リスク管理といっても、なにもかもが思い通りにいくわけはない。周知ひとつとっても、社内ニュースにあげたから理解したはずだなんて、幻想のなかの幻想。でも、わかっていながら、それで済ませているとどうなるか。
いまから7年前の本なので、取り上げられている事例もちょっと古いですが、いずれもリスク管理を改善していくうえで、見過ごしがちな点が満載。これはつまり、監査上よく観察しないといけない点。サイロに陥りがちな現場に、横断的な視点をもたらすところに存在価値があるのだから。
直近の自分トピックでいえば、進捗確認。みずほ銀行のシステム開発障害では、「どうですか」「順調です」などの形式的なやり取りに終始し、個々の開発実態をまったく把握していなかったという。結果、相互のチェック、牽制が働かなかった。進捗確認を単なるスケジュールだけの話に終始しちゃいかんということ。
失敗するシステム担当者の典型例も参考になる。
以下、備忘。
ただし、よくよく考えたいのは、不祥事を起こした会社の情報は、外部調査などでつまびらかにされるけど、そういう不祥事が(実際にも)起きてない会社との比較ができてないこと。こんな状況ならそうなるよね、とは思うけど、一線を画す(そんなものがあるとして)キーは何だろうと考えてしまう。捉えがたいことこのうえないのが、統制環境なんだろうけど。
・社長に事故を報告するかどうかの基準なし、担当部長がその都度判断(パロマ)
・取締役会において集団的に検討されるのではなく、トップの判断によってすべてが決定。取締役会は無機能状態(パロマ)
・経営者が周囲に障壁を作って都合の悪い情報を遮断(パロマ)
・トップがワンマン化してしまうのは、その周囲にろくな人材がいないことの裏返し
・監督の不履行という怠慢を、「信頼」という美しい言葉で誤摩化そうとするケースが少なくない。
・リスク情報をいくら流しても、それを関係者がきちんと読んでくれなければどうにもならない。
・「危機感の風化」と果てしなく戦いを続けていくことが、リスク管理担当者の背負った十字架
・「正確かつ詳細な事実認定」がなくても「再発防止策の提言」ができるという発想を抱いていること自体が、本調査委員会の問題点を端的に示している(ふじみ野市プール事件)
・無知であるがゆえに危機感がなく、危機感がないから対策が進まない
・総合的な視点が欠如する官僚的縦割り型のシステムに、いかにして総合的視点を持ち込むか、経営者の頭を悩ませる古くて新しい課題
・事態をさらに悪化させるのは、社内のシステム担当者の退職。迷路と化したシステムの全容を理解している者がいなくなれば、システムの保守管理さえもおぼつかなくなる(みずほ銀行システム障害)
・「だろう」「はず」よりすぐ確かめよ
・やかまし屋の復権
・ソクラテスメソッドで部下を鍛える