|
組織はそもそもステイクホルダーから集めた資源の適切な変換を通じて、組織目的実現を目指すシステムです。リスクは「組織目的に影響を与える不確実性」ですから、組織目的を達成しようとする以上、組織ガバナンスの一環としてリスクはマネージされなければなりません。
「不確実性」を内容とするリスクの源泉は「変化」にあるといえます。変化のスピードの高まりは、組織環境におけるリスクを量的に増大させます。一方でリスクへの組織的対応である「統制」の整備は後手に回りがちになり、リスクと統制との隙間である「リスクギャップ」は拡大傾向にあります。
東海村の臨界事故、JR西日本のトンネル崩落事故、総会屋への利益供与事件、防衛庁談合事件、粉飾商品購入の表面化、商工ローンの恐喝取立て事件、金融機関の不良債権問題、顧客/従業員の個人情報流出事件、神奈川県警不祥事発生/もみ消し事件。近年多発する企業並びに政府機関の不祥事、事故、破綻、業績見通し修正、等々のほとんどは、このリスクギャップで説明できます。
組織目的実現のためには、リスクギャップは十分に抑制されなければなりません。その具体的プロセスがリスクマネジメントです。
リスク管理と株主価値
リスクマネジメントの有効性評価は内部監査の中核的機能だからです。
内部監査は、1999年6月26日にIIA(内部監査協会国際本部)で採択された定義に拠れば次のとおりです。
「内部監査は、組織業務に付加価値をもたらし改善するようにデザインされた、独立の、客観的な保証とコンサルティング活動である。内部監査はリスク・マネジメント、統制、及びガバナンスプロセスの有効性を評価し、改善するためのシステマチックにして規律ある方法をとることにより、組織がその目標を達成する事に助力する。」
リスクマネジメントのステップは最も単純には次のように示されます。
リスク識別
まずリスク識別は、広範に渡るリスク全体に網をかけて、主要なものを漏れなく捉まえるステップです。リスク・マネジメントの出発点として非常に重要です。
組織の直面するリスクの全体像を識別し分析するために多くの場合リスク・モデルが利用されます。各支店やビジネスユニットが、同一のリスク・モデルを適用する事により、結果を容易に積上げることができ、組織が直面するリスクの全体像を把握することが出来ます。
またリスクの識別にあたっては、ワークショップ、インタビュー、ブレイン・ストーミング、質問書、プロセス・マッピング、他社比較、同業他社との討議、等の手法が利用されます。
(参考 ロイヤルバンクのリスクフレームワーク)
 | レベル1リスク
システミック・リスクは政治・経済・社会・財務などの、組織がほとんどコントロールし得ない類のリスク。組織がその中で業務を営む経営環境を形成する。経営者はこれらの要因が組織にどのような影響を与えるかについて認識していなければならない。 |
| レベル2リスク
このリスクは組織がコントロールは出来ないが、影響を与える事はできるリスク要因である。ロイヤルバンクでは競争上優位、評判、政府規制等をこのカテゴリーに含めている。 |
| レベル3リスク
このリスクは業種ごとに大きく異なり、通常は組織が大きな影響力を及ぼす事のできるリスク要因である。ロイヤルバンクでは、信用、市場、流動性、技術、業務、人材等のリスクをこのカテゴリーに含めている。 |
リスク評価
リスク評価ステップでは、識別されたリスクに対して、顕在化したときの大きさ(インパクト)と顕在化する可能性(発生可能性)との両面の把握を通して個別リスクを測定します。数学の期待値の考え方を思い出していただければ容易に理解できます。
インパクトの評価は一定条件を定めた上で、一貫性を持って実施します。またリスクの発生可能性は通常現在の統制の状況を加味して評価し、一般に、高、中、低、の3段階で評価されます。
識別された主要リスクについて、それぞれのインパクトと発生可能性を表現するために、しばしば次図のようなリスク・マッピングの手法が用いられます。
リスク対応
主要リスクを測定し、これに基づくマッピングを完了した上で、組織はリスクへの対応を決定します。
もともとリスクマネジメントは「不確実性」を扱うものであり、100%完璧なリスクマネジメントは望むべくもありません。したがって継続的改善を通じて不断にレベルを高めていく、というのが基本的スタンスとなります。(各種リスクマネジメント・フレームワーク参照)
近年では、従来の考え方を更に進めて、リスクマネジメントを全社的リスク・アーキテクチャーとして設計すべきだという考え方が台頭してきています。すなわちリスクマネジメントを個別の独立した機能として捉えるのではなく、組織のビジネスプロセス全体に統合される部分として一体化させる。これにより、下方リスクを機会とバランスさせ、上方リスクを徹底的に追求する、というリスク戦略を組織全体に徹底させ資源配分を最適化することができる、というものです。
国際会計士連盟財務経営会計委員会(FMAC)の研究報告書ではこれを反映したリスク統制の在り方として、組織の捉え方、アカウンタビリティの配分法、継続的リスク適応といった特徴を持つ、次の8つのステップに基づく統合的リスクマネジメント・アーキテクチャーを提言しています。(FMAC
Enhancing Shareholder Wealth by Better Managing Business Risk)
| リスクマネジメント・フレームワークの合意
 | 統合的リスクマネジメントを組織の日々の業務に徹底させるために、正式なリスクマネジメント・フレームワークを採用する |
| リスクマネジメント方針、リスクマネジメントへの資源配分、リスクマネジメント導入、リスクマネジメントのレビューと報告というった諸要素が含まれる。 |
|
| 上級経営者/取締役会のコミットメント
| ガバナンスは現在では取締役会とCEOの主要な責任である |
| 監視されるべき組織業績は、株主価値の拡大、戦略遂行状況、統制と報告体制の整備、の側面を含むが、リスク・マネジメントはそのいずれの目的にとっても重要 |
|
| リスク対応戦略の策定
| 下方リスクを機会との兼ね合いにおいてバランスをとりながら上方リスクを積極的に追求する戦略を策定 |
| この戦略意図は、組織の方針、アカウンタビリティ、ビジネス・プロセス、活動計画、業績指標、コンティンジェンシー・プラン等に反映させる |
|
| リスクマネジメント変革プロセスへの責任所在の明確化
| 変革の行きつく先のビジョンを明確に打ち出した上で、上級経営者チームのリーダーシップの下、個別担当者がそれぞれに期待される役割と責任を意識して行動する体制を作り上げる |
|
| 経営資源
| リスクマネジメントは組織メンバー全員の仕事であるという意識をまず徹底させることが重要 |
| その上で、現場部門で実施したリスクマネジメントの結果を内部監査部門等で評価し、その上で取締役会が全体的な視点で更に監視する、という体制をとる |
| リスクマネジメント活動に対して人材、資金、情報等の経営資源が必要に応じて供給されなければならない |
|
| コミュニケーションとトレーニング
| リスクマネジメントの意識を高め、また適切な情報を収集していく上でコミュニケーションとトレーニングは不可欠 |
|
| 人事メカニズムによるリスク文化の強化
| コミュニケーションやリーダーシップを通じて、戦略、競争上のコンテクスト、新しい哲学や価値を明確化し、伝えていく事は、リスクマネジメントの考え方を周知徹底させる上で重要 |
|
| リスクマネジメント・プロセスの監視
| リスク統制の最後のステップがリスクマネジメント・プロセスの監視 |
| これは各リスクに対し、組織のリスク哲学に従った適切なリスク統制手法が用意され、リスクギャップが存在していない事を確かめるプロセス |
| そのために取締役会、上級経営者、部門長、ライン・マネジャーのそれぞれの階層応じた適切なリスク報告がなされることが必要 |
| 最近ではリスクの外部報告の必要性も検討されており、英国勅許会計士協会は「ビジネス・リスク・ステートメント」の作成プロセスを提言している |
|
統制フレームワーク参照。
| 中小企業BCP策定運用指針
(平成18年2月17日 経済産業省 中小企業庁)
この指針は、中小企業へのBCP(緊急時企業存続計画または事業継続計画)の
普及を促進することを目的として、中小企業関係者や有識者の意見を踏まえ、中小企業庁が作成したものです。指針には、中小企業の特性や実状に基づいたBCPの策定及び継続的な運用の具体的方法が、わかりやすく説明されています。 |
| COSO−小規模企業における内部統制報告のガイドライン
コスト負担能力に限界のある小規模企業が有効に内部統制を構築するために26の基本原則を提示しています。
より小回りを効かせなければならない小規模企業の特殊性に着目してまとめられたもので、統制活動を削減して統制環境やモニタリングにより大きなウェイトをおいています。内部統制を有効かつ効率的に整備・運用するための様々なアプローチや事例が紹介されており、大規模企業にも十分に役立つ内容となっています。 |
| 独立行政法人中小企業基盤整備機構
|
次の2点がポイントになります。
| ガバナンスチームへの参加 |
| 組織の行動計画にシンクロした監査部門行動計画 |
ガバナンスチームへの参加
内部監査部長は、組織のガバナンスチームに主要メンバーとしての参加し、更にそのチーム内でリーダーシップを発揮することが期待されます。内部監査機能は、組織のガバナンスプロセス、リスクマネジメント、統制の有効性を評価することをその役割とするものです。つまり内部監査部門は、組織内においてガバナンスチームに組織の実態に関する生情報を総合し、これを基盤としてプロフェッショナルとしての分析/改善勧告等の意見を提供できる唯一の存在といえます。
組織の行動計画にシンクロした監査部門行動計画
内部監査戦略、年度監査計画策定は、組織の事業戦略プロセス、年度事業計画プロセスにシンクロさせることが重要です。これにより組織目的実現により重大な影響を及ぼすリスクが監査対象として取り込まれる体制が確立されます。
関連情報
日本における内部監査は、多くの組織において、その果たすべき役割の重要性に比して極めて低い認知度に止まっているのではないでしょうか。
しかしグローバル競争の時代に日本企業が海外企業と互角に渡り合っていくためには、リスクマネジメント力=内部監査機能のキャッチアップは正に喫緊の課題といえます。組織全体の足を引っ張ることが無いよう、むしろ組織に対して競争優位となる付加価値を提供することが出来るよう、内部監査部門はリスクマネジメントを中核にした変革を進めることが必要です。
変革に向けての戦略策定にあたり、「尊敬される内部監査人となる法」(監査研究99年5月号)に示される次の7つのステップは参考になります。
| 内部監査機能改革の決意を固めよ
リスクマネジメントとガバナンスプロセスの有効性を評価する機能は、組織全体にとって死命を決する重大事であり、これに対して重大な責任を負うことについて覚悟を固めること。
|
| 上級経営者の中から支援者を探し出せ
内部監査部門改革を成功に導くためには、政治力の行使も重要な手段であり、上級経営者の中から有力なスポンサーを見つけ出すことが必要。
|
| 実績を作れ
組織内で優先順位の高いリスクをキーにした革新的な実績をまず作り上げることは百言に勝るものである。
|
| 実績を売り込め
実績は作ればよいというものではなく、その重要性を大いに説得して皆に認めてもらうことが出来なければ、折角の組織に対する貢献を「内部監査部門改革の原動力」に結びつけることが出来ない。「リスクマネジメント」「ガバナンス」といった組織にとって重要でありながら必ずしも皆に十分に理解されていない機能を担う者として、特段の注意が必要。
|
| 総てのリスクを考慮せよ
トップの視点で組織にとって重要なリスクを確実に拾い上げてリスクマネジメントの認知に結び付けていかなければならない。
|
| リスクの計量化を主張せよ
測定できないものは追跡できないし、追跡できなければ管理もできない。あるモノを管理できないまま放置しておくと、その内それによって管理されることになる。重要なリスクは必ず測定する仕組みを作り上げることが必要。
|
| トップ・マネジメントと直談判せよ
内部監査部門が担うべきものは組織全体にとって非常に重要な機能である事を十分に自覚する事。従って報告、あるいは経営資源配分の必要性については直接トップと直談判すべきである。 |
新しいCOSOの全社的リスクマネジメントのフレームワーク
| COSO
| ERM Framework |
|
情報システムセキュリティ
企業対象暴力
総会屋勢力の推移(2001年6月SCIPセミナー資料)
総会屋出席数の推移(2001年6月SCIPセミナー資料)
社員の健康管理
質問
| 事業継続計画(BCP)は最新の状態に維持されているか? |
| それは頑強にできているか? |
| それは包括的なものか? |
| それは経営陣とスタッフに理解されているか? |
| いざというときに本当に機能するか? |
関連情報
| Business
Continuity Management 2004 (Chartered Management Institute, March
2004)
Survey Findings
The Extent of Business Continuity Planning
Best Practice in Business Continuity Management
Supply chain management issues
Conclusions
Recommendations |
| BCI (Business Continuity
Institute), BUSINESS CONTINUITY GUIDES
|
| DisasterResource.com
|
| Planning
for Computer Disasters By Mark Grossman (IT Audit Vol. 6, March 1,
2003 Emerging Issues) |
| Pressures
Changing the Audit Profession By Charles Le Grand, (IT Audit Vol. 5,
June 1, 2002Audit and Control) |
| DRP
Lessons Learned After September 11, 2001 By Charles Le Grand, (IT
Audit Vol. 4, November 15, 2001Business Continuity) |
| Continuity
in a Virtual World By Keith Young (IT Audit Vol. 3, March 1,
2000Business Continuity) |
リスクマネジメント実態調査
| 朝日監査法人企業のリスクマネジメント実態調査
日本企業のリスクマネジメントの実態に焦点を当て、企業のリスクマネジメントに対する意識とその取組みの現況を明らかにする調査を実施しています。
|
| 住友海上リスク総合研究所
環境問題やPLなどのさまざまなリスクについて調査・研究しています |
| 東京海上リスクコンサルティング
自然災害、交通安全、製品安全や危機管理など |
| インタリスク
火災・爆発・自然災害をはじめ労働災害・製造物責任・環境問題など各種リスクについての「情報提供」「安全診断」「セミナー・講演等への講師派遣」「個別コンサルティング」など |
|
