給湯機器メーカーのノーリツは、日本版SOX法(J-SOX)対応において、初期段階から文書化ツールを導入した。「最も手間がかかるのは文書の管理」との判断からだ。現在は、プロジェクト・メンバーの利用にとどめ、ツールが与える現場への負担を軽減している。
ノーリツがJ-SOX対応に取り組み始めたのは2005年末のこと。パイロット・プロジェクトと並行して06年5月には、文書化ツールの選定に着手。07年3月からテスト稼働を始め、すでに1度のバージョンアップも済ませている。
初期段階から、文書化ツールの導入を検討した理由について、内部統制構築プロジェクトを率いる瀧善博プロジェクトマネージャー(PM)は、「先行する米国の状況を調べると、文書の作成よりも、維持・管理が難しいと分かったため」と説明する。
 |
| 図●日本版SOX法への対応 |
J-SOX対応では一般に、業務フロー図、RCM(リスク・コントロール・マトリックス)、業務記述書のいわゆる「3点セット」の作成が求められる。3点セットと、内部統制が有効に運用されていることを示す証拠とを照合することで、統制を評価・監査する。
そのためノーリツは、 3点セットの作成ツールとしてサン・プラニング・システムズの「iGrafx FlowCharter SOX+」を導入。それに続けて、文書管理ツールに日本オラクルの「Oracle GRC Manager」を導入した。導入費用は、1000万円強とみられる。
文書管理ツールの選択に当たり、ノーリツが重視したポイントは2つ。1つは、先行導入したiGrafx FlowCharter SOX+で作成した文書のデータを、そのまま利用できること。比較検討した文書管理ツールのなかには、「各社の独自形式に合わせて、データを入力し直さなければならない製品もあった」と瀧PMは振り返る。
2点目は、文書のバージョン管理および決算期単位での文書管理ができることだ。瀧PMは、「業務の変更だけでなく、内部統制上の問題があっても文書は変更する必要があるし、評価・監査は会計期間単位で実施するだけに、両機能は譲れなかった」と話す。だが、会計期間単位で文書を管理する機能は、「検討時点では国産製品にはなかった」(同)という。これら2点に加え、権限設定機能といったツール自体の統制機能も検討項目にしたほか、J-SOX対応プロジェクトのアドバイスを受けている専門家の意見も聞いた。
07年11月時点でノーリツは、文書化ツールの利用を、内部統制構築プロジェクトのメンバーに限っている。「J- SOX対応のための負荷が増えている現場に、新たにツールを使いこなすことまで求めるのは難しい」(内部統制構築プロジェクトの玉置慎一副参事)との考えからである。
そのため、本来ならツールを使って現場の社員が実施する業務も、プロジェクト・メンバーが代行している。例えば、証拠となる書類をPDF形式に変換し、ツールに登録する作業などだ。J-SOX対応が現場に根付いてくるであろう対応初年度以降は、「現場に登録作業なども任せたい」と、瀧PMは話す。
ノーリツの決算期は12月のため、J- SOXが適用されるのは09年1月から始まる事業年度から。3月期決算の企業と比べれば、9カ月間の余裕がある。その期間を生かし、現場への定着に向けた仕組み作りを先行させている。
