先週までで、業務フローが出来上がりました。内部統制プロジェクトでは、何度も言っていますが、業務フローを書くことが目的ではありません。これは、あくまでも、次のステップの基礎資料にしかありません。
次の作業は、その業務フローを元に、リスクを洗い出すことです。
日本版SOX法では、リスクマネジメントと内部統制を一体的運用することを求めています。しかしながら、どの範囲のリスクを取り扱うのかが明確ではありません。
私だけかもしれませんが、どのような資料を読んでも、ぼやけています。未だ公表されていない実施基準で明確にされるのでしょうか?
読者の方の中で、明快な範囲を持っている方がいれば、教えてください。
リスクマネジメントを実施する手順は、以下のとおりです。
1. リスクの調査、分析(PMBOKでは、11.2 リスク識別、11.3 定性的リスク分析、11.4 定量的リスク分析)
2. リスク処理手法の検討(PMBOKでは、11.5 リスク対応計画)
3. 最適手法の決定(PMBOKでは、11.5 リスク対応計画)
4. 指導と実行(PMBOKでは、11.6 リスクの監視コントロール)
5. 統制(PMBOKでは、11.6 リスクの監視コントロール)
これから、数回にわたり、このステップを説明していきます。
その前に、リスクとは何かを考えて見ましょう。
企業におけるリスクとは、「企業が将来生み出す収益に対して影響を与えると考えられる事象発生の不確実性」であると定義することができます。
通常リスクといえば、マイナスの影響を与えるものを思い浮かべますが、上のように定義すれば、プラスの影響を与えるものも含まれます。しかし、日本版SOX法が提出された背景を考えれば、扱うリスクは、マイナスの影響を与える事象だと解釈できます。
プロジェクトマネジメントでも同様ですが、リスクを洗い出す作業が難航します。どのような角度から個別のリスクを識別するかが分からないからです。
そのためには、まず、リスクを分類しましょう。企業の目的やなどを考慮して、自社にあった分類方法を考えなければなりません。
企業のリスクを分類すると大きく2つに分けられると考えています。
1. 事業機会に関するリスク
これは、企業の戦略的意思決定にかかわるリスクです。例えば、新規事業分野への進出に関するリスク、商品開発戦略に関するリスク、資金調達戦略に関するリスク、設備投資に関するリスクなどが挙げられます。
2. 事業活動の遂行に関するリスク
これは、適性かつ効率的な業務遂行にかかわるリスクです。例えば、コンプライアンスに関するリスク、財務報告に関するリスク、商品の品質に関するリスク、情報システムに関するリスク、事務手続きに関するリスク、もの、環境に関するリスクが挙げられると思います。
これらの分類を元に、リスクを洗い出すわけですが、さらに、それらをカテゴリー化し、
・財物リスク
・休業リスク
・賠償リスク
・人的リスク
などに分けた方がより分かりやすいかもしれません。
ただし、ここに挙げた分類は、これが唯一の分類方法ではありません。その企業に合ったリスク分析のための分類方法を考え、漏れなくダブりなくリスクを洗い出すことができるようにしなければなりません。
そして、リスクを洗い出す手法として、チェックリスト、事故などの過去のデータ、ブレーンストーミング、デルファイ法、フローチャート、専門家の意見などを活用しながら、洗い出しを進めます。
コメントする