【連載】内部監査スキル解説②　内部監査発見事項に対する深度ある根本原因分析の手法 ～内部監査スキルの向上に役に立つ根本原因分析手法12選～

脚注
(*1)金融庁「金融機関の内部監査の高度化に向けた現状と課題」(令和元年6月)
(*2)The Finance「【内部監査スキル解説】内部監査指摘事項を被監査部門に受け入れてもらう効果的な方法 ～内部監査実務で最も難易度の高い「説得スキル」への対応～」(2023年4月10日寄稿)

1. 内部監査担当者にとって必要なソフトスキルとは
2. 金融庁の内部監査の高度化に向けた課題認識
3. IIA(*3)による根本原因分析の必要性に関する基本的考え方
4. 根本原因分析の手法12選
5. おわりに

脚注
(*3)内部監査人協会(IIA：The Institute of Internal Auditors)

内部監査担当者にとって必要なソフトスキルとは

まず内部監査担当者に必要とされているソフトスキルにはどのようなものがあるか一覧すると、一般的には下表のようなスキルが挙げられる。

インタビュースキル	コミュニケーション スキル	ファシリテーションスキル
ロジカルシンキング		マネジメントスキル
プレゼンテーションスキル		プロジェクト・マネジメントスキル
発見スキル		プランニングスキル
コンフリクトスキル		コーチングスキル
ライティングスキル		リーダーシップスキル
原因分析スキル(今回のテーマ)		タイムマネジメントスキル
説得スキル		問題解決スキル

金融庁の内部監査の高度化に向けた課題認識

金融庁は内部監査に係るディスカッションペーパー(*1)の中で、モニタリングで認められた課題として、「内部監査部門による発見事項の背景や原因の掘り下げが十分に行われておらず、経営戦略や業務運営の改善に十分つながっていないといった課題が認められている」「個々の発見事項に対する原因分析の深度不足により、複数の事象に共通するような根本原因までの追及が不十分」といった、いわゆる「発見事項の根本原因分析」について言及している。この原因分析のためのソフトスキルの習熟と更なるレベルアップは、リスクベース監査(内部監査ver2.0)から経営監査(内部監査ver3.0)、ひいては信頼されるアドバイザー(内部監査ver4.0)への進化といった、内部監査機能の成熟度向上に必要不可欠な要素である。

IIAによる根本原因分析の必要性に関する基本的考え方

IIA国際基準では、根本原因分析の基本的考え方とその必要性について、実施ガイダンス(2320-2：評価)の中で以下のように述べている。

• 内部監査人は、誤謬、問題、機会の逸失またはコンプライアンス違反事例の発生の根本的な原因を識別するために、根本原因分析を行うことがよくある
• 根本原因分析により、内部監査人は組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスの、有効性および効率性を向上させる洞察を組織体にさらに提供することができる
• 根本原因分析を行う場合には、時間、および対象分野の専門性といった、豊富な監査資源が必要になる場合もある
• 複雑な問題であればもっと厳密な分析が必要な場合があるが、ある特定の状況では、根本原因分析は、差異の根本原因分析をするのに「なぜなぜ」質問を繰り返すのと同程度簡単な場合もある
• ほとんどの根本原因は、一人または複数の人間の意思決定、作為または不作為にまで遡ることができる
• 内部監査人が量的および質的データの分析を行った後にもかかわらず、真の根本原因を判断することが困難かつ主観的なものになる場合がある
• ある場合には、様々な程度の影響力のある誤謬が重なって問題の根本原因を形成することがある
• ある場合には、根本原因が、組織的な文化といった広範な問題に関連したリスクを伴うことがある
• 内部監査人は、経営管理者が検討すべき、可能性のある様々な根本原因を提供してもよい

根本原因分析の手法12選

上記のIIA国際基準のガイダンスに照らしてみても、根本原因分析の基本的考え方には多種多様なケースや制約があることが見てとれる。以下、内部監査スキルの向上に役立つ根本原因分析手法の事例について概説する。

① IIA・CIIA(*4)によるRoot Cause Analysisを活用した原因分析

IIAとCIIAでは、代表的な4種類の根本原因分析手法を提唱している。

脚注
(*4)英国勅許内部監査人協会(CIIA：Chartered Institute of Internal Auditors)

i．The five whys：Why 5 times logic tree

ある問題とその問題に対する対策に関して、その問題を引き起こした要因(「なぜ」)を提示し、さらにその要因を引き起こした要因(「なぜ」)を提示することを繰り返すことにより、その問題への対策の効果を検証する手法である。

＜イメージ図＞

なお、この”The five whys”、いわゆる「なぜなぜ分析」には、5つの留意すべき点がある。
・問題点に「人的要因」が関係している場合に役立ち、リスクが「低」～「中」程度のレベルに最適とされている。
・内部監査人単独による分析の場合、恣意性や偏見が働く可能性があるため、メンバー間で共有しながらの分析に適している。
・必ずしも「なぜ」を5回繰り返す必要はなく、5回に至るまでに停止することを目指す必要がある。
・「背景要因」の追求は終わりなく延々と続きかねないので、「管理要因」に行き着くまで繰り返すことが到達点の目安となる(Stop Rule)。
・問題点の「何が問題化(what)」から「なぜ(why)」にすぐに向かうのではなく、次に「どこが問題か(where)」に着眼し、要因を特定し、ある程度絞り込むことが必要である。

ii．Ishikawa diagram：Fishbone chart

「特性要因図」とも呼ばれ、特性と要因の関係を系統的に線で結んで(樹状に)表した図で、魚の骨図(フィッシュボーン・チャート)とも呼ばれる手法である。

＜イメージ図＞

iii．FME：Failure mode effects analysis

主に製造業で製品の不具合や故障を防止するために用いられる分析手法である。「故障モード影響解析」とも呼ばれ、工程ごとのリスク評価をボトムアップで行う。

＜イメージ図＞

iv．FTA：Fault tree analysis

特定の望ましくないイベントから始め、それに繋がる因果関係をツリーの形で分析する手法である。「故障の木解析」とも呼ばれるトップダウンで行われるツリー図で視覚化するものである。

＜イメージ図＞

② PDCAサイクルの着眼点を活用した原因分析

発見事項となった事象の業務プロセスのPDCAサイクルの「P」「D」「C」「A」のどのサイクルに脆弱性があったのか、そして当該サイクルを構成する要因のどこに根本原因があるのかに着眼した分析手法である。

＜イメージ図＞

なお、この「PDCAサイクルの着眼点を活用した原因分析」手法には留意すべき点がある。この着眼点の原因分析において最も重要なのは、「『P』の目的設定」である。目的設定の違いによって、リスク認識や対応するコントロール設定等が変わってくるためである。

③ 先進的4事業「宇宙事業」「医療事業」「航空事業」「原子力事業」で活用されている原因分析

ヒューマンエラー対策に先進的な4事業において活用されている再発防止策に繋がる根本原因分析の手法は、金融機関に適用することが有用である。この先進的な4事業とは、「宇宙事業」「医療事業」「航空事業」「原子力事業」である。この4事業は、いずれも人命や大惨事に関係してくるため、金融機関よりも優れた再発防止策に資する根本原因の手法を有している。本稿では、代表的な2種類の手法を紹介する。

i．m-SHEL Model

ミスは、下記のイメージ図に示す中心の本人「L」とその他の要素(「S」「H」「E」)がうまくかみ合っていないときに発生する。S、H、E、Lの各枠が波打っているのは、各要素が一定ではなく、常に変化していることを意味している。このように一定ではない各要素をうまく調整していくことがミスを防止することに繋がり、S、H、E、Lの全体を見ながらうまく調整を行うのがマネジメント「M」であるとするモデルである。

＜イメージ図＞

ii．4M5E/5M4E

「4つのMでミスの要因と、5つのEで再発防止策を洗い出す」手法(4M5E)と、「5つのMでミスの要因と、4つのEで再発防止策を洗い出す」手法(5M4E)である。

＜イメージ図＞

④ 金融庁の考え方を活用した原因分析

金融庁の「コンプライアンス・リスク管理基本方針」の基本的考え方は、根本原因分析の着眼点として活用することができる。実際に、昨今発出された金融機関に対する行政処分においては、当局は、この着眼点に基づいた根本原因分析を行っていると考えられる。具体的には、下図に示す「3つのエリア」と「8つのファクター」が着眼点として用いられている。

＜イメージ図＞

＜金融庁による「根本原因分析」の例：M生命保険に対する行政処分(令和4年7月14日)＞

ファクター	言及された原因
企業文化	営業優先の企業文化・・・
組織風土/td>	コンプライアンス・リスク管理を軽視する企業風土・・・
3線管理	3ライン・オブ・ディフェンスの各層において態勢上の問題が認められた・・・
コンダクト・リスク	税通達改正の抜け穴を突いて不適切な募集と認識しながら・・・ 「法令違反でないので問題ない」「顧客ニーズに合致すれば問題ない」との認識を未だに回答・・・
ガバナンス	ガバナンスの機能発揮が不十分であるなどの問題がある・・・ 取締役会は取締役及び執行役の職務の執行を監督するという基本的な役割・責任を果たしていない・・・
ビジネスモデル	法人から個人への名義変更による節税を目的とした名義変更プランによる販売を推進する、保険本来の趣旨を逸脱する募集活動・・・
経営者の姿勢	CGOなどの役員はこれらの行為を黙認・看過していたことが強く疑われる実態・・・
リスクベースアプローチ	商品審査会は、・・・パターンのみを想定し、・・・そのような募集活動が行われないための実効性ある対応策を協議・検討していない・・・

⑤ CAAF(*5)の考え方を活用した原因分析

CAAFは、「1つの横断的要素」と「6つの個別要素」で構成された根本原因分析手法を提唱している。以下、構成要素のイメージ図と各々の着眼点の例を紹介する。

＜イメージ図＞

＜着眼点の例＞

脚注
(*5)カナダ公共部門会計検査強化NGO(CAAF：Canadian Audit & Accountability Foundation)

⑥ 「周知」「徹底」「浸透」「定着」と「仕組み」「仕掛け」に着眼した原因分析

施策や業務プロセスが、「周知」され、「徹底」され、それが全社的に「浸透」し、時日の経過に関わらず「定着」していくための、フレームワークとしての「仕組み」とコントロールとしての「仕掛け」が、適切に機能発揮しているかという観点は、根本原因分析の重要な観点となり得る。この「周知」「徹底」「浸透」「定着」と「仕組み」「仕掛け」のどのファクターに脆弱性があるのかが根本原因分析のポイントとなる。

＜イメージ図＞

⑦ 企業文化（カルチャー）・組織風土に着眼した原因分析

施策や業務プロセスに関して、経営陣、中間管理職、現場社員といった3層レベルで「何をどう伝えたか」と「何がどう伝わったか」の観点で浸透度合いを検証することは、企業文化（カルチャー）・組織風土に着眼した原因分析として有用である。代表取締役社長やCEOだけによるメッセージの発信で”tone at the top”を実践するにとどまり「何をどう伝えたか」に終始しているケース、他の取締役やCXOを含む経営陣による”top(s)”としての実践が見られないケース、中間管理職層を通じて現場社員に対して「何がどう伝わったか」まで一気通貫で浸透度合いを検証していないケースも少なくない。

• 経営陣による”tone at the top(s)”
• 中間管理職による”tone in the middle” “voice of the middle” “mood in the middle”
• 現場社員による”echo from the bottom” “buzz at the bottom”

をキーワードとして認識する必要がある。

＜イメージ図＞

⑧ その他参考となる原因分析

企業不祥事の第三者委員会調査報告書に記載されている「根本原因」の考え方や着眼点は参考にすることができる。特に、免許・規制業種である金融機関において発生した不祥事は、社会経済的にも影響が大きいため、第三者委員会調査報告書で言及された「根本原因」は相当な深掘りがなされており、その考え方や着眼点は示唆に富んでいる。この内容を内部監査部門内での研修教材として有効活用することは内部監査人の「原因分析スキル」の向上に役立つ。
以下は、筆者が推奨する「読んで役に立つ金融不祥事の『第三者委員会報告書』5選」である。

• 商工中金事案(2017年4月25日)
• スルガ銀行事案(2018年9月7日)
• かんぽ生命／日本郵便／日本郵政事案(2019年12月18日)
• 野村ホールディングス事案(2019年5月24日)
• SMBC日興証券事案(2022年6月24日)

なお、金融機関以外の一般事業会社において発生した不祥事における第三者委員会報告書の中にも参考になるものは多数ある(直近事例：日野自動車事案(2022年8月1日))。

おわりに

根本原因分析については多くの手法が存在する。本稿では具体的な手法として代表的な例を「12選」という形で概説してきたが、実際の適用に際しては、業界・業種・業態の異同や自社の規模・特性・リスクプロファイルを踏まえたうえで活用する必要がある。

【主な参考文献】
・金融庁「金融機関の内部監査の高度化に向けた現状と課題」(令和元年6月)
・金融庁「コンプライアンス・リスク管理基本方針」(平成30年10月)
・ACFE「CFEに求められる職業倫理」(ACFE Japan)
・APPC/CA/CPA Australia “An External Auditor’s Guide to Improving Audit Quality Using Root Cause Analysis” (2019)
・IIA “Implementation Guide：Standard 2320 – Analysis and Evaluation” (2016)
・IIA Chicago Chapter “Understanding and Auditing：CORPORATE CULTURE ~ A Maturity Model Approach” (2020)
・IIA Australia “ROOT CAUSE ANALYSIS：101 INTRODUCTION” (Video Library)
・INTERNAL AUDIT FOUNDATION “PERFORMANCE AUDITING：MEASURING INPUTS, OUTPUTS, AND OUTCOMES” (2016)
・CIIA ”Root cause analysis” (15 July 2022)
・CAAF “Better Integrating Root Cause Analysis into Public Sector Performance Auditing/CAAF Second Edition” (May 2020)
・CAAF “Root Cause Analysis in Auditor” (April 2020)
・G30 GROUP OF THIRTY “BANKING CONDUCT and CULTURE ~ A Call for Sustained and Comprehensive Reform” (2015)