日本企業の弱点はリスクアセスメントにあり：ビジネスに差がつく防犯技術（5）（1/2 ページ）

「リスクアセスメント」という言葉をご存じだろうか。リスクアセスメントとは、リスクを網羅的に抽出して優先順位を付け、対策を実施することを指す。企業においては、このリスクアセスメントが非常に重要だ。今回は、このリスクアセスメントについて説明する。

[杉浦司，杉浦システムコンサルティング,Inc]

本当に重要なリスクを洗い出せているのか？

　リスクアセスメントとは、リスクを網羅的に抽出して優先順位を付け、対策を実施することを指す。リスクには「固有リスク」「統制リスク」「発見リスク」の3つがある。

　固有リスクとは、業務を行う上で不正や事故などが本来的に発生するリスクであり、統制リスクとは、何らかの統制活動によっても固有リスクが防止できないリスクだ。発見リスクとは、統制活動によっても固有リスクが発見できないリスクである。

　リスクアセスメントの実施に当たっては、まず固有リスクをしっかりと探し出さなければならない。

　放置されている固有リスクがあるにもかかわらず、統制リスクや発見リスクばかりに目を向けた文書3点セットの作成に、どのような意義があるのだろうか。城の防衛力は一番強いところでも平均的なところでもなく、一番弱い個所で決まる。この当たり前のことが、なぜか日本版SOX法対応においては、どうもおろそかにされているような気がしてならない。

まずは現実に起きている問題を拾いまくれ！

　リスクアセスメントを実施する際には、とにかく現場を回らなければ意味がない。

　机上で業務フローを書いているだけではダメだ。現場で何が起きているのか見もしないでリスクが分かるわけがない。いま、起きている現象としての問題を徹底的に洗い出すことが重要だ。

　現象問題は、「委託倉庫での入出庫や実地棚卸作業の状況を長期間点検していない」とか、「マスタメンテナンス画面を利用する担当者が限定されていない」「業者選定の際に能力評価が行われない場合がある」といった内容になるだろう。

　注意しなければならないのは、固有リスクにはどのようなものがあるのかについて理解できていないと、“問題を問題として認識することすらできない可能性が高い”ということだ。

　現象問題を発見できる人は、日本版SOX法であれば財務諸表の信頼性を損なうような不正や事故がどのようなものか、情報セキュリティ診断であれば、紛失や破壊、改ざん、漏えいといった不正や事故がどのようなものか、環境・安全・健康に関するリスクマネジメントであれば、化学的、生物的、物理的な危害が人にどのような影響を与えるかといったことを理解している。

　ただやみくもに問題探しをしてみても、効果が上がらないケースがあるのはこのためだ。まずは、取り組まなければならないリスクについて、どのようなものがあるのかについて、ガイドラインや専門書などで事前に知識を入れておくことが必要だろう。

問題の背後にある根本的な問題は何か？

　現象問題が洗い出せたら、次はその背後にある根本的な問題を探り出すことになる。

　根本問題の種類は、幾つものパターンに分類することができる。根本問題のパターンとしては、「リスクが認識されていない」「管理方針がはっきりしない」「役割分担が決まっていない」「ルールが明確になっていない」「手順が標準化されていない」などがある。

　前述した例では、「委託倉庫での入出庫や実地棚卸作業の状況を長期間点検していない」場合は、「委託先の現場確認についてルールが明確になっていない」のが問題だ。

　「マスタメンテナンス画面を利用する担当者が限定されていない」場合は、「マスタデータの変更に対する管理方針がはっきり決まっていない」が、「業者選定の際に能力評価が行われない場合がある」場合は、「不適切な業者を選定することによるリスクが認識されていない」といった根本原因があるのかもしれない。

現象問題と根本問題は表裏一体の関係だ

　原因である根本問題を是正することによって、結果としての現象問題だけでなく、発見できていない現象問題が解消し、さらにはいまはまだ発生していない問題も防止することができる。また、根本問題に対する改善活動の有効性を、現象問題が解決したかどうかを確認することによって検証することができる。

　根本問題を是正したにもかかわらず、同じような現象問題が発生するならば、まだ気が付いていない別の根本問題が存在するのかもしれない。あるいは、より上位の根本問題が存在するのかもしれない。

根本問題を放置するとどのようなリスクがあるのか？

　根本問題を探り出した次は、リスクの特定だ。

　根本問題を放置しておくと、どのようなリスクがあるのだろうか。前述した例では、「委託倉庫での入出庫や実地棚卸作業の状況を長期間点検していない」場合は「委託倉庫の過失による誤入力や紛失、悪意による窃盗や横領」が懸念される。

　「マスタメンテナンス画面を利用する担当者が限定されていない」場合には、「正当な権限を持たない者による不正取引をするための、あるいは不正取引を隠すためのデータ改ざん」が、「業者選定の際に能力評価が行われない場合がある」場合には「仕入れ先や委託先の不適切行為による品質不良や業務障害の発生」といったリスクが懸念されることになるだろう。