経営目標達成への二つの方法論

　　経営目標を達成するために、適切な時期または工程で、業務の遂行状況の振り返りを行うのはマネジメントサイクル（PDCA）の基本である。その際、目標とするところと現状のギャップを把握分析して、対策を講じていくというのは常識であり、内部監査人もそうした振り返りが監査対象組織できちんと行われているかどうかを確認し、不十分な点があれば指摘し、改善提案を行うことになる。

　ただし、そうした問題（＝目標と現状のギャップ）解決型のアプローチだけが、経営目標達成のためのアプローチではないことを教わった。いかに組織の目標を達成するか、その道筋がはっきりしている場合は、問題解決型のアプローチを採るのが効率的であろう。しかしながら、リソースの制約があり、事業や市場の環境がダイナミックに変化する場合など目標を達成するにはどうしたら良いのかが、必ずしもはっきりしていない場合も多々あるのではないかと思われる。

　そのよう状況では、なにか良いパフォーマンスや機会をとらえて、それを展開していく方法論もあるという。前期の営業利益率が例えば8%であったところ、12%が組織の目標として課され、中間期では10%であったとする。問題解決型のアプローチでは、12%に届かなかった2%分について、原因を分析して対策を打っていく。あらかじめ12%を達成するためのシナリオが策定されており、それとのギャップ分析が主体となる。

　これに対して、プラスの要素に着目して展開していくアプローチでは、前期の8%という実績から伸ばすことのできた2%分について、その成功要素を把握して、そこを伸ばして目標に向け展開していくこととなる。分析的ではなく、総合的あるいは創造的なアプローチである点でなかなか監査においては取扱が難しい方法論であろう。

　ただし、このアプローチが有効なのは環境がダイナミックに変化しあらかじめ目標達成への道筋が描けない場合や、組織の勢いが重要な場合なのだそうである。逆に、事業環境が静的で目標達成への道筋が描けるはずの場合や、慎重さや正確さが重要な場合には適切ではないとされる。監査人は、そうした事業環境の性格も考慮した上で、マネージャーの指導や活動を検証・評価することが必要であろう。

開発品質管理と内部統制

　製品開発プロセスについてリスク・ベースの監査を行う際の視点についてBarry S. Leithheadが書いている（08年12月に当blogで要約）。いわく、製品開発プロセスには次の３つのリスクがあるという。

　①機会リスク
　②投資リスク
　③プロジェクト・マネジメント・リスク

　このうち、①と②は経営判断を含むものであり、内部監査人が監査の対象とすることが必ずしも相応しいとは言えまい。

　これに対して、プロジェクト・マネジメント・リスクは、ライン・マネージャーがPDCAのマネジメント・サイクルを管理しながら運営し、目標とする品質（および期限、コスト）を実現する内部統制のプロセスである。内部監査人は、むしろ、このプロジェクト・マネジメント・リスクに注意を向けた監査を実施するべきかと思われる。

　まず、監査は開発目標の設定のされ方を確認することから始まる。これは一部、（開発）投資リスクとも重なる点があるが、あくまで経営判断の内容ではなく、計画のintegrityに着目すべきである。内部監査人は、開発計画書（企画書）などの証跡の記述を確認することによって、開発目標の設定についてアシュアランスを行うことができる。

　開発目標（製品の性能）が記述されていること。他社の競合製品とのベンチマークがなされていること。市場環境とポジショニングが記述されていること、などがスタート地点である。

　つぎに、開発目標が開発工程に十分にブレークダウンされ、開発期間とリソースの裏付けがなされていること。開発投資、ランニングコストが収益で回収できる可能性（ビジネスプラン）が示されていること。開発工程には、レビュー、テストの方法と時期が明記されていること。計画書は、適切な時期にリリースされているかどうか。

　こうしたことが、開発計画書（企画書）に記述されているかどうかを確認したら、つぎは開発作業の進捗管理が十分になされているかを確認する。開発の進捗が予定と実績とギャップとで明示され、定期的にマネジメントによって確認されていること。予定に対する現時点での遅れが、最終的な開発完了時期にどのように影響するかが検討されているか。

　つぎは、レビューおよびテストの確認である。方法があらかじめ規定されているか、品質目標（システム開発であれば、千ステップごとのエラー件数など）が設定されているか。レビュー、テストがそうした方法などに則って予定された時期に実施されているかどうか。レビュー、テストが実施された結果が適切に記録されているか、などが確認事項になる。

　最後に、開発が所定の品質を伴って完了したことの確認と、進捗の予定に対するギャップを含めて開発工程全般についての反省がなされ、次の開発に活かされるように記録されていることを確認する。開発成果（ＩＰ、ソフトウェア、設計図）などがセキュリティを配慮して記録されているかどうか。

　こうした一連のことを確認することによって、開発品質についての内部統制が有効に実施されていることをアシュアランスすることができる。
　

中小企業と内部監査

　放送大学で「組織運営と内部監査」という科目の講義が始まっている。日本内部監査協会も番組の制作に協力しているようである。

　私はテキストを買って読んでみたのだが、内部監査に関するテーマを広範にわかりやすく取り上げていると思う。

　とりわけ、以前から関心のある「経営監査」あるいは「内部監査と経営診断の学際的(?)領域」について、中小企業における内部監査の役割に関する論考（講義）がヒントになりそうである。

　テキストでは中小企業の特質として、ヒト・モノ・カネなどの経営資源に制約があること、経営者の個性が強いこと、創造性・機動性・技術力による潜在的市場創出能力が高いことなどを挙げている。

　他方で、それらの裏返しとして、キャッシュフローの管理、本業への集中、適切な人材管理が中小企業の課題となると指摘している。

　たとえば、内部監査が購買管理（仕入管理・生産管理・在庫管理）、債権管理、販売管理についてリスクを指摘し、改善を提言していくことによってキャッシュフローの効率性を高めていくことができるとしている。

　そうした業務プロセスの内部監査がうまくいかない場合、経営者が適切な管理を欠くと従業員の不注意や怠慢を誘発し、品質問題など様々なリスクが顕在化して業績の悪化を招くことにもつながる。この意味で、内部監査は適切な人材管理を通じて、組織のリスクを低減し、業務プロセスの有効性と効率性を高めるものと言えるのかも知れない。

　また、経営者の個性が強いことと、潜在的市場創出能力が高いことは、ともすると自社の強みと弱みを十分に踏まえずに、手を広げてしまう危険をはらんでいるといえよう。経営者が自分を律するのが困難であれば、日頃からそれをサポートする仕組みをつくっておく必要があり、それが経営者自身の内部監査であるという。（中小企業の場合は、会計参与などの社外ブレーンを活用することが考えられる。）

　実際には、中小企業で適切な内部監査が実施されている例は希少であるという。しかしながら、中小企業経営者自らが意識を変えて、内部監査を組織のリスク・コントロール、ガバナンスを強化する投資と理解して導入することが望まれるとしている。

　中小企業というと大企業の下請けというイメージもなくはないが、むしろ、このテキストがいうように潜在的な市場を創出するイノベーティブな役割を期待したいものである。そうした意味でベンチャーやアントレプレナーを支援する役割の一翼を内部監査が担いうるのであれば、内部監査の社会的な意義も更に深いものとなるのではないだろうか。

リスクベースの内部監査と製品開発プロセス

内部監査はさまざまな部門を対象として行われるが、事務部門出身の監査人にとっては、とっつきにくいのが開発部門の監査ではないだろうか。基礎的な研究を含む研究開発部門となると、いったい何を監査したら良いのか見当がつかないが、もう少し製品化に近い業務を行っている「製品開発」部門については、つぎの論文がリスクベースの内部監査について示唆を与えてくれる。

　http://findarticles.com/p/articles/mi_m4153/is_5_57/ai_67590524/pg_1?tag=artBody;col1

2000年に書かれた論考で、筆者はBarry S. Leithheadという人であるがオーストラリアで多分、コンサルタント会社の経営者をしていた人らしい。IIAの公認内部監査人だと思われる。以下、彼の論旨を要約して紹介する。

『組織の業績は製品開発が成功するかいかんにかかっている。新製品を投入したり、既存の製品に改良をくわえたりすることによって企業は市場ポジションと成長への機会を得ることができる。反面、これらが顧客の期待にミートしなかった場合、企業は市場ポジションと競争力を失ってしまう。したがって、製品開発には「機会」と「脅威」が潜在するわけで、そこに内部監査人がリスクベースの内部監査を実施することで組織に価値を付加することができるゆえんがある。

機会リスク

機会リスク（リスク・マネジメントでは広義には目標からの偏差をリスクというので、機会をもたらす要素もリスクというのだろう）をうまく管理することで企業は成功のチャンスを高めることができる。製品開発に影響をおよぼす機会リスクは投資とプロジェクト・マネジメントに関連している。

投資リスク

投資リスクに関して最も重要な点は前提条件と基礎的なデータの信頼性であり、内部監査人は、これらに十分な注意を払う必要がある。開発投資というのは実は一般的な設備投資（または資本予算）についての意思決定と似ているので、内部監査人はそこで利用されるリスク評価と統制プロセスを応用することができる。

プロジェクト・マネジメント・リスク

製品開発はプロジェクトでもあり、時間、資金、要求された品質と性能という主要な三つの条件に制約される。プロジェクト・マネージャはこれらの間のバランスをうまくとらなければならない。そのバランスこそがプロジェクトのリスクであり、プロジェクトが適切なリスク評価、リスク管理にもとづいて運営されているか内部監査人は注意を払わなければならない。

脅威

製品開発は企業にとって機会でもあるが、市場にアピールする製品を投入できなかった場合には、衰退と陳腐化という重大なリスクが生じる。企業の収益が成熟した製品に過度に依存している場合、将来にリスクを抱えているということになる。

成熟と陳腐化の影響が表れるのはゆっくりしてとらえがたい。しかも、いったん影響が現れたらば、それを逆転することはできない。成熟した製品は結局、市場から退出するか、アップデート（改良）するしかないのだ。組織が成熟と陳腐化のリスクに気付かなかったり、製品開発がタイムリーに良い結果を出せなかったりした場合、リスクが高まる。また、新製品や改良された製品をタイムリーに市場に投入するプロセスにもリスクが潜在している。

内部監査は経営者や管理者がこうしたリスクを認識、理解することを支援することで製品開発プロセスの重要な資産となりうる。

成功を確保する

顧客ニーズは常に変化し、競争相手の挑戦にも継続して対応せねばならない。そのために製品を改良または開発することは必須である。内部監査人は製品開発に潜在するリスクを適切に管理すること、企業が顧客に求められる製品を持ち続けることに貢献することができ、組織に重要な価値を付加することができる。製品開発がうまく行われるということは、企業が強い競争力と市場ポジションを持ち続け、失敗への落とし穴にはまらずに済むということである。』

著作権の問題があるので訳出しないでおくが原文には、投資リスク、プロジェクト・マネジメントのリスク、成熟のリスクの観点から内部監査人が発するべき問を例示してあり、参考になる。