内部統制の要素とPMBOKの知識エリアとのマッピングで、今回は、「リスクの評価と対応」について考える。
あなたは、『内部統制は、リスクマネジメント・システムである。YesかNoか?』という問いに自信をもって”Yes”と答えられるだろうか。
COSOでは2004年に、内部統制のフレームワークを拡張してEnterprise Risk Management(以下、ERM) Framework を発表しているように、その本質はリスクマネジメントである。前回のマネジメントとコントロールの話をここでも想いだしてほしい。マネジメントは全体的であり、コントロールは部分的である。内部統制(Internal Control)のコントロールは、この部分としてのコントロールのことだけを考えるものではなく組織全体のマネジメント、あるいはガバナンスの視点で考えることが求められる。
内部統制のための一連の作業で、いわゆる3点セットのひとつにRCM(リスク・コントロール・マトリックス)と呼ばれる業務プロセスなどからリスクを特定した一覧表がある。その名前からコントロールの面が強調されるが、コントロールを一元的に考えるのではなく、ここではそのタイプの区別が重要である。
そのタイプとは、「予防的コントロール」か「発見的コントロール」かということである。つまり、リスクというまだ顕在化していない事象に対しては、モニタリングによる発生の未然防止がより本質的である。これが前者の「予防的コントロール」である(注)。車の運転では『事故を起こさないためには「〜だろう運転」ではなく「〜かもしれない運転」が重要だ』という教訓がある。路地に入ったら「子どもは飛び出してこないだろう」ではなく「子どもが飛び出してくるかもしれない」と常に考える。道路にボールが転がってきたら、それは子どもが飛び出てくるサインだ。これがモニタリングの態度である。「かもしれない」と時間軸を「未来」から「現在」の方向で視るのである。
「予防的コントロール」は本質だが、すべての業務プロセスで未然防止ができるものではない。そこで「発見的コントロール」を考える。これはリスク発生の事後的なものであり、通常の時間軸の流れで視るものである。流れに逆らっていないので居心地がいいが、気を引き締めてモニタリングによる迅速な対応がポイントとなる。
RCMを作るときは、これらの2つのタイプのバランスを考えることがポイントなのである。
ところが漫然とRCMを作っていると、何かRCMなるものを作ることが目的になってしまう。何のためにリスクを洗い出しているのかということがわからなくなってしまう場合も見られる。上記のようなコントロールのタイプを認識するには、コントロールよりも上位の考え方、つまりマネジメントとして考えることが必要なのである。リスクのコントロールは、(マネジメントの)プロセスのひとつであってコントロールそのものが目的ではないことを強調したい。
内部統制をリスク・マネジメント・システムとして、あらためてJ-SOXの「リスクの評価と対応」の意味を考えてみたい。
「組織目標に影響を与える」という箇所が重要で、プロジェクトでは、「組織目標に沿ったプロジェクト目標」と考える。COSOの内部統制のフレームワークにおける「リスク評価」に「対応」という言葉が追加されているのは、同じくCOSOのERMフレームワークの影響、つまり、リスクマネジメントとしてのプロセス(目的設定→事象の把握→リスク評価→リスク対応)を意識したものである。
図 COSOフレームワーク
PMBOKのリスクマネジメントも同様なプロセスが定義されている。具体的には、リスクマネジメント計画→リスク識別→定性的リスク分析⇔定量的リスク分析→リスク対応計画 である。
内部統制は、企業など組織体全体のリスク、PMBOKではプロジェクトのリスクを扱うが、これらは一貫したシステムとして運用ができる。鍵を握るのは、プロジェクトにおける「リスクマネジメント計画」である。リスクマネジメント計画プロセスのインプットとして、内部統制(ERM)の戦略を位置づけることによって、内部統制としてのプロジェクトマネジメントの整合性を取るのである。例えば、RBS(リスク・ブレークダウン・ストラクチャ)で、『財務リスク』のカテゴリー(勿論このカテゴリーだけで十分ということではない)について、内部統制上必要な識別レベルを予め定義しておくことなどが想定される。プロジェクトとして、どのような財務リスクとそのレベルを認識すべきかということは、実際にはプロジェクトマネジメントの立場だけでは判断しにくい。だから、(わからないリスクは)放っておかれるということがよくある。ERMをきっちりやっている企業でさえ、プロジェクトは治外法権のようなものでそれも許された。だが、もうザッツ・オーバーである。そこで、プロジェクトマネージャーやPMOが、内部統制主管部門と協力して、認識すべきリスク(とそのレベル)を分析する。このようなRBSの要素をプロセスはリスクマネジメント計画のインプットとして明らかにするプロセスの意義は大きい。
内部統制は、企業全体のリスクマネジメントとプロジェクト・リスクマネジメントを整合させるためのチャンスである。プロジェクトマネージャーは、堂々と自分のプロジェクトでリスクマネジメントの実施を宣言できるチャンスなのである。これを活かさない手はない。
峯本 展夫 (みねもと のぶお)
株式会社プロジェクトプロ 代表取締役 / エグゼクティブ・コンサルタント
1963年 : 大阪生まれ
1989年 : 大阪大学工学部卒業後、大手信託銀行に入社
第3次オンラインシステム開発など、約12年間銀行における情報システムのプロジェクトに参画。邦銀初となるイントラネット・システムを立ち上げるなど、多くのプロジェクトを成功させる。
その後、コンサルティング業界に身を投じ、フリーのプロジェクトマネジャーおよびコンサルタントとして活動する。活動の中で、国内におけるプロジェクトマネジメント成熟度のレベルに問題意識を持ち、プロジェクトマネジメントに特化した企業変革コンサルティングとトレーニングをおこなうプロジェクトプロを設立する。
PMP (米国PMI 認定プロジェクトマネジメント・プロフェッショナル)
CISA (米国ISACA公認情報システム監査人)
東京大学非常勤講師 (大学院MOT : 環境ビジネス論 プロジェクトマネジメント担当)
本連載は終了していますが、PM養成マガジン購読にて、最新の関連記事を読むことができます。