依然として、

• 確定した通報
• 承認済み文書
• 事故発生後の報告
• 定型的な監査項目

だけを見ているのであれば、それは「何も起きていない」のではなく、見える範囲が狭いだけかもしれない。

これからのチェック部門に求められる役割

今後、チェック部門に求められる役割は、「ルールの番人」だけではない。
経営や現場のスピードを止めずに、どの局面で、どのプロセスに、どのような兆候が現れやすいかを設計し、異常を説明可能な形で可視化する役割が重要になる。

このとき必要なのは、統制項目をむやみに増やすことではない。

むしろ、

• どの業務が例外処理に依存しやすいか
• どの部門が密室化しやすいか
• どの意思決定が短時間で押し切られやすいか
• どの取引が情報の非対称性を持ちやすいか

といった、自社特有の「前工程の弱点」を把握することである。

形式的には整っていても、観測対象が結果データに偏っていれば、統制は有事に間に合わない。
いま必要なのは、制度を増やすことではなく、不正の兆候が最初に現れる場所へ視線を移すことである。

最後に

不正の兆候は、発覚した後に振り返れば一本の線に見えるが、渦中では複数の小さな違和感として散らばっており、それを拾えるかどうかが初動を分ける。会社のチェック部門は、しばしば「問題が起きた後に対応する部署」と見なされがちである。

しかし、資本市場やゲートキーパーが見始めているのは、まさにその前の段階だ。

独立した通報窓口、通報者保護、情報収集・連携、分析能力の向上。こうした論点が示しているのは、不正対応の評価軸が、“制度の有無”から“異常をどこまで早く、具体的に捉えられるか”へ移っているということである。

もし自社の統制が、発覚後の通報、事故後の報告、完成後の文書だけを起点に設計されているなら、その統制は平時には整って見えても、有事には遅い。

上場企業にいま必要なのは、制度を増やすことではない。

不正を「起きた事実」として処理する前に、「起きつつある兆候」として捉える視点への転換である。