私は、システムエンジニアからシステム監査人にキャリアを変更した。
会計監査やシステム監査の業界で得た知識で、システムエンジニアリングや普段の生活にも使えそうなものがあるので、紹介していく。
今回は、「予防と発見」。
これは、内部統制監査において、統制行為を検討する際に必要な観点である。
なんらかのリスクをコントロール下に置くための手段(統制行為)には、予防的な統制と発見的な統制があるという事。
2つの観点のいずれかに属する手段があって、どちらかだけでは不十分という考え方。
1.予防的な統制
これは、リスクが起きないように防ぐ行為。
内部統制で言えば、「手作業のデータ入力で、数値を間違える」と言うリスクに対して、「手作業を止めて、システム間連携にし、入力ミスを防ぐ」と言うような手段。
リスクになり得る事象をそもそも起こさないための手段である。
予防的な統制が取れる場合は、後述する発見的な統制のみよりも、リスクが及ぼす危険度が低くなる。
そもそも起こさないわけだから、当然だ。
2.発見的な統制
これは、リスクを伴う事象が起きたことを気付くための統制手段。
どうしても起きてしまうミスや、想定外の事象が起きたとしても、それが起きたことが分かれば、修正する手続きが取れるために、リスクが与えた影響を小さくできるはず、と言う考え方。
システムログを取得して、誤りに気付く運用をするとか、申請を上司がレビューして誤りを指摘すると言った運用が発見的な手段にあたる。
誤りに全く気付かないよりは、被害が小さくできる。
——
この「予防と発見」は、監査だけではなく、身の回りに起きる「リスク」への対処を考えるときに使える観点である。
システムエンジニアリングで言えば、機能設計でエラーに関する制御を検討する際や、障害に対する再発防止策の検討に使えるだろう。
予防的な手段と発見的な手段の両方があることが、より安全性や信頼性を高める。
だから、検討する際には、「発見的な手段だけしかアイデアが出ていないのでは?」と考えて、そうであれば、より効果の高い予防的な手段はないのか考える。
例えば、「ドキュメントの誤り防止」の再発防止策が、「レビューを増やす」「追加テストで気付く」だけでは、発見的な手段しかない。ドキュメントの誤りが起きてからの手段しかないからだ。
「ドキュメント体系を見直して、ミスが起きやすい当該ドキュメントの作成をやめる」「文章での記述が誤りを引き起こしやすいため、図表による表現に切り替える」などは、予防的な手段である。
——-
普段の生活でも応用できる。
例えば、「死ぬリスク」に生命保険による発見的(事後的)な手段だけで対策して安心するのではなく、健康に気を遣うとか、危険なことをしないとか、そもそも死なないための手段を取るほうが効果は高い。
あらゆる場面で、リスクは存在する。
予防的な手段と発見的な手段を持って対策できているかを考えてみてほしい。
———————–
空撮映像作家コジロウ
お仕事のご用命は、お気軽にメールしてください
映像制作、空撮、コンサルティングなど
Mail : repondreyou1@gmail.com
Web : http://fdsa-life.jp
FB : Facebookページ
YT : Youtubeチャンネル
———————–
