© 2021 次世代監査法人IPOフォーラム
All Rights Reserved.
上場審査に関して、「コーポレート・ガバナンス及び内部管理体制が、企業の規模や成熟度等に応じて整備され、適切に機能している」(有価証券上規程214条1項3号)かどうかが慎重に審査されます。具体的には以下のとおりです(上場審査等に関するガイドラインⅢ.4)
a 新規上場申請者の企業グループの経営活動の効率性及び内部牽制機能を確保するに当たって必要な経営管理組織が、相応に整備され、適切に運用されている状況にあること。
b 新規上場申請者の企業グループの内部監査体制が、相応に整備され、適切に運用されている状況にあること。
ここでは、申請会社が経営活動を適切に行うため、必要な管理組織を整備運用し、内部監査を実施し、管理体制を維持するために必要な人員を確保しているかどうかを審査するというものですが、実態を伴なった管理体制の整備が重要となります。直近では、DX銘柄で2016年12月に上場したグレイステクノロジー株式会社が上場前から架空売上の計上や売上の前倒しを行っており、売上目標の達成が困難となったことから経営陣も関与する不正につながっていきました。これらが発覚し、特別調査委員会の調査を受けるものの、決算数値を確定できず、監査法人からの四半期レビュー報告書を受領できないことから、上場廃止となりました。また、エドテック銘柄で2018年12月に上場した株式会社Edulabも、上場前から業務提携先との取引について不適切な売上計上や、連結範囲の操作などを行っており、東京証券取引所に改善報告書を提出し、市場第一部からマザーズへ市場変更することとなりました。さらに上場契約違約金として、48百万円を支払うこととなりました。このように、不正が発覚すると投資家等ステークホルダーへの影響のみならず、特別調査委員会の設置と調査、過年度の有価証券報告書や四半期報告書の訂正、それに伴う監査法人の追加監査等、時間的金銭的な影響が甚大となります。
今回は、上場準備会社においてより身近に発生しうる不正対応について、ご説明いたします。
架空の上場準備会社X社に起こった不正事例を用いてご説明します。
主な登場人物は以下のとおりです。
X社・・・コンテンツ配信を行う上場準備会社
D社・・・VR配信サービスアプリのプロトタイプの開発会社
C社・・・X社とサーバーホスティング契約、開発の外注を請け負う
J部長・・・X社開発事業部を所管する取締役
マネージャーK・・・2年前にX社に入社。その前は、B社という開発会社を経営していたが、事業が立ち行かなくなり、閉鎖を前提にX社に入社。入社後は、X社開発事業部マネージャーとなる。
エンジニアS・・・Kの昔からの仕事仲間。技術力が高いということで、Kの紹介で、X社開発事業部のエンジニアとして入社。
上場準備会社X社は、新規サービスの開発を行うため、VR配信サービスアプリのプロトタイプをD社より、購入しました。D社は、開発マネージャーKと過去に一緒に仕事をしたことがある会社とのことでしたが、事業内容は介護事業などがメインで、開発などは行っていないようでした。これに関して、Kは、D社において新規事業として開発していたが、資金都合で中断しているものである。これを取得すれば、開発時間を大幅に短縮することができるという説明をX社経営陣に行っていました。念のため、X社は、帝国データバンクの調査なども行い、当該プロトタイプの著作者(実際に開発した者)はD社であり、著作権(実際に権利を保有している)もD社に帰属していることを確認し、売買契約書においても、D社が著作者であり著作権を有していることを担保していました。
VR配信サービスについては、サーバーを利用するため、X社はC社とサーバーホスティングサービスを契約しました。C社は一応事業内容にサーバーホスティングと記載しているものの、本社はバーチャルオフィスとなっていたり、ホームページではテレアポ業務や趣味の講座セミナーを開催していたり、実態はよく分からない会社でした。しかしながら、KはC社は技術者を抱えており、リレーションや金額面を考慮すると他には考えられなというと社内に対して説明し、X社はC社と契約しました。
Kは、UIの開発をC社に外注していました。時間や管理にルーズなところがあり、請求書は遅れて経理部に提出することが多かったですが、請求書には先方の社判があり、Kの検収印及びJ部長の承認印もありました。これらを確認し、経理部は経理処理を行いましたが、会計基準に従い、新規事業の取引で将来収益獲得能力が不明ということで、会計上は外注費で処理し、税務上はソフトウェアに計上し、税務調整を行っていました。
Kは、アプリのUIのデザインも、C社に外注していました。③と同様に、請求書には先方の社判があり、Kの検収印及びJ部長の承認印もありました。これらを確認し、経理部は経理処理を行いました。内容は、プログラムに係るところではないので、会計上も税務上も外注費で処理していました。③④の取引については、開発スケジュールは遅れているものの、開発は進めていることから、開発事業部のメンバーも成果物を確認しているものだろうと思っていました。
なお、X社は上場準備会社として、監査法人の監査も受けていましたが、上記①~④の取引について、監査法人から指摘を受けることはありませんでした。
その後、何とかVR配信サービスはリリースまでこぎつけたものの、事業自体は低迷を続け、X社は事業の撤退を決定しました。ほどなくしてKは、事業の撤退と自身の持病を理由にX社を退職しました。
X社では、決算時において、ソフトウェアについても実査を行っていたため、税務上は資産計上してた2.③のUIの状況についても、開発事業部のプロパーのエンジニアに状況を確認しました。すると、当該エンジニアは、「これらは内製で自分が開発していたものであり、外注には出していないはずです。また、外部で開発したコードも見たことはないし、外注していたことは知りません」と、主張しました。この主張を契機に、経理部では、Kを介在した取引すべてについて疑念を抱き、弁護士も交えて調査を行うこととなりました。
X社で調査した結果、2.①~④の不正取引のスキームは以下のとおりでした。
D社から購入したことになっているVR配信サービスのプロトタイプは、もともとKが経営していたB社において、X社への入社前から、エンジニアSと一緒に開発していたものでした。エンジニアSのSNSやB社のホームページなどから、X社入社前から開発しており、入社後もX社で給料をもらいながらKとSは内緒で開発を進めていたことを突き止めました。すなわち、KはB社での開発コストを回収するため、B社→X社の取引は行えないことから、D社に口座貸しを行わせ、D社経由でX社に納品し、このプロトタイプを資金化していました。D社もKに協力することで、代金の1割を受け取っていました。また、X社入社に際して、KはB社を清算すると約束していましたが、実際には閉鎖していなかったことも発覚しました。
サーバーについては、実際には、データセンターのサーバーラックをB社が契約し、当該ラックに同社の物理的サーバーを設置して、実際のホスティングはC社でなくB社が行っていました。すなわち、C社は単なる口座貸しで、X社はC社にサーバーホスティング保守料を支払い、そこから一部をC社が抜いて、B社に代金を流すことでKに還流していました。サーバーホスティング契約は複雑でしたが、データセンターのサーバーラックに紐づくグローバルIPアドレスというものが、B社名義になっており、その後の裁判を通じて、B社が契約元であることが発覚しました。
UIについては、Kが新規事業開発部のメンバーに指示して開発した内容について、C社に架空の請求書を発行させていました。すなわち、Kは開発事業部のメンバーには内製の指示を出し、J部長及び経営陣には外注で進めることで説明を行っていました。さらに、KはJ部長及び経営陣への報告はK自らが行い、経営陣からの指示はK自身が受け、新規事業開発部メンバーと経営陣とのコミュニケーションを遮断することで、メンバーには内製、経営陣には外注していると信じ込ませていました。
X社からC社に支払った代金は、当然、C社が一部を抜き、B社に流れることで、キックバック類似の不正が行われていました。
デザインについても、開発事業部のメンバーが内製していましたが、③と同様にC社に架空の請求書を発行させ、C社が一部を抜き、B社に代金が流れていました。
上記の事案は、グレイステクノロジーのように経営陣が認識・関与していたものではなく、従業員が自らの利益を得るために、K個人と関連のある企業を使って、自ら経営するB社に資金を還流させることで、不正に利益を得ていたものです。これらを防止するために、形式的な請求書の二重チェックの他に、以下のような対策が必要であったと考えられます。
X社は開発事業部を作りたいと考えていたところ、X社社長の知人を通じて、Kを紹介してもらい、入社することとなりました。しかしながら、Kが経営してたB社がうまくいっていなかったことや、当該知人もKの仕事のやり方には問題があることを知っていました。したがって、当たり前ですが、マネージャー業務を任せる中途採用であったので、技術力だけでなく、人間性や過去の経験、B社が立ち行かなくなった経緯などを考慮し、慎重に選考を行う必要がありました。また、B社の閉鎖について、X社社長に約束をしていましたが、実際に閉鎖登記簿は確認していませんでした。個人会社を残しておくと、上記のように不正に使用されるリスクや会社に内緒で兼業を行う可能性もありますので、閉鎖を確認する必要があったと考えます。
Kは、会社貸与のPCではなく、入社前から使用していた個人所有のPCを継続して使用していました。X社は、セキュリティの観点から、会社貸与PCに切り替えるように指示していましたが、業務が忙しいことやPCのスペックなどの言い訳をつけて変更を行わないまま退職していきました。実際には、個人所有のPCを利用して、D社やC社とのやり取りを行っていました。しかしながら、個人所有PCであったことから、X社はPCを回収することができなかったため、メールやデータのログを収集できず、後々になって不正の証拠を集めるのに苦労することになりました。これも当たり前のことですが、不正防止やセキュリティの観点から、PCは会社からの貸与を徹底する必要がありました。
発注前に都度稟議をあげさせたとしても、上長がその技術に疎く、開発体制を理解していなければ、適切に検討、判断ができません。残念ながら、X社の経営陣に、VR配信サービスの技術的な知見を持っている者はいませんでした。技術が分かる上席者がいれば、今回のケースであれば、社内のリソースから外注を使用することの違和感や社内リソースを一部保管するために、外注を利用したとしても金額的な妥当性の確認、外注業者の選定、事前に発注する際の承認、違和感のある請求書が回ってきた際のチェック等、いくつかの確認ポイントがあったと考えられます。
発注前に都度稟議をあげさせたとしても、上長がその技術に疎く、開発体制を理解していなければ、適切に検討、判断ができません。残念ながら、X社の経営陣に、VR配信サービスの技術的な知見を持っている者はいませんでした。技術が分かる上席者がいれば、今回のケースであれば、社内のリソースから外注を使用することの違和感や社内リソースを一部保管するために、外注を利用したとしても金額的な妥当性の確認、外注業者の選定、事前に発注する際の承認、違和感のある請求書が回ってきた際のチェック等、いくつかの確認ポイントがあったと考えられます。
VR配信サービスは、X社にとって重要なプロジェクトでありながら、Kからの報告を受けるのみで、J部長及び経営陣はプロジェクトマネジメントに主体的に関与していませんでした。④の技術的な知見がなくとも、J部長がプロジェクト会議に出席し、メンバーの役割、外注の役割、進捗状況などを把握していれば、UIやデザインの架空発注は容易に防げたものと考えられます。X社では重要な新規事業で早く立ち上げたいというモチベーションが生じており、プロジェクトリーダーを任せたとしても、J部長もしくは経営陣は、不正を防止する観点からも、基本的なプロジェクトマネジメントの枠組みを構築する必要があったと考えます。
なお、プロジェクトを計画通りに進めることは、事業計画の合理性の審査の観点からも重要になります。すなわち、重要なプロジェクトの事業計画と会社の事業計画との整合性がとれていないと、審査上、事業計画が適切に作成されていないとみなされる可能性があります。
よく中途採用の技術者などの紹介で、フリーランスや知り合いの開発会社を使用することもあると思いますが、ポートフォリオや過去の実績などの技術力などを評価し、慎重に検討することが必要です。紹介料などでキックバックを受ける可能性もありますし、知り合いの企業にお金を流すことになる可能性があるからです。ほとんどの場合、唯一無二の技術というものはないですし、同様のスキルを持った技術者や企業は他にありますので、相見積もりなどをとり、担当者の話を鵜吞みにするのではなく、帝国データバンクの調査を利用したり、契約前に上席者や他の担当者等も出席のうえで相手方と面談などを行ったり、信頼できる企業・技術者かどうかを確認する必要があります。もちろん、上場企業など名の知れた企業であれば、従業員との癒着というよりは価格や発注内容にあった技術力を持っているかどうかを評価することになりますが。
X社の場合、Kと個人的な関連があるD社やC社と取引を行うことで架空請求を受けることになりましたが、D社やC社の役員もしくは担当者と会ったことのある者はX社内にはいませんでした。すなわち、X社は、Kからの説明を受けるのみで、D社やC社というよく分からない会社と取引を行っていました。
コンテンツ配信やWEBサービスを行う企業では、オンプレミス、外部データセンター、クラウドサーバー、システムベンダーが管理保守を行うサーバー等のいずれかを利用するケースが多いと思います。社内で設置するオンプレミス、IDCFなどのデータセンターと直接契約、AWSやGCPなどのクラウドサーバー、ベンター管理のサーバーの利用であれば、個人に資金が流れるなどの不正は生じにくいと考えます。今回のケースでは、Kの個人的なつながりのあるC社とサーバーホスティング契約をすることで、実際にサーバーを有しているKの経営するB社に資金が流れることになってしまいました。サーバーは契約者と所有者が必ずしも一致するとは限らないですし、企業側が契約しているサーバー(今回であればC社のサーバー)の元々のデータセンターのサーバーラックの契約者は誰かといったことが企業からは分かりづらく、キックバックや循環取引に利用されるリスクがあります。したがって、⑥とも関連しますが、データセンター、クラウドサーバー、システムベンダー以外の企業とサーバーホスティング契約を行う場合には、サーバーの所有者やデータセンターの契約元などを慎重に確認したうえで、契約を締結する必要があります。逆に言えば、外部サーバーを利用する場合には、データセンター、クラウドサーバーを利用する必要があると考えます。
不正が発覚後、X社はどうなったでしょうか。まず、上場準備については、東証への申請前であり不幸中の幸いではありましたが、証券審査について、改善措置を講じた後、一定期間運用を見るということで、審査が中断となりました。
また、X社は弁護士を通じて内容証明でKに損害賠償請求するところから始まり、その後、民事訴訟を提訴しました。提訴した場合、不正があったこと、損害が生じたことをX社側が立証しなければならず、しかもKは退職しており、PCも回収できなかったことから、立証が困難になっていました。結果、毎月、数十万円~百万円程度の弁護士報酬や社内での相当程度の調査時間も発生し、金額的・時間的コストは膨大なものになりました。このケースの不正の立証は経営者が認識していた前述のグレイステクノロジーやEdulabと比較しても、複雑なものになったと考えられます。
請求書のダブルチェック、検収→承認→支払の押印など、多くの上場準備会社は問題なく整備していますし、相手先企業も請求書自体は特に問題ないものを作って提出してきます。しかしながら、ベンチャー企業の場合、事業の進捗自体を優先し、プロジェクトが属人的になることで、お金が出ていくところの実質的なチェックが緩くなる可能性があります。一方、不正が発覚した場合の事後処理は時間と費用が膨大にかかる上に、上場スケジュールも遅れ、調査自体が後ろ向きな作業でモチベーション自体も低下することで、社内への悪影響も大きくなります。キックバックや今回のような口座貸しを利用した不正などは確かに発生しても分かりづらいのですが、その取引自体に内在するリスクを考え、再度、点検されてはいかがでしょうか。