●2006年10月12日
内部監査協会の内部監査推進全国大会に参加しました。大企業の内部監査部門が、昨今の内部統制システム構築ブームで脚光を浴び始めたという雰囲気です。
これまで、社内ではとかく煙たがられる内部監査部門でしたが、会社の健全な経営と発展には必要な部門だという事が理解されつつあるとの事です。
私が聴いた中で特筆すべき発表は、
1.NTTドコモさんの「先進的な内部監査を目指して」
A.”DREAMS”
(Docomo Real time Management
System)と
呼ぶ統合企業情報システムで全ての情
報を一元管理。
「あの支店でタクシーの利用が多い。
理由は?
決済はどうなっている?」などが現地
調査の前に情報収集できている。
B.COSOフレームワークに基づき、リ
スクマネジメントベースの内部監査を
行っている。
C.SOX法404条と、会社法に基づく
内部統制システムを構築済み。
エンタープライズリスクマネジメント
はまだ着手していないとの事です。
会社が大きいから、簡単ではないで
しょう。ただし、ITの力を借りれば、
意外に早くERMを構築できるかもし
れません。
2.東京ガスさんの「東京ガスグループにおけるERM実施体制の整備・運用について」
A.すでにERMを導入している。ただし、
スプレッドシートベースで約400件
のリスクをマネジメント。
B.リスクをなるべく定量化、金額化。
10億円規模か、100億円規模か、
1000億円規模か、大雑把でも定量
化したという点がすばらしいと思いま
す。
「これでも結構役に立った。」そうで
す。
とかく、科学技術的な正確性を求める
人が多いのですが、会社の経営には、
「どちらが大切?」という舵取りの判
断が必要で、その判断には数字の正確
さはそれほど必要ありません。
ブランドイメージなど定量化し難いリ
スク項目は定性的に評価し、後で定量
的評価のリスクの表に議論しながら当
てはめて行くという手法を取られてい
ます。経営上、どのリスクに優先的に
対応するかという判断ができることで、
ERMができていると考えられます。
発表された方に後で聞くと、PDCA
サイクルは年に1回との事です。
事業環境が頻繁に変化する業界では、
4半期かそれ以下の期間でPDCAを
回す必要があるでしょう。
リスクの種類によっては毎月必要かも
知れません。
先進企業ではCOSOあるいは、その発展形のCOSO-ERMに基づく内部体制システム構築が進みつつあるという事を実感しました。
ITによる内部統制システム構築は来年本番を迎えそうです。
●2006年7月31日
会社法が5月1日に発効し、BaselⅡが今年12月に発効見込み、日本版SOX法対応も上場企業と、その連結決算の会社が対応を始めないと間に合わないという時期になりました。
内部統制の本を見ると、どの本もリスクマネジメントが必要と書いてあります。ところが、日本でリスクマネジメントを全社で行っている会社はどれぐらいあるのでしょうか。
リスクマネジメントの本を読むと、理屈はわかるけれども、全社でやるのは事務処理の量も含めて大変だなと思います。
欧米と一部の日本の先進企業ではスプレッドシートとマクロでやっているそうです。当然、人事異動などがあったときのマクロのメンテナンスは大変でしょう。
カナダのセキュラックという会社がスプレッドシートとマクロに代わるWebサーバソフトを販売しています。
その日本法人もあるので、期待しましょう。
http://www.securac.jp
