倫理・コンプライアンスリスク評価実施の12ステップ

倫理・コンプライアンスリスク評価は、組織内で非倫理的または違法な行為が発生する可能性のある箇所を把握する上で役立ちます。これは、組織のリスク特性を開発するための鍵となり、以下の点を明らかにします。

• 業界や地理的状況による、組織が直面する倫理、コンプライアンス、評判に関するリスク
• 従業員人口に関連するリスク
• 現在および今後予定されているリスク緩和策と、それによってリスクを組織が許容可能と判断する水準まで低減できるかどうか

倫理・コンプライアンスリスクとは、以下の結果として生じる組織の業務上、法的、財務的、または評判上の立場に対する脅威と定義されます。

• 適用される法令、規制および内部倫理基準への遵守不備
• 組織のために、または組織に代わって働く者による、組織、本人、または他者に対して法的損害 や評判の毀損をもたらす違法または非倫理的な行為

倫理・コンプライアンスリスク評価は、統合リスク管 理（IRM）プロセスの一環であり、その中の他のリスク評価と併せて実施することが可能です。リスク管理の従来の定義では、リスクとは、「組織が戦略目標を達成する能力に対して潜在的な悪影響を及ぼす可能性のあるもの」とされています

たとえば、契約獲得のために賄賂を提供することは、収益を上げるという戦略目標に沿っているように見えるかもしれませんが、重大な罰金、訴追、そして評判の失墜につながる可能性があります。そのため、効果的な倫理・コンプライアンスリスク評価では、目先の結果だけでなく、長期的な財務的・評判上の影響も考慮する必要があります。

十分な情報に基づいた倫理とコンプライアンスリスク評価では、以下の点を検討します。

• 組織のビジネスモデル
• 業務の地理的な展開地域（地理的要因）
• 業界の特性と市場の競争状況
• 規制環境
• クライアントおよび顧客
• 製品とサービス
• サプライチェーンおよび第三者との関係 
• 取引およびプロジェクト
• リスクがどのように顕在化する可能性があるか

本ガイドで紹介しているアプローチは、あらゆる種類のコンプライアンス、倫理、行動に関するリスクに適用可能です。具体的には、データプライバシー、贈収賄および腐敗行為、利益相反、財務の健全性と不正行為、現代の奴隷制度などです。

効果的な倫理・コンプライアンスプログラムを構築・運営するうえで、リスク評価は欠かせない要素です。主な理由は以下の3点です。

• 組織のリスクプロファイルを把握できるから
• 規制当局の期待に応えることができるから
• 倫理・コンプライアンスプログラムの強固な基盤となるから

リスク評価とデューデリジェンスは、しばしば関連して用いられますが、異なる概念です。デューデリジェンスは、第三者とその財務記録について、その企業との取引関係を結ぶ前に実施される詳細な調査です。この文脈では、リスク評価は、第三者との関係や取引の各段階においてどの程度のデューデリジェンスが必要かを判断するための指針となります。

リスク評価に「万能な方法」は存在しませんが、その実施にあたっては、組織全体と外部との接点について、包括的かつ徹底的な検証を基本とすることが一般に推奨されます。

成功する倫理・コンプライアンスリスク評価は、12のステップから成ります。それらが計画段階と実行段階の２つに分けられます。

1. 経営陣の支持を得る
2. プロセスを確立する
3. リソースを確保する
4. 枠組みと手法を構築する 
5. リスク選好度を設定する 
6. 自動化の機会を見出す
7. データを収集する 
8. リスク要因とリスクを 特定する 
9. 固有リスクを評価する
10. リスク軽減策（統制） を特定、マッピング、評価する
11. 残存リスクを算出する 
12. 行動計画を策定する

倫理・コンプライアンスリスク評価は、少なくとも年1回の実施が推奨されます。ただし、リスクの高い業界では、年2回（半期ごと）または四半期ごとに実施する必要がある場合もあり、これは規制要件によって異なります。

さらに、既存のワークフローやプロセス、運用体制に影響を及ぼすと思われる、新規のベンダー、手順、機器の導入があるときや、経営体制の重要な変更があった場合には、タイミングを問わず新たなリスク評価を優先的に実施すべきです。こうした変化に対応するために新たなリスク評価を行うことで、潜在的な新しいリスクを把握し、追跡・管理することが可能になります。