徐々に、仕事にも慣れて来て、展示会や営業に同行してのデモンストレーションなどを行っています。
というわけで、内部統制プロジェクトの事務局にあたる方とお話する機会が多いのですが・・・・
あまりの進捗の遅さに愕然とします。
「内部統制報告制度」は2008年4月以降に開始する事業年度から開示することが義務付けられました。
3月決算の会社であれば、来年の4月からスタートです。
これは来年の4月には内部統制の整備が終わった状態で、運用テストのPDCA+モニタリングのサイクルを
まわしはじめなければいけないということです。
(2月決算の会社は、再来年の3月にスタートになります。)
すでに8月が終わろうとしています。
先日、お話したお客様は、「まだプロジェクトすら立ち上がっていない。」とおっしゃっていました。
弊社は米SOX対応の文書化に2年かかりました。(遅いだけ?)
財閥系の金融機関に勤める知人が「J-SOXは施行時には罰則規定なしの『骨抜き』になる予定だから、対応をあわてる必要はない。」と銀行が関連の会社に指導している。と、この春、語っていました。
ひょっとして、それを信じて動いていなかったのでしょうか?
もともと、銀行は、監督省庁からガチガチに業務を決められていて、それこそ箸の上げ下ろしまで規定・規則に縛られています。
それこそ、どこの銀行でも横並びに。
すなわち、業務プロセスに『内部統制上の不備』があればそれは監督省庁からの指導に不備があったということにもなりかねない。
業務の『見える化』さえ実施して、運用テストを定義すればスタートできるでしょう。
でも・・・・
一般の企業はどうでしょう?
現状の業務をフローに表して、現状のリスクコントロールの仕組みを洗い出して終わり!ってわけに行く会社は少数派でしょう。
必要な統制がなければ、新たなプロセスとして作る必要があるのです。コンピュータシステムで統制するなら、システムの改変が必要になります。
システムの改造ですよ!仕様を決めて、委託先を決めて、開発して、検証して・・・・残り6ヶ月なんですけど・・・。
マニュアル(手作業)での統制を追加するのであれば、承認の紙だのを追加して、これを定期的につき合わせチェックして、などというプロセスが必要になります。
そして、この不足しているリスクの洗い出しってのは、現状の業務を『見える化』した後の作業になるわけなんですよ。
不足している統制プロセスを追加して、検証して、文書を整えて、監査法人と「うちはこれでやります!」とレビュー。
監査法人さんは責任を持って、見てくれますから、ダメだって出す。
ダメだしにあったら、やり直しが発生する。
さらにさらに、対象範囲は海外の子会社も含まれます。
製造業だと最近じゃ、海外の子会社は「重要ではない」と無視できない影響を持っていることが殆どです。それどころか生産力の主体だったりします。
海外の子会社にも、文書化を実施させなければいけない。J-SOXの基準で。
それに、海外の子会社って12月決算のところが多いんですが、そうすると2008年1月にスタートしてもらう必要があります。
あと、4ヶ月しかないんですけど・・・・
みんな、焦ろうよ。
直前で駆け込まれても、御相談に乗れないんですよ。
-----------------
sent from W-ZERO3
というわけで、内部統制プロジェクトの事務局にあたる方とお話する機会が多いのですが・・・・
あまりの進捗の遅さに愕然とします。
「内部統制報告制度」は2008年4月以降に開始する事業年度から開示することが義務付けられました。
3月決算の会社であれば、来年の4月からスタートです。
これは来年の4月には内部統制の整備が終わった状態で、運用テストのPDCA+モニタリングのサイクルを
まわしはじめなければいけないということです。
(2月決算の会社は、再来年の3月にスタートになります。)
すでに8月が終わろうとしています。
先日、お話したお客様は、「まだプロジェクトすら立ち上がっていない。」とおっしゃっていました。
弊社は米SOX対応の文書化に2年かかりました。(遅いだけ?)
財閥系の金融機関に勤める知人が「J-SOXは施行時には罰則規定なしの『骨抜き』になる予定だから、対応をあわてる必要はない。」と銀行が関連の会社に指導している。と、この春、語っていました。
ひょっとして、それを信じて動いていなかったのでしょうか?
もともと、銀行は、監督省庁からガチガチに業務を決められていて、それこそ箸の上げ下ろしまで規定・規則に縛られています。
それこそ、どこの銀行でも横並びに。
すなわち、業務プロセスに『内部統制上の不備』があればそれは監督省庁からの指導に不備があったということにもなりかねない。
業務の『見える化』さえ実施して、運用テストを定義すればスタートできるでしょう。
でも・・・・
一般の企業はどうでしょう?
現状の業務をフローに表して、現状のリスクコントロールの仕組みを洗い出して終わり!ってわけに行く会社は少数派でしょう。
必要な統制がなければ、新たなプロセスとして作る必要があるのです。コンピュータシステムで統制するなら、システムの改変が必要になります。
システムの改造ですよ!仕様を決めて、委託先を決めて、開発して、検証して・・・・残り6ヶ月なんですけど・・・。
マニュアル(手作業)での統制を追加するのであれば、承認の紙だのを追加して、これを定期的につき合わせチェックして、などというプロセスが必要になります。
そして、この不足しているリスクの洗い出しってのは、現状の業務を『見える化』した後の作業になるわけなんですよ。
不足している統制プロセスを追加して、検証して、文書を整えて、監査法人と「うちはこれでやります!」とレビュー。
監査法人さんは責任を持って、見てくれますから、ダメだって出す。
ダメだしにあったら、やり直しが発生する。
さらにさらに、対象範囲は海外の子会社も含まれます。
製造業だと最近じゃ、海外の子会社は「重要ではない」と無視できない影響を持っていることが殆どです。それどころか生産力の主体だったりします。
海外の子会社にも、文書化を実施させなければいけない。J-SOXの基準で。
それに、海外の子会社って12月決算のところが多いんですが、そうすると2008年1月にスタートしてもらう必要があります。
あと、4ヶ月しかないんですけど・・・・
みんな、焦ろうよ。
直前で駆け込まれても、御相談に乗れないんですよ。
-----------------
sent from W-ZERO3
