BCP

(似たり寄ったりのネタばっかりだけど・・・)
 事業継続計画は、(法定)監査対象外となっていますが、有事発生時に役にたつ命綱になっています。
 内部統制報告(の監査も)は平成20年より有価証券報告書提出会社(いわゆる上場会社)は義務化されますが、事業継続計画はその対象ではありません。
 しかしながら、いくら内部統制がうまくいっても、地震でシステム基盤が損失し事業が継続できなくなった場合、どのように対処するのでしょう? 原因はどうであれ、それらのリスクを分析しヘッジする企業は多くなりました。むしろ今後もそのような状況になっていくでしょう。
 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」も読みましたが、おそらく多くの上場企業でIT統制にかかる監査がのしかかってくるでしょうし、事業を守るためにも、事業の構造とサプライチェーン、部門、システム基盤などを含めて有機的に活動することが肝要となるわけです(この話も、もうくどいですね)。
 被災者の方には悪いが、先の地震での社会的影響は軽微でなりよりだったが、発生確率の点から見ると課題が浮き彫りとなり「どこでも地震国家」としての地位を確保しちゃいました。地震による社会的リスクを負う企業に於いては、対策の見直しが迫られています。
 まずは、リスク要因とリスク分析、その際に算出する発生頻度や影響度の検査態勢が適切であるかどうか、そして、その数値が適当であるかがキーとなります。その後の計算おいて現在の見積と計画が適切かどうかの見直しが迫られますが、計算方法やモデルによって大きく結果が異なってくる可能性もあり、それらの適切さ加減も必要です。
 とはいえ、いろいろなプロセスな波及する(財務報告に限らない)内部統制とBCPやら、対処する法的規制や課題も変化し、それにいかに対応するかも企業として真価が問われる部分となっています。