質問
すでに皆さんある程度ご承知のとおり、上場企業、その親または子会社以外については、内部統制は単なる努力義務です。個人情報保護で味をしめたベンダーに踊らされる必要はまったくありません。
ただ、(ITがらみはともかく)業務統制については実のところ真剣に取り組む価値があると思っています。何故なら、仕事の効率を上げるには、プロセスを見直す他に有効な手立てを思いつかないからです。
製造業では、作業をストップウォッチ片手に細かく分析して、効率化を行いますよね。何故、事務処理はそれをやらないのか疑問に思います。一度提出すると、判子で真っ赤になって返ってくる稟議書とか、根回しに発生するエネルギーとか。
「はんこをついておけばいい」なんていい加減なことではなく、事務処理のプロセスステップ毎のリスクをきっちり洗い出して、単純チェックで良い所は担当者のクロスチェックで済ませるし、判断が重要なところは、判断基準を明確に文書化した上で、リスクに応じた決裁体制を整えるなんてことは非常に大事です。
こういうことをちゃんとやるのであれば、時運があるいまがチャンスでしょう。この機会を逃せば、そんなことに時間や人手を割いてくれる経営者はいません。(本当は「そんなこと」じゃなくてすごく大事なことなのに...)
質問
うちのITに関しては、内部統制がらみで、いろいろなセミナーに行かされました(実は勉強になりました)が、結局、経営にとってはさほど興味が無かった?関係ないかな?ということで、ITについては特に指示はありませんでした。まあ業務系はERPで動いているし、セキュリティもとりあえずかかっているし、という具合に結局数年、変わっていません。
しかし実は電子情報の保管のルールなど一部を除いて適当です。当然多くの個人情報の扱いなど担当者依存ですね。
皆さんのところでは内部統制といううねりで、どんな変化、対応、またはアドバイス頂ければうれしいです。