話を元に戻そう。内部統制システムの構築においては、リスクアプローチが決め手になると述べた。
実は、規定乱発による混乱や無知による違法状況の発生を防ぐためには、自社にとってのリスクを見極め、重要性や緊急性などで優先順位を付けたうえで、対策を徐々に積み上げていけばよいのである。
規定のような明文化されたルールがなくても、やれることも多いはずだ。リスク対策を城壁に例えるならば、城壁は壊れていたり、低くなっている場所を修復したり強化することが急務であり、すでに十分高いところをさらに高くしても何の意味もない。リスクアプローチでは常に低いところから補強していく。
そのためには、まず城壁の周りを歩き回って、城壁全体の状況を把握することが先決となる。現状の把握が重要なわけがここにある。その際、業界ガイドラインやJIS規格を参考にしたり、業界リーダー企業をベンチマーキングして、あるべき城壁の高さを設定してもよい。
IT統制や情報セキュリティであれば、経済産業省のシステム管理基準やセキュリティ管理基準が参考になる。当然、同業他社で起こった不祥事や事故もまた、強化すべき城壁の位置を示している。日ごろからヒヤリハットなど下から上への情報共有が機能している会社であれば、さらにリスクアプローチがやりやすい。
だが、せっかくのヒヤリハットも、報告を受けた側が不都合な問題をもみ消したり、自分たちに都合のよい解釈をするようでは、事件発生は時間の問題だろう。
リスクの位置を特定するために、業務フローを作成することが多いと思うが、いざ業務フローを書き始めてみると、人によってあまりに細か過ぎる人やあまりに粗過ぎる人、中には細かいところと粗いところが混ざってしまう人がいる。
業務上のリスクは情報や材料の伝達において、大きな変換がなされるところで起きやすい。そのような変換点を見付けようとすると、作業者と同じ目線で見ていても気付きにくく、反対に最初と最後だけ見ているだけではどんな変換が起きたのか分からない。変換点は、調理場の作業を思い描けば分かりやすい。きざみ作業から熱処理へ、熱処理から合わせ処理へと材料が大きく変換していく地点がある。
実際の職場において、こうした大きな変換点を見付けやすくするためには、仕事をあたかも、やぐらの上から見下ろすつもりで観察すればよい。
きざみ作業で細かい包丁さばきまでは見えなくても、きざんだ野菜を次にフライパンでいためるということまで把握できればよい。作業の結果が大きく変換するかたまりを、1つの仕事(プロセス)として定義していくのである。
業務フローの書き方の説明として、調理場の作業を例に挙げたが、まさに調理における業務フローは食品安全衛生マネジメントシステムであるHACCP(Hazard Analysis and Critical Control Point)の要求事項となっている。
HACCPでは、変換点となる調理ポイントにおいてチェックポイントを設けることを要求しており、その中でも熱処理のように温度が低過ぎると十分に菌が死なないチェックポイントを重要点と見なし、ハザード計画として管理基準を満たさなかった場合(加熱後温度の測定など)は廃棄するなどの厳しい措置を取ることを求めている。
どんなビジネスの業務フローにおいても、「この処理をおろそかにしたら取り返しがつかない」という重要点管理はあるはずだ。しかし、調理と違って、事前点検や稟議承認といった事務手続き上のチェックポイントでは、おろそかにすることの危険性が理解されにくいという事情がある。
だからこそ、「なぜ、レビューや承認することが必要なのか?」ということについて、徹底的に啓蒙教育しておくことが必要だし、HACCPと同じようにきちんとレビューや承認がされたかということに対しても、承認記録などを確認するなどしてチェック(モニタリング)することが必要なのである。
知らないことを聞くと怒られる、バカにされるような会社は危険だ。
若いうちはまだいいが、ベテラン社員ともなってくると、会社の仕事や仕組みについて聞くことができなくなってくる。なぜその仕事が必要なのかという根本的なことが分からずに、知ったかぶりして仕事をしている輩も少なくないのが現実である。
このような危険な状態を作らないようにするためには、どんなことでも聞けるような職場環境を作ることが必要だ。
決して、会社の中にバカの壁を作ってはいけない。バカの壁は研究所だけでなく、営業でも製造でも経理でもどこにでも見受けられる現象である。「門外漢は意見するな」とか「知りもせずに口出すな」とかいった言葉が聞こえてくるようだったら、危険水位だと思っていい。
今回は、表面的に対処する人間が事をややこしくするというテーマで、いかに徹底したリスク特定や真剣な議論が大切かということについて述べた。
次回は、リスクアプローチの中でも特に重要なリスクアセスメントの方法について、もう少し詳細に見ていきたいと思う。
杉浦 司(すぎうら つかさ)
杉浦システムコンサルティング,Inc 代表取締役
京都生まれ。
京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。
Copyright © ITmedia, Inc. All Rights Reserved.