コンプライアンス・リスク管理態勢の実効性を高めるためのPDCAサイクルの要諦 ~たかがPDCAされどPDCA~

コンプライアンス・リスク管理態勢の実効性を高めるためのPDCAサイクルの要諦 ~たかがPDCAされどPDCA~

印刷用ページ

PDCAサイクルは、各種管理態勢や施策の推進に際し、極めてわかりやすくかつ有用なフレームワークである。しかしながら、「P」「D」「C」「A」の各構成要素において何がポイントであるのかということが理解されていないケースが見受けられる。本稿では、PDCAサイクルの構成要素を分解し、コンプライアンス・リスク管理態勢の実効性を高めるためのポイントについて解説する。是非チェックリストとしても活用していただきたい。

  1. PDCAサイクルの現状と課題
  2. 「P」の実効性を高めるためのポイント 目的・ニードの特定が全てを左右する
  3. 「D」の実効性を高めるためのポイント 周知・徹底・浸透・定着と実行・実践を意識
  4. 「C」の実効性を高めるためのポイント 実行性のCheckから実効性のControlへ
  5. 「A」の実効性を高めるためのポイント 不備是正から態勢改善でスパイラルアップ
  6. <参考>PDCAサイクルとCOSO内部統制フレームワークとの関係

PDCAサイクルの現状と課題

いまや「PDCAサイクル」は、いわゆる3ラインモデルでいうところの2線部門が取り組むコンプライアンス・リスク管理の世界では、体制構築・態勢整備・高度化あるいは業務改善の場面で用いられることが一般的となっているフレームワークといえる。金融庁もディスカッションペーパーやモニタリングレポート等も含めた種々の公表資料の中でも、「PDCAサイクルを回し、不断の取り組みをすることが必要である」ことを謳っている。しかしながら、その実態は、目指すところの期待効果に直結しておらず、実効性に欠いているケースが少なくない。PDCAサイクルが「回っている」ようで実は「回っていない」のが実情である。PDCAサイクルを「ただルーティンのように漫然と回しているだけ」という事例が多く見受けられる。PDCAサイクルは、「回す」ものではなく、「スパイラルアップさせる」ものである、という考え方に基づき活用していくことが必要である。そのためには、単に「P」は計画立案、「D」は実行、「C」はチェック、「A」は改善、という理解にとどまらず、それらを実効的に運用していくためのポイントは何なのかを押さえておくことが肝要である。

「P」の実効性を高めるためのポイント 目的・ニードの特定が全てを左右する

PDCAサイクルで最も重要な要素といえるのが、サイクルの起点となるPlanフェーズである。このPlanの出来次第で、以降のDo-Check-Actが機能発揮し、実効性を高められるかが決まる。このPlanで重要となるプロセスは、目的・ニードの特定→現状把握→分析・評価・目標設定→手段の選択→合意形成・コミットメント、である。
以下、各プロセスのチェックポイントを示す。

<目的・ニードの特定>

  • 目的は明確か
  • 「何を実現(達成)するのか」「なぜするのか」が共有されているか

    ここで注意すべきなのは、「何をするのか」は目的ではないということだ。そして、目的が明確でないと、目的達成を阻害するリスクの想定を見誤り、それが対応するコントロール設定の違いを生じさせることになる。

<現状把握>

  • 現状を的確に把握しているか
  • 情報の収集・測定・ギャップ認識は十分か

    目的・ニードの特定ができたら次に現状把握を適切に行う必要がある。

<分析・評価・目標設定>

  • 達成可能で具体的な目標設定(定量・定性)をしているか
  • 想定リスクを認識し、分析・評価しているか

    現状把握ができたら次に分析・評価・目標設定の作業を行う必要がある。Planの段階で、目標達成を阻害するリスクの洗い出しを行っておくことが重要である。また、目標の設定に際しては、可能な限り測定可能な定量的なものを策定しておくことが望ましい。目標設定の定量化が難しい場合でも定性的な目標の設定しておくべきである。効果測定が困難となる「決意表明」的な目標設定は避ける必要がある。

<手段の選択>

  • 目標を達成するために的確で十分な手段を選択しているか
  • DoだけでなくCheckやActもPlanされているか

    目標達成のためにDoとなる手段は実現可能性・達成可能性を十分に吟味したうえで選択する必要がある。また、Planの設計段階で、あらかじめCheckやActをどうしていくのかが十分に検討されておらず、PDCAサイクルをいざ機能発揮させる場面において、頓挫してしまうケースが少なくない点に留意して欲しい。

<合意形成・コミットメント>

  • 関係者のコンセンサスを形成しているか(これまでの「目的・ニードの特定」「現状把握」「分析・評価・目標設定」「手段の選択」の認識が共有されているか)
  • 上位層の了解・支援を獲得しているか

    Planの最終場面では、上位層の了解・支援を得ておくことが最も重要である。難課題であればあるほど、改善のためのPDCAサイクルをスパイラルアップさせるためには、コンプライアンス・リスク管理部門だけでなく、関係部門や関係役員のサポートが必要になってくる。特に、既に廃止された金融庁の金融検査マニュアル世代の役員クラスは、「取締役(会)等『に報告しているか』」という旧来の要請事項がいまや「取締役(会)等『は報告を求めているか』」に変わっているという認識が不足していることからコンプライアンス・リスク管理委員会において『聞いていない』とちゃぶ台返しをされるケースも少なくないのである。

「D」の実効性を高めるためのポイント 周知・徹底・浸透・定着と実行・実践を意識

DoはまさにPlan化された手段の実行フェーズである。このフェーズでは、以下の4つの着眼点に留意して欲しい。

  • 選択した「手段」を着実に実行しているか(実行性の観点)
  • 実行されていることをどのように確認しているか
  • 「周知」「徹底」だけでなく「浸透」「定着」しているか
  • 「実行」ではなく「実践」になっているか

ここでポイントとなるのが、周知・徹底でDoが終わらせるのではなく、浸透・定着まで一気通貫で取り組まれていることを確認することである。たとえば、策定したルールを、通達で「周知」し、研修で「徹底」することで一件落着で終わらせるのではなく、それを末端の社員や関係者まで十分に「浸透」させ、時日の経過により風化しないよう「定着」させるところまで取り組む必要がある。また、Doは単なる「実行」ではなく、その目的まで理解し腹落ちさせた「実践」という認識で取り組む必要がある。

「C」の実効性を高めるためのポイント 実行性のCheckから実効性のControlへ

Checkフェーズのポイントは、「目標と結果の比較・修正」である。このフェーズでは、以下の9つの着眼点に留意して欲しい。

  • モニタリングは、3現主義が徹底されているか(現場・現物・現実)
  • Doの妥当性を検証しているか(目標値「P」と結果「D」のギャップを確認しているか。ギャップの原因を分析しているか。直接原因を誘発・助長した因果関係から根本原因となっているか。)
  • Doを改善するための日常的なCheckはあるか
  • Planを検証する周期的なCheckはあるか
  • Plan(目的)によってリスクは変わり、リスクによってCheckも変わってくることを理解しているか
  • 単なるBAU(business as usual)の進捗確認や定例報告は、「Check」ではないことを理解しているか
  • 単にPlan通りにDoがなされているかの「実行性」だけの確認・チェックにとどまっていないか(「実効性」による効果測定・検証も確認しているか)
  • 出来ていない領域にも焦点を当てたマイクロマネジメントになっているか(出来ているところだけに焦点が偏ったマクロマネジメントになっていないか)
  • KSF(key success factor)やLLA(lesson learned analysis)の分析・活用もなされているか

ここでポイントとなるのは、上述の着眼点から「C」の本質的な機能は「Check」ではなく「Control」であるという点である。コンプライアンス・リスク管理態勢における「PDCAサイクル」は、実はPlan-Do-Check-ActではなくPlan-Do-Control-Actと言っても過言ではない。そして、このフェーズでの重要な観点は、実行したか否かの「実行性」ではなく、実行した結果の効果を検証する「実効性」にあることに留意する必要がある。この観点を持つことがPDCAサイクルのスパイラルアップに繋がるポイントにもなる。

「A」の実効性を高めるためのポイント 不備是正から態勢改善でスパイラルアップ

Actフェーズのポイントは、「継続的に改善するための措置」である。このフェーズでは以下の5つの着眼点に留意して欲しい。

  • Checkの原因分析に基づき、ギャップを埋めるものになっているか
  • 単なる不備解消や是正処理ではなく、再発防止策になっているか
  • Doを改善するためのPlanを振り返り、改めて検証するためのActとなっているか
  • Actは、統制環境や仕組み・仕掛けの改善となっているか
  • 安易に「徹底」「再徹底」「(口頭)厳重注意」といった弥縫策や単なるDoのチューニングにとどまっていないか

なお、Actフェーズで留意して欲しいのは、前回Actフェーズで講じた改善策に効果が見られない、問題点が再発した場合、なぜ前回講じたActが効果を発揮しなかったのかの振り返り検証をすることである。この点を疎かにするがあまり、「徹底」「再徹底」等といったPDCAサイクルのスパイラルアップに繋がらない一過性の改善策が講じられているケースが少なくない。

<参考>PDCAサイクルとCOSO内部統制フレームワークとの関係

下図は、本稿で解説したPDCAサイクルのチェックポイントをCOSO内部統制フレームワークの構成要素に当てはめたものである。是非参考にして欲しい。

寄稿
Front-IA(株式会社フロンティア)
執行役員ディレクター
藤田 直哉 氏
大手監査法人、監査法人系コンサルティング会社及び保険会社での勤務経験を有する。金融機関におけるガバナンス、リスクマネジメント、コンプライアンス、内部監査、内部統制、不正防止、金融監督検査行政に精通。