こぼれ落ちたピース

谷藤友彦(中小企業診断士・コンサルタント・トレーナー)のブログ別館。2,000字程度の読書記録の集まり。

リスクマネジメント


社団法人日本内部監査協会『IT監査とIT統制』―ヒト・モノ・カネ・情報の観点から同時にリスク評価ができる統一フレームワークがほしい


IT監査とIT統制―基礎から事業継続・ネットワーク・クラウドまで―IT監査とIT統制―基礎から事業継続・ネットワーク・クラウドまで―
社団法人日本内部監査協会 編

同文館出版 2012-09-27

Amazonで詳しく見る by G-Tools

 「情報システムライフサイクル別に見たポイント」、「業務委託先管理のポイント」、「情報セキュリティ管理体制のチェックポイント」、「BCM(Business Continuity Management:事業継続マネジメント)体制のチェックポイント」、「クラウド利用にかかる監査のポイント」、「ソーシャルメディア管理体制のチェックポイント」など、次から次へと色々なチェックリストが登場し、混乱してしまった。

 これは個人的な印象だが、ITのリスクマネジメントに関しては、(きれいに整理されているかどうかは別として)多くの手法が開発されていると思う。だが、リスクはITに限ったものだけではない。ITのリスクマネジメントは経営資源のうち情報に焦点を当てたものであるが、経営資源には他にもヒト、モノ、カネがある。情報のリスクは技術的リスク、物理的リスク、人的リスクに分けられるように、ヒト、モノ、カネに関するリスクも何らかの切り口で整理できるようにする必要がある。

 暫定的な案として、ヒトに関しては①故意による不正、②過失によるミス、③モチベーション低下、モノに関しては、①品質、②コスト、③納期、④環境、⑤機械、カネに関しては①故意による不正、②過失によるミス、③資金不足という切り口から、業務プロセスに潜むリスクを洗い出す方法を提案したいと思う。具体的なやり方としては、下図のエクセルの表のように、まず業務プロセスを列挙する。そして、それぞれのプロセスについて、ヒト、モノ、カネ、情報の観点から想定されるリスクを書き込んでいくというものである。もちろん、全てのセルを埋めなければならないというわけではない。例えば以下のような感じになる。

20180525_リスクマネジメント

 《例Ⅰ》「図面に基づいて旋盤で金属材料を加工する」というプロセスの場合。
 【ヒト】
  ①故意による不正=社員による原材料の盗難。
  ②過失によるミス=社員の不注意による加工ミス。
  ③モチベーション低下=危険な作業を長時間強いられること。
 【モノ】
  ①品質=要求通りの品質が達成できないこと。
  ②コスト=若手不足・熟練工依存による労務費上昇。
  ③納期=やり直しによる加工時間の延長。
  ④環境=鉄くずの不適切な処分。
  ⑤機械=保守を怠ったことによる突発的な故障。
 【カネ】(なし)
 【情報】
  ①技術的リスク=図面システムのハッキング。
  ②物理的リスク=サーバが高温の工場に置かれていることによる故障。
  ③人的リスク=社員がプリントアウトした図面を紛失。

 《例Ⅱ》「仕入先から原材料を購入する」というプロセスの場合。
 【ヒト】
  ①故意による不正、②過失によるミスは【カネ】で整理。
  ③モチベーション低下=異動がないことによるマンネリ化。
 【モノ】(なし)
 【カネ】
  ①故意による不正=仕入先へのキックバックの要求。
  ②過失によるミス=工場との連携不足による発注量・発注金額のミス。
  ③資金不足=運転資金の不足。
 【情報】
  ①技術的リスク=購買システムのハッキングによる仕入価格一覧表の漏洩。
  ②物理的リスク=第三者の侵入によるシステムの破壊。
  ③人的リスク=原材料のマスタテーブルの値設定のミス。

PwCあらた有限責任監査法人『経営監査へのアプローチ―企業価値向上のための総合的内部監査10の視点』―経営レベルの重大なリスクに共通するフレームワークがほしいと思った


経営監査へのアプローチ (企業価値向上のための総合的内部監査10の視点)経営監査へのアプローチ (企業価値向上のための総合的内部監査10の視点)
PwCあらた有限責任監査法人

清文社 2017-01-10

Amazonで詳しく見る by G-Tools

 「リスク」と聞くと、「できるだけ触れたくないもの」というネガティブなイメージを抱きがちである。しかし、リスク(risk)の語源はラテン語のriscareであり、「明日への糧」という意味である。リスクにはプラスの意味もある。通常、我々が使う意味でのリスクは、正確には「ダウンサイド・リスク」と呼ぶ。このリスクは低減・回避することが重要である。一方、ポジティブな意味でのリスクは「アップサイド・リスク」と呼ばれ、このリスクは積極的に取っていく必要がある。新規事業への進出はアップサイド・リスクの典型例であり、リスクを取らなければ企業の成長はない。

 内部監査は、どちらかと言うとダウンサイド・リスクに対応するものとして認識されている。だが、本書は敢えてアップサイド・リスクを取るための内部監査を提唱している。別の言い方をすれば、従来の内部監査が守りの内部監査であったのに対し、これから必要になるのは攻めの内部監査である。

 グローバル企業における攻めの内部監査ということで、本書がカバーするリスクの範囲は非常に広い。

 ・地政学リスク、EPA(経済連携協定)など、政治的・経済的リスクが自社の戦略に与えるリスクをどのように精査するか?
 ・グローバル規模でサプライチェーンを構築している中で、アウトソーシング先に対する内部監査をどのように実施するか?
 ・M&A、経営統合において、相手先企業をいかに内部監査するか?
 ・セキュリティ、プライバシーに対する懸念が高まる中で、IT部門に対してどのように内部監査を行うか?グローバルITの企画段階からどう関与するか?
 ・戦略の複雑化・行動化に伴ってますます大規模化するシステム開発プロジェクトにおいて、いかにしてリスクを低減しつつプロジェクトを成功に導くか?
 ・業界の規制をめぐり、国・地域ごとの差異を考慮しながら、いかにして効果的・効率的な内部監査を実行するか?
 ・行き過ぎた租税回避に対する社会の厳しい目を意識しつつ、CSRの一環として、税金の最小化ではなく最適化のために内部監査にできることは何か?
 ・FCPA(海外腐敗行為防止法)など、域外適用がある汚職防止法が施行されている中で、汚職・腐敗を防止するために内部監査がなすべきことは何か?
 ・人的資本や知的資本などの非会計的資本、ESG(Environment=環境、Society=社会、Governance=ガバナンス)といった非財務情報の価値を高め、企業価値を向上させるために内部監査が貢献できることは何か?

 ただ、これら1つ1つのリスクに対応するだけでも相当大変である。しかも、それぞれのリスクについて、個別にある程度リスクマネジメントの方法論が確立されている。これらを生半可な状態でバラバラに使おうとすると、私が内部監査部門の社員なら悲鳴を上げそうである。リスクマネジメントの対象となる現場も悲鳴を上げるに違いない。個人的には、これらの分野を横断的に俯瞰できる何らかのフレームワークがほしくなるところである。

 実は、グローバル税務ガバナンスの章で、PwCではリスクマネジメント態勢の成熟度をリスクカルチャーと称して、①戦略、②組織構造、③人材、④プロセス、⑤テクノロジーの5つの視点から評価する方法が紹介されている。グローバル税務ガバナンスに関しては、この5つの視点に沿ったチェック項目例も示されている。グローバル税務ガバナンス以外の分野にも、この5つの視点が適用できないものかと考えてみたが、今の私には力不足でそれができなかった。

高市幸男『取引・信用リスクマネジメント―リスクの把握・評価・対応の実務』―信用調査会社はそこまで見ているのか!?


取引・信用リスクマネジメント―リスクの把握・評価・対応の実務取引・信用リスクマネジメント―リスクの把握・評価・対応の実務
高市 幸男

中央経済社 2009-11

Amazonで詳しく見る by G-Tools

 著者の高市幸男氏は、大手リサーチ機関において約4,500社に及ぶ信用調査に従事し、信用調査レポートシステムの構築やマニュアル作成に参画した経験を持つという。「そういう観点で信用調査を行っているのか」と参考になる部分がたくさんあった。以下にメモ書きとしてまとめておく。

 ・零細企業の取材では、売上高を2回四捨五入するケースがある。実際5,500万円の売上高が1回目の四捨五入で6,000万円となり、2回目の四捨五入で1億円となる。少しでも売上高を大きく見せようとする手口である。

 ・商業登記簿は売買されている。設立年数を古く見せるために、古い企業の商業登記簿を購入しているケースがある。信用調査において重要なのは、商業登記簿で公表されている設立年月日ではなく、現在の事業を営む組織体ができた本当の年月日である。また、商業登記簿の売買を繰り返すと、事業内容の記載が非常に長くなる。本業とは無関係の事業が多数記載されている場合には、商業登記簿を購入した可能性を疑うべきである。

 ・経営者が必要以上に公職を引き受けている場合は、経営者の名誉欲が強く、本業である企業経営に支障をきたしている恐れがある。逆に、その業界で何十年も事業を行っていながら、何も公職がないというのも、業界内で何らかのトラブルを起こしているとか、信頼・信用がないとか、自分の利益しか考えない人物であるとか、何かしらの問題があると考えられる。

 ・信用調査においては、組織の大小を問わず、トップとなって企業運営の意思決定を何年行なってきたかを重視する。逆に言えば、ナンバー2を何年務めようと、信用調査上では全く評価されない。

 ・中小企業は少しでも大きく見せたいという心理が働くため、非正社員を合算して社員数を公表していることがある。決算書が入手できる場合には、支払い給与の額から社員数を推定することができる。概ね、販売費および一般管理費の50%を目安として給与を推定する。その給与を人数で割れば1人あたりの給与が計算できる。その値を一般的な給与と比較すれば、公表された人数が正確なものか、多めの人数なのかが解る。

 ・仕入先が遠方に多い場合、経営上の変化を把握するタイミングを逸し、大きな損害をもたらす危険性がある。それにも関わらず遠方との取引が多い場合には、その理由を確かめる必要がある。近隣の仕入先から不評を買い、取引禁止となってやむを得ず遠方の企業から仕入れていることも考えられる。

 本書で1か所だけ私が賛同しかねたのは次の部分である。信用調査では資本金が大きければ高く評価される。本来、資本金は売上規模や業容の拡大とともに着実に増資を重ねてゆくのが普通であり、そういう企業はよい評価ができるという。ただし、私の前職の企業(人材・組織のコンサルティング&教育研修のベンチャー企業)は、風が吹けば飛ぶほどの事業規模であったにもかかわらず、資本金が1億円近くあった。これは、毎年大きな赤字を出して資本金を食いつぶしていたため、経営陣が債務超過を避けるために増資をしていたからである。

 こういう経験があるので、私は事業規模と資本金の関係に着目するようにしている。社員数がそれほど多くないにもかかわらず、また、設備投資などを必要としない事業であるにもかかわらず、資本金がやたらと大きい企業は疑いの目で見る。そして、帝国データバンクで財務情報が入手できるかどうかを確かめる。財務情報が公表されていない場合、私の前職の企業と同様に、累積赤字で資本金が食いつぶされているのだろうと想像する。
プロフィール
谷藤友彦(やとうともひこ)

谷藤友彦

 東京都城北エリア(板橋・練馬・荒川・台東・北)を中心に活動する中小企業診断士(経営コンサルタント、研修・セミナー講師)。これまでの主な実績はこちらを参照。

 好きなもの=Mr.Childrenサザンオールスターズoasis阪神タイガース水曜どうでしょう、数学(30歳を過ぎてから数学ⅢCをやり出した)。

 現ブログ「free to write WHATEVER I like」からはこぼれ落ちてしまった、2,000字程度の短めの書評を中心としたブログ(※なお、本ブログはHUNTER×HUNTERとは一切関係ありません)。

◆旧ブログ◆
マネジメント・フロンティア
~終わりなき旅~
シャイン経営研究所HP
シャイン経営研究所
 (私の個人事務所)

人気ブログランキング
にほんブログ村 本ブログ
FC2ブログランキング
ブログ王ランキング
BlogPeople
ブログのまど
被リンク無料
  • ライブドアブログ