リスク及びコントロールの自己評価プログラム

スタンフォード大学内部監査

このページの情報は、株式会社プロティビティジャパンの提供により掲載しています。

〜CSA事例紹介〜

リスクおよびコントロールの自己評価プログラム：
テクノロジーに支援された組織のパフォーマンス向上プロセス

要約

スタンフォード大学の内部監査部は最近、大学に最もプレッシャーを与えている問題に対し、限られた資源で敏速に焦点を合わせるようデザインされた革新的なプログラムを実施した。それは顧客の深い関与、ベスト・プラクティス、システム思考、実地パイロット・プロジェクト、及び継続的な改善により達成された。このリスクおよびコントロールの自己評価プログラム（RCSA : Risk and Control Self-Assessment）は、コントロールの低下を防ぎ、早期発見すると同時に、被監査組織により作成、実施されたアクション・プランを通じて大学のリスクを低減する。マネージャーと監査人双方の主要目的はシンプルだった：それは、業務目的の達成を保証すること−つまり、資産の保全；政府、 スポンサー、 寄付者、 および大学の要求に対するコンプライアンス；教授陣、 学生およびスタッフの満足；資源の効率的な活用；情報の信頼性と完全性である。

RCSAは、最近内部監査人が最も注力していることである。この手法は、学部プログラムや部門、相互に関連する部門のスタッフをファシリテーション・ワークショップに集める。具体的に言えば、RCSAセッションの参加者は、ユニットでのビジネス目的とプロセスに関連するリスクとコントロールの要素について、テレビのリモコンによく似た装置を用いて″投票″する。参加者はリスクとコントロールについて問題を明らかにし、 それらの問題に取り組むために、アクション・プランを立てる。迅速かつ一致した意思決定をサポートするためのテクノロジーや訓練されたファシリテーターの活用は、「監査の範囲」を超えて計画策定、優先順位付け、フォーカス・グループ、 ユーザーニーズの把握、 ビジネスプロセスの改善や問題解決活動等へ発展した。

RCSAセッションの成功の一つの結果としては、内部監査に関連しない問題を調べたり、意思決定のためにセッションの手法を使用したいという大学各部のマネージャーからの要望が寄せられたことが挙げられる。学部の年度目標の決定、システムの向上の優先順位付け等、この管理ツールを使用して各学部は素晴らしい成功を納めた。今日、 スタンフォードではこの種のセッションは、RCSAセッションの約3倍近く開催されている。

これまでの結果、スタンフォードでは、1回のRCSAセッションにおいて、25万ドルから50万ドルのコスト削減につながったり、他のケースでは1000時間の監査時間を100時間までに短縮した。また、他の分野でも 結果は素晴らしかった。テクノロジーに支援されたファシリテーションセッションはシステム向上の優先順位付けの時間を半分にし、ユーザーニーズの把握時間を数日から2〜3時間にした。

最も重要な側面

RCSAおよびファシリテーションによる投票セッションにより、大学のマネージャーは以下のことを迅速にかつ簡単にできるようになった。

1. 現在の問題を認識し、 将来のリスクを回避することにより、業務とプロセスを改善する。
2. 監査要件を、低いコストと高い効果のある方法で満たす。
3. スタッフ、 顧客、 および供給者の創造性を利用する。

実施日

顧客インプットとシステムデザイン：9/96 - 1/97
パイロットセッション：1/97 - 9/97
開始時期：9/97-現在に至る

経営者の関与と従業員のかかわり合い

リスクおよびコントロールの自己評価 （RCSA)は、スタンフォード大学の内部監査役員と上級監査人によって推進され、関与度合いの高い中間管理職のリーダー達によって歓迎された。RCSAのプロセスはクライアントであるマネージャーの目的とニーズによって非常に大きな影響を受ける。実際、そのマーケティング、 事前のセッションプラン、ワークショップ、およびフォローアップというプロセスの流れは、スタンフォードのRCSAシステムと他の意思決定プロセスで追加的に使われるためのデザイン要件を経て開発された。

新しいシステムの作成と導入を望むクライアントと監査人は、その開発と実現に向けて共同で取り組まなければならない。スタンフォードにとって、RCSA導入の成功を保証する唯一の方法は、監査人、中間および上級管理職、熟練従業員を積極的に巻き込むことであった。彼らを巻き込む目的は、アイデアを生み出し、専門的な意見を引き出し、将来見込みのある部門に影響を持たせることである。そのアンケートは、典型的なセッションの簡潔な記述と一緒に、利害関係者に送付された。およそ25%のアンケートが返送され、協力してくれる個人にはインタビューを行った。調査の回答から、以下のことが明らかになった。

• クライアントは、既に負担がかかっているスタッフに追加の仕事をつくりたくないし、マネージャーの観点から彼らに負担をかけるセッション結果を引き出したくない。
• クライアントは、結果の配布、（結果を出さない会議とは違う)焦点の絞れたセッション、問題の解決等に関して事前に合意し、そして参加者が彼らの時間は有効に費やされている、と感じられることを望んでいる。

監査人の意見に加えて、 そのようなフィードバックはパイロットプロジェクトをデザインする際に活用された。また、そのフィードバックは、電子投票とファシリテーションを組み合わせた枠組みのたたき台としても役立った。

6つのパイロットプロジェクトが、 RCSAのプロセス、 アセスメントの枠組み、ファシリテーション法、 および電子投票技術をテストするために準備された。パイロットの領域は、本部の会計機能から、高エネルギー物理学研究所、学部長室等のオフィス・ユニットを含んだ。

参加者による投票技術の利用は、グループのリスクとコントロールの存在を速やかに理解することによって、期待以上の成果を出した。パワフルで迅速、匿名の投票能力は、参加者を平等にした。あるケースでは、300以上の質問が約2時間で検討され、投票された。管理職、 監査人、 および全ての参加者が、リスクの問題、 コントロールの問題、 および合意の範囲をすぐに見ることができた。「我々は3時間で信じられないほどの成果をあげた。私は、何日も費やすことになるだろうと思っていた。本当に素晴らしい。」と、 ある物理学者は論評した。

セッションの各章は、リード役の監査人によって進められるが、クライアントの要望と対象グループに関する特殊な要因を考慮に入れている。いくつかのグループはセッション名をも変えた--例えば、 「リスクの自己評価」というものから、彼ら特有のグループ文化と動機を反映して「機会と障壁のワークショップ」というように。

経営陣は、職務と業務から離れて参加者が参加できる時間を確保する。また、 全てのセッションは、参加者の満足度や、今後のセッションを改善するためのコメントを得るために、仕上げの章を含んでいる。

セッションは、それぞれのマネージャーとスタッフにより好意的に受け入れられた。マネージャーとの事前のプランは、そのアプローチの予備的確認だけでなく、彼らの目的も達成できるものとした。また、内部監査人はその結果に満足し、大学の至る所にRCSAのさらなる実施を薦めた。

ブレインストーミング、投票、議論、 再投票、 および意思決定を通じて、RCSAセッションは参加者−従業員−を強力に巻き込んだ。成功しているこれらのセッションは、投票システムの追加的な使用方法に関するアイデアをキャンパス中でたくさん生み出した。特にマネージャーがスタッフや顧客、サプライヤーから低コストで、早く、楽しい方法で情報を収集して意思決定をする場合には最適だった。

RCSAセッションのために開発された手法は、キャンパスやその他多くの部分に採用された。およそ1カ月に一度の割合でキャンパス内のいくつかの学部が、ファシリテーター、 電子投票システム、およびRCSAのために導入された他の手法を使用するセッションを要請する。2つの学校では、直面している様々な問題を考慮するため、年度セッションを計画している。ある大きな研究ユニットでは、管理、研究に関する広範囲な問題について議論をするため、1カ月に少なくとも2度のセッションを実施している。マネージャーがこの管理ツールとその多くの使用になじみ深くなるに従いRCSA以外のセッションも増加している。

取り組み前の問題点、分析、顧客の意見

次のような一連の疑問が監査業界に広がり始めていた。是正させるための監査を行うだけでは実際に起こっていることの本質を見逃しているのではないだろうか。伝統的な監査の過程は、全ての問題を明らかにしているのだろうか。クライアントや我々にとって、監査に費やす時間をより少なくする方法はあるのだろうか。統制環境は、我々の通常の監査において、どちらかというと狭く捉える範囲を大きく越えるものではないか。人々が統制環境を改善する方法を教えられたら、彼らは正しいことをするのではないか。RCSAはこれらの質問に答えるための方法として発展したのである。

伝統的な監査は、統制環境のより形式的なメカニズムに注目する：それは、権限や 意思決定の集中、 法律、 組織構造、 方針、 手続き、 規則および規制された形式的プロセスである。それとは対照的に、RCSAは統制環境内の非形式的なメカニズムの概観を提供する：それは、明確な責任、 能力、 高い倫理感、 高度な期待、 オープンな姿勢、共通の価値観、強いリーダーシップおよび信用である。

プロセスの一貫したシステムが開発された：それは、クライアントの獲得（マーケティング)；セッションの計画；教育セッション；最初のセッション（リスクとコントロールについてブレインストーミング、投票、討議)；アクション・プラン策定を含む 2回目のセッション（部門改善策についてブレインストーミング、選択)；フォローアップ；そして将来のセッションのための、RCSAプロセスの改善である。

「ベスト・プラクティスの調査」は、重要なRCSAとファシリテーションセッションのデザイン要素を以下のように捉えている。

• クライアントに対して迅速に、タイムリーにサービスを提供する
• システムアプローチの利用
• RCSAとファシリテーションセッションをクライアント（この場合は内部監査サービス、スタンフォード大学そして／またはマネージャー)のミッションに沿って企画する
• 広範囲にわたる利害関係者のアドバイスを獲得する（原則：解決策を実行して,使用する人々は解決策を見いだすために、共に働かなければならない。)
• 誇大宣伝を避ける。一つのツールとしてサービスを位置づける
• 協力的なマネージャーとパイロットを行う
• リスク、コントロール、およびコンプライアンス概念の教育を提供する
• 様々な枠組みとテクノロジーを検討する
• パイロットを受けてアプローチを固めるか、もしくは文化に合わないようであればやめる
• 失敗しないこと

RCSA−または他の事柄でファシリテーションセッション−を要求する各マネージャーには、セッションで達成したい目的のリストが提供される。彼らはこのリストから選択するか、または達成したい目的を加える。以下はそのリストからの抜粋である:

• リスクとコントロールに対するスタッフの意識を高める
• 問題の可能性のある箇所を正確に把握する
• 価値のないコントロールを取り除き、業務を合理化する
• コントロールに配慮し、責任をきちんと果たす
• スタッフの知識を活用する
• 彼らが内部もしくは外部の組織に行動してもらえない領域を強調する
• リスクとコントロールのバランスをとる

クライアントによって加えられた目的に関する例として、あるマネージャーが「私のグループは低い離職率であったので、 我々は長年共に仕事をしている。私は、はびこった蜘蛛の巣を払いのけたい。」と言ったことが挙げられる。

RCSAセッションのために、 リード役の監査人は自分の目的（潜在的リスクの特定；既存コントロールの実証；リスクに対する適切なコントロールの開発； コンプライアンス（遵守）環境の判断等)を加えて、その結果、各セッションをガイドする目的を作りあげる。

参考資料

• Stanford University Internal Audit :1997, 1998, および1999年度　監査計画
• 「Control Self-Assessment : Penacea or Useful Tools?」　著者 : Frank　Topper 1997年8月　大学監査人協会
• 「Belonging, Power, Freedom and Fun : Fulfiling Needs with Resolver Ballot Polling System」　著者 : Frank Topper 1998年11月　大学監査人協会
• 「RCSA System Documentation」 : クライアントの獲得（マーケティング)、 セッション計画、リスクおよびコントロール教育に関するプレゼンテーション、セッション発表、文書化と報告、フォローアップ、継続的改善　（スタンフォード大学内部監査部門提供)

ページTOP