戦略リスクに対する内部監査 ブックマークが追加されました
ナレッジ
戦略リスクに対する内部監査
戦略の策定・遂行に対する内部監査の対応アプローチ
経営戦略は内部監査の対象ではないという考えもありますが、内部監査は戦略の「策定」と「遂行」に潜むリスクを分析・把握し、提言することができます。内部監査が戦略リスクを監査対象とすることで戦略に対する社内意識を高め、大きなリスクに内部監査の資源を配分し、組織に付加価値を提供することが可能となります。本稿では、戦略の策定と遂行において内部監査がどのような価値を提供できるのかを考察します。
戦略リスクに対する内部監査の必要性
内部監査は経営に資する価値を提供することが期待されています。しかし、現状では、書類の軽微な不備の指摘など「重箱の隅をつつくような」監査業務やリスク評価(部門監査)に終始してしまう内部監査部門も少なくありません。会社の業績や経営を左右するような全社的な戦略プロセスや経営者の意思決定については内部監査の対象ではないという認識が一般化し、多くの内部監査部門では「戦略リスク」へのアプローチを検討していないようです。しかし、社内に存在する戦略リスクを認識しながらも、内部監査がそれらを座視している状態は健全ではなく、経営戦略が達成されない可能性が高まります。
戦略の良し悪しは経営判断ですが、戦略の「策定」や「遂行」に潜む戦略リスクについて内部監査がその実態を把握・分析して課題を提言することは、企業経営に対する付加価値の提供に繋がります。内部監査が戦略リスクに対して経営者の目として積極的に経営課題を提言し、戦略達成を支援することが重要です
内部監査が注視すべき戦略リスク
「戦略リスク」の明確な定義はありませんが、内部監査では「戦略立案時のリスク」と「戦略遂行時のリスク」に着目することが重要です。以下の図は、企業の経営理念、戦略上の目標、戦略などの関係性を、航海の船を「企業」に、道筋を「戦略」と見立てたものです。
会社には3年から5年の中長期的な戦略目標(航海の目的地)が設定されます。現状から戦略目標に達する最適な道筋を経営者が判断する過程が、戦略立案です。
「戦略立案時のリスク」とは、戦略目標が経営理念に沿っていない(航海の目的地が間違っている)、戦略を忠実に実行したが目標を達成できない(選択した航路が間違っている)など、戦略策定時点で発生するリスクです。
戦略立案時のリスクは主に(1)意思決定要因と(2)戦略策定プロセス要因の2つのリスクに大別されます。
次に、戦略立案時に策定した戦略目標(航海の目的地)を経営理念に沿った正しい道で目指す航海が、戦略遂行です。
「戦略遂行時のリスク」とは、適切な戦略を立案したが遂行過程で思わぬリスクが顕在化し、目標を達成できない(航海が失敗する、あるいは、正しい道を進めない)リスクです。
戦略遂行時のリスクは主に(3)戦略遂行要因と、(4)大規模プロジェクト要因の2つに大別されます。
これら4つの「戦略リスク」((1)意思決定要因、(2)戦略策定プロセス要因、(3)戦略遂行要因、(4)大規模プロジェクト要因)を内部監査の対象とすることで、戦略に対する社内意識を高めることに繋がり、より大きなリスクに対して内部監査の資源を配分することが可能となります。
また、事業ラインから独立した社長直轄の内部監査部門は、会社レベルの構造的課題を経営者に指摘し、改善を助言するにふさわしいポジションといえます。
以下、4つの「戦略リスク」に対して内部監査が提供できる価値やアプローチ方法をご紹介します。
「戦略立案時のリスク」と内部監査機能
戦略立案時におけるリスクは(1)意思決定要因と(2)戦略策定要因に分けて考えることができます。
(1) 意思決定要因のリスクと内部監査機能
意思決定要因のリスクとは、戦略上の目標が会社の中長期的な目標と整合していない、あるいは、戦略を実行する予算やリスクが会社の許容可能な範囲を上回っているリスクです。
内部監査部門が提供できる価値は、以下のようなことが考えられます。
- 会社の経営理念、ビジョン、経営者の発するメッセージ等と照らして、自社の取ろうとする戦略目標の整合性を確認する。
- 一部署や一人の発言力がある経営者の独断や主観的判断によって客観性・合理性の欠如した戦略目標が設定されていないか確認し、牽制を効かせる。懸念がある場合は監査委員会・監査役との連携を検討し、経営者に意見表明する。
- 会社の「コアコンピタンス」や「強み弱み分析」検討時の議論に陪席し、リスクの専門家の観点から、外部環境、組織の内部に起因するリスクの情報を提供する
- 戦略目標を達成するためのコスト・予算の算出が客観的・合理的か検証を行う。潜在的最大損失について偏ったデータやバイアスに基づいている場合は、その旨経営者に具申し判断を仰ぐ。
(2) 戦略策定プロセス要因のリスクと内部監査機能
戦略策定プロセス要因のリスクとは、経営者が定めた戦略を計画に落とし込む段階で発生するリスクです。経営者が提示した戦略が抽象的なため、現場が理解できる具体的な言葉やしくみに落とし込めない、あるいは、そのようなプロセスがない等が典型的な課題です。
以下のような取り組みを通して、内部監査は経営者の課題克服を支援する事ができます。
- 戦略立案過程で客観的アドバイスを提供する。会社が戦略マップを策定・文書化し、達成のための部門ごとのアクションプランへの分解過程を検証し、その過程に戦略から乖離させるような力学や不整合が働いていないかを第三者的視点で確認・検証する。
- 戦略目標実現を阻む主要な不確実性(リスク)が特定されているかの確認と経営者・各リスクオーナーへの早期の助言を提供する。
- 主要なリスクに先行する事象KRI(Key Risk Indicator)の決定や設定方法についてリスクの専門家の観点から助言する。
- 戦略遂行のための実行計画自体の欠陥・課題について客観的視点での確認・検証を行う。
「戦略遂行時のリスク」と内部監査機能
戦略遂行時のリスクは、(3)戦略遂行要因と(4)大規模プロジェクト要因に分けて考えることができます。
(3) 戦略遂行要因によるリスクと内部監査機能
戦略遂行要因によるリスクとは、戦略が計画に落とし込まれた後、想定外のリスクが顕在化し計画が頓挫するリスクです。計画の頓挫を回避するため、戦略遂行に必要な経営基盤(組織構造・制度・IT・企業風土等)を整備し、全社的リスク体制やプロセス(ERM)を構築することが大切です。
以下のようなリスク管理体制の分析・改善提案を、内部監査部門は行う必要があります。
- 第3線として、全社のリスク管理体制のPDCAが有効に機能しているか確認する。内部監査部門が、第2線(コーポレート機能)に提言可能な独立した体制を構築するため、人事ローテーションや部員構成について、経営者や監査役と相談し、改善助言を提供する。
- 会社の各種会議に陪席し、会社の経営基盤や体制・プロセス、風土に関して重大な懸念がないか等の日常点検を行う。
- リスクが顕在化した際に、会社が設定したKRIが危機の予兆を示すことに貢献したか確認・検証し、アクションプランの策定の際に助言を行う。
- 部門内に設定されたKRIの達成が会社の戦略目標の実現に寄与しているかの継続的点検を行う。
(4) 大規模プロジェクト要因によるリスクと内部監査機能
大規模プロジェクト要因によるリスクとは、新製品開発、M&A、新拠点立ち上げなど、リスクの高いプロジェクトが失敗するリスクです。プロジェクト開始前に、プロジェクトの各段階での成功・失敗を判断する基準を設定し、ディシジョンツリーとして運用するなど「プロジェクト監査」を実施することでリスクを回避します。
内部監査部門は大規模プロジェクトに際し、以下のようなアプローチを取ることができます。
- プロジェクト会議に陪席し、不確実性の有無について助言、進捗状況やリスクの整理・可視化を支援する。
- 以下について、プロジェクトオーナーに客観的助言を提供する。
・プロジェクトの目的・目標の明瞭性
・プロジェクトの成否を分けるクリティカルポイントの設定有無
・プロジェクト撤退基準の有無
・ベンダー管理の適切性(下請法違反、癒着・不正の可能性、契約上の懸念点、ベンダーの品質管理の適切性など)
- プロジェクト監査、プロジェクトパフォーマンス監査、ベンダー監査、各種監査の実施と監査結果を経営陣に報告する。
ここまで「戦略リスク」に対して内部監査が提供できる価値とアプローチ方法をご紹介しました。「内部監査」が「戦略リスク」を適切に管理し戦略達成を支援することは、企業経営への付加価値に繋がります。そして「戦略リスク」に対する社内意識を高め、会社がより大きなリスクに対して資源配分を検討することが重要です。(※対応例はあくまで一例であり、全て網羅するものではありません。)