ついにきました、J-SOX
もう準備はできていますか?
内部統制、大丈夫ですか?
●この本を手にしたきっかけ
内部統制とは何なのか、J-SOX法とは何なのか、
その概要を知りたかったので。
●この本への問い
ISO9000シリーズやISMSと同じマネジメントシステム?
とくにどの辺が違うのだろうか?
●この本から得たこと
リスクマネジメントと内部統制の関連について、よくわかった。
p101のリスクに対する対応方針テンプレートの説明も、いい。
・リスク対策には大きく2種類
A)リスクファイナンス(財務対応)
→保有(引当金準備など)
→移転(保険)
B)リスクコントロール
→許容(受容レベル以下なので何もしない)
→軽減
1.損失の軽減(火災における消火設備)
2.分散化(バックアップや冗長化)
3.防止(アクセス制限などの不正や誤謬防止。フールプルーフのことかな)
→移転(アウトソースなど外部の専門家利用)
→回避(リスクをとらない。その選択をしない)
そのほか、日本ではなかなか浸透していない「監督と執行の権限を分散」についてよくわかった。
「執行役」と「執行役員」の違いとか
「監査委員会制度」と「監査役制度」の違いとか
「プロセスオーナーシップ」という考え方もわかりやすい。
なんだか、業務をオブジェクトとコントロールに分離して考えるという点で、オブジェクト志向言語についての本を読んでいるような錯覚を覚えた。(…まぁ、同じことなんだろうけど。)
そういう意味では、オープン系に強いIT企業に限って、業務に対する考え方が欧米的な感じになっているのは、理解できる話。フレームワークや思考パターンが似てるから、受け容れやすいのかも知れない。
さらにわかりやすかったのは、p145の図。
「内部統制の強化」と「業務効率の向上」の関係を表した右下がり曲線の図。
◎高度両立型の内部統制(業務効率と内部統制がともに強化)
×管理偏重型の内部統制(業務効率を無視し、内部統制強化に偏重)
×業務効率追求型の内部統制(過度に業務効率を優先)
×縮小均衡型(業務効率と内部統制のパランスを誤って設計)
高度両立化を望みたいが、
多くの場合、管理偏重か、業務効率追及のどちらかに偏ってしまう。
バランスが大事。
