日本版SOX法(JSOX法 内部統制)プロジェクトで
(1)業務フローチャート
(2)RCM(リスクコントロールマトリックス)
(3)統制の文書化
が取り組むべき課題です。
しかし、範囲決定、組織は曖昧のケースがあるようです。
法制化に伴い、プロジェクトを早期に立ち上げるのですが、
ガイドラインも出ておらず、アメリカSOX法、COSOフレームワークに基づき
作業を開始しします。
日本版SOX法(JSOX法 内部統制)では、統制設計がキーポイントと判断します。
この基本設計の方向性が違うと、その後の作業量が変わります。
また、1度構築し運用すればOKではありません。
継続的な改善活動が必須です。
法的根拠は異なりますが
ISOをみても、ブームで取得した企業とマネジメントレベル向上へ
つなげている企業とあります。
日本版SOX法(JSOX法 内部統制)を法律が出来たので
対応しようと安易に考えず、継続的改善を中心に判断願います。
ですから、業務フローチャートの「細かさ」「作図の美しさ」を求めず(チョット皮肉)、
リスクの「質」「量」を分析するために作業をするべきと考えています。
前号でも触れましたが、リスクとは「経営資源(財務諸表に関るもの)」
「脅威」「脆弱性」の3点セットからなります。
外部からの進入には万全だが、内部からの持ち出しは甘い・・・。
規定を作成したが、ITに依存しすぎて、社員教育や周知徹底を疎かにする・・・。
結果、ルール通りに仕事をしない・・・。となってしまいます。
フローチャートで分析する場合、組織区分(線)において
「規定・方針・ポリシー」を作り、この規定からスタートしてはと考えています。
現段階にて不十分であれば、リスクAとして認識します。
IT統制の分野でも同様です。
特に、「マスター・プログラム」は登録変更(削除)の「規定・方針・ポリシー」を作り
アクセス権限を制限して、コントロールしていきますので
現段階で不十分であれば、リスクBとして認識します。
細部、例外、見た目の美しさではなく、「経営資源」「脅威」「脆弱性」から
適確にアプローチ願います。
ISO14000、ISMS、システム監査等でもリスクアプローチを経験済みと思います。
枝葉にこだわると、大きなリスクを見逃してしまいます。
組織を大きく捉え=範囲設定し、組織と財務諸表の観点からリスクを押さえてください。
フローチャートのグループ作業をしますと、細部にこだわり時間だけが経過します。
くれぐれもお気をつけ下さい。
(次号へつづく)
※バックナンバーは「社長の 今 打つべき手」をクリック願います
※※お問い合わせはお気軽に
※※※コンサルティングのお見積り・問い合わせもお気軽に!!
コンサルティングお問い合わせの方にもれなく、
内部統制(日本版SOX法 JSOX法)三点セットサンプル進呈
vol106.日本版SOX法(JSOX法 内部統制) (12)
コラム/ブログ