リスクマネジメント実務のために「本当に」使える書籍
はじめに
2010年代のはじめ頃より、3ラインディフェンスモデルは広く国内でも認知されるようになってきました。
一定規模以上の企業は内部監査部門以外にもセカンドラインとしてリスク管理部門を設置し、全社のリスクマネジメントインフラとての機能を提供するケースが増えています。セカンドラインとサードライン(内部監査)との連携は、評価の重複排除や効率的な役割分担の観点からも重要です。
今回は内部監査としても、勿論リスク管理部門としても必要となるリスクマネジメントや危機管理の実務について知りたい際にお勧めできる書籍を紹介します。
いずれも筆者がERMのプロジェクト推進やリスク管理規程の見直しなどの際に活用したものです。
『リスクマネジメントのプロセスと実務 Process and Practice of Enterprise Risk Management』(2014)
実務と理論の融合!監査法人トーマツによるリスクマネジメントの実務解説本
■基本的な特徴
リスクマネジメントの概要から実務、事例まで網羅的にカバーした一冊です。
基本的理論としてのCOSO-ERM、ISO31000からリスクマネジメントの全体像を把握させ、各論の実務(リスクの識別・評価・対応・是正等)、それらを補完する業務(教育・訓練等)についてかなり丹念に紹介する構成です。実務に初めて当たる方の入門にも最適ですし、経験者が自身の業務を振り返る際にも活用できます。
この他リスクの予防・発見等の事前抑制措置だけでなく、顕在化した場合のクライシスマネジメントにも踏み込んでおり、通常のリスク管理部門が行う業務範囲は概ねカバーしているといえるでしょう。
また本書の特徴として実務にそのまま活用できる分かりやすい図表が豊富に記載されていること、リスクマネジメントを取り入れた企業の事例が数多く掲載されていることが上げられます。本書では全体が5部構成になっていますが、第4部の100ページ以上が丸々事例紹介となっています。
■その他・注意点
タイトルには”Enterprise Risk Management”となっていますが、どちらかというとPDCAとしてのリスクマネジメントサイクルに即した考え方がとられておりISO31000がベースになっている印象を受けます。
ERMの本格的な導入を考えている方には物足りないかもしれませんが、PDCAは日本企業にも十分馴染み深い概念であり、リスク管理の実務としては本書で紹介されたプロセスが一般的かつ理解しやすいのではないかと思います。
残念ながら2014年とやや内容的に古くなっている点、事例紹介も豊富ですが海外不正やFCPA(米国海外腐敗行為防止法)、透明性規制などややグローバル視点からの規制対応が例示されている点は馴染みにくい面もあるかもしれません。
■まとめ
上記のような留意点はあるものの、今でも基本的な考え方や実務設計は十分活用できる内容になっていると思います。リスクマネジメントの部門管理者・担当者には特におすすめできる一冊です。
※2019/3/7に増補版がでました。筆者はまだ購入していないので参考として紹介します。
『リスクマネジメント規程集』(2009)
規定の意味が分かる!良質なリスクマネジメント規程集
■基本的な特徴
リスク管理部門に勤務した場合、リスク管理に係る基本規程や施行上の規則、又は個別のリスク事案に関わる規程整備をする場合があります。本書はこうした規程を検討する際には適した一冊です。リスクマネジメントや危機管理、事業継続等のコンサルティングで有名な東京海上日勤リスクコンサルティングが編著となっています。
本書は経営全般から総務・労務、経理・財務、情報、広報、海外等の多岐に渡る領域におけるリスクを扱っています。この各リスクに対応するモデル規程が掲載されておりその数は40以上に上ります。全て実務に転用可能な粒度で具体化された規程になっています。そのまま用いることはできなくても、ベースラインとしては十分参考になるでしょう。
しかし本書の優れているのは単にモデル規程の量・質だけでなく、各規程について取り扱うリスクや規定上のポイントについて分かりやすい解説が挿入されている点です。これによりその規程がなぜこうした構成をとるのか、この条項は何を意味しているのか等の本質的な部分を理解をするうえでとても参考になります。
■その他・注意点
出版年が2009年と10年以上前なので、関連する法令等は現在の状況に整合していない点があったり、モデル規程は業種・業界によっては殆ど利用し得ない規程(「廃棄物処理規程」等の環境規程、「外部侵入者防止規程」等のテロ・犯罪対策)もあったり、セキュリティに関する規定はごく基本的に過ぎて現代ではマッチしないものがあります。
■まとめ
ただ本書の「リスクマネジメント基本規程」などの基本規程は現在も十分活用できる内容ですし、他の関連する実務規程も一定のベースとして「叩き台」には十分なれるものが多数あります。モデル規程集のデータはCD-ROM化されておりこれから規程を作成する方にとっては有意なデータ集といえるでしょう。
最後に
通常リスク管理部門は全社の各部門における一連のリスクマネジメント業務をサポートするとともに、重要なリスク対応についてはモニタリングする役割を有しています。
内部監査部門の計画策定にも彼らのリスク評価結果を活用できますし、リスクモニタリングの結果を考慮して内部監査の評価範囲を限定することもできます。内部監査としてもリスク管理部門の業務を理解することはとても重要です。
また内部監査からのジョブローテーションとして、活用できる専門性が近いリスク管理部門は格好の異動先でもあります。リスク管理の実務を知ることは内部監査にとって一つも無駄にはならないでしょう。
Follow me!
投稿者プロフィール
- ネット系事業会社 内部監査室 室長
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員
