J-SOX(日本版SOX法)適用初年度には,監査法人に指摘された事項に対し,人的な手当てを実行してきた企業が少なくない。そうした企業にとって,J-SOX2年目以降は,適用初年度に整備した内部統制の定着や効率化が焦点となる。
それには内部統制の整備や構築・運用,有効性評価を支援するツールを使いこなすことが大切だ。今回は,現状で入手可能な主なツールや,ツール選択のポイントを説明する。
ツール全体を9つに分類
ここでは,ツールを9つの種類に分類する。まず,内部統制にかかわる作業を「内部統制の整備」「内部統制の構築・運用」「内部統制の有効性評価」の3つに区分した。その上で,それぞれの区分で主要なツールをカテゴリ分けした。その結果は以下のようになる。
- 文書化ツール
- 文書管理/プロセス管理ツール
- ID管理ツール
- アクセス管理ツール
- ログ管理ツール
- 運用管理ツール
- その他
- 内部統制評価ツール
- その他
IT全般統制にかかわるツールの定義や区分は,電子情報技術産業協会(JEITA)ソリューションサービス事業委員会IT内部統制専門委員会で「ITツール適用項目表」を作成する際に議論した案を参考にしている。ITツール適用項目表は,同委員会の2008年度における活動として作成した。次回にその内容を紹介する。
IT全般統制以外のツールの定義や区分は,After J-SOX研究会事務局で策定した。以下で紹介する製品の情報は,After J-SOX研究会参加企業を中心とする製品ベンダーに対して2009年6月に実施した調査結果に基づく。
以下,カテゴリごとに主なツールを一覧表とともに見ていく。
内部統制の整備を支援するツール
1. 文書化ツール
内部統制の整備を支援するツールとしては,文書化ツールが挙げられる。業務フロー図,業務記述書,RCM(リスク・コントロール・マトリックス)という「3点セット」と呼ばれる文書の作成や管理・保守を支援する。作業の効率を高めたり,成果物の品質を向上するのが狙いである。
文書化の作業は,表計算ソフトやワープロ,描画ソフトといった汎用ソフトを利用するケースもあれば,3点セットの作成に特化した機能を持つツールを利用するケースもある。後者では,3点セット同士が連動できたり,自動生成機能を備えている場合が多い。
文書化ツールの中には,作成した文書を内部統制の有効性評価に生かすことを前提とするものもある。作成結果をデータやイメージとして内部統制評価ツールに取り込めるようにしたり,ツールが内部統制評価の支援機能を併せ持っていたりする。このほか,テンプレートやサンプルを用意して,企業のニーズに応えられるようにしているケースも多い。
J-SOX初年度対応を終えた企業では,業務プロセス(サブプロセス)の文書化作業は基本的に完了している。それでも2年目以降に,これまで汎用ソフトを使って文書を作成してきた企業が,文書の保守効率を考えて専用ソフトに乗り換えることも十分考えられる。
文書化ツールを選択するにあたり,ポイントになるのは,(1)使い勝手,(2)データを汎用的な形式(CSVなど)で出力できるか,(3)作成文書の管理・検索機能,あたりだろう。(1)の使い勝手に関しては,担当者との相性もあるので,実際にそのツールで文書を作成して確認することが肝要だ(表1)。
| 製品名 | 開発元(国内総代理店)/主な販売会社 | 概要 |
|---|---|---|
| ACEEVIS | 日本ユニシス/同 | Excel文書に記した業務プロセス情報から,業務フロー図を自動的に描画する。自動生成した業務フロー図にリスク,コントロールに関する情報を付与することで,RCM(リスク・コントロール・マトリックス),業務記述書を自動的に出力する。テンプレートとして,主要な業務プロセスにおけるリスクとコントロール内容を提供する |
| Apeos PEMaster | 富士ゼロックス/同 | 内部統制の文書化から評価までのプロセス全体を支援する。文書管理システムと一体構成になっており,2年目以降の作業の効率化や業務標準化の推進ができる |
| ARIS Business Architect (ABA) | IDSシェアー・ジャパン/キヤノンITソリューションズ, 他 | J-SOX対応のための3点セットの作成に加えて,業務プロセスの継続的な改善(BPM)を行うことを目的とする。データベースを利用したデータの一括管理や,トップダウン手法による業務プロセスの可視化が可能 |
| Ci-Tower BPM Desktop | ケイ・ジー・ティー/日立システムアンドサービス | 内部統制における文書化支援を目的とする。Microsoft Office Visioをベースに作成した業務フロー図から,Excel形式のRCMを自動作成する。監査法人が提唱する文書化技法(業務プロセスアプローチ)を実装した製品もある |
| IC Document V2.1 | ビジネスブレイン太田昭和/同 | 業務記述書に5W1H方式を採用し,文書品質を均質化した。監査法人推奨のRCMフォーマットに準拠。フローチャート,職務分掌表を自動生成し,作業を効率化できる。作成文書の管理機能により,セキュリティ/進捗管理/版数管理/履歴管理/審査・承認手続が可能 |
| IC-Vision Tools DesktopEdition | TIS/同 | Microsoft Office Visioを使い,業務プロセスの文書化を支援する。業務フローからRCM,業務記述書を自動生成することで,文書の一貫性を保持と更新を可能にしている。RCMや業務記述に必要な項目を準備しており,文書の記載レベルを統一できる。他の文書管理/内部統制評価ツールとの連携も可能 |
| iGrafx FlowCharter SOX+ | サン・プラニング・システムズ/日立ソフトウェアエンジニアリング,NEC,他 | 効率よく文書をメンテナンスできる文書化支援ツール。様々な文書情報をフローチャートで一元管理しており,フローチャートをメンテナンスするだけで,Excel形式の業務記述書,RCMなど関連する文書のメンテナンスが可能。直接修正した関連文書やExcelデータから情報を取り込むこともできる。評価作業を支援する「SOX+ 整備/運用評価オプション」(別売)も提供する。iGrafxは業務可視化・改善ツールでもあるので,いわゆるAfter J-SOXの取り組みでも使用できる |
| KnowledgeMeister Succeed /Compliance | 東芝ソリューション/同 | 文書化から運用テストまでを通して,文書作成や業務・組織変更に伴う文書のメンテナンスといった作業を効率化。文書の保管や進捗管理などプロジェクトを推進する仕組みも提供する |
| Oracle Business Process Analysis Suite | 日本オラクル/同 | 業務プロセスやITリソースなどの情報を可視化し,一元管理できる。業務担当者からIT担当者までが,同じモデルを通じてデータを共有可能にとして,継続的な業務改善を支援する |
| SAP Business Objects GRC Process Control | SAPジャパン/同 | 評価範囲に入る会社,事業部,プロセス,サブプロセスを定義し,それぞれの統制目標,リスク,コントロールを定義できる。関係する文書を直接添付したり,そのリンクを添付することも可能 |
| TRIANGLE J-SOX | NOC日本アウトソーシング/同 | 文書化作業と文書のメンテナンス作業を効率化する。既存のRCMや業務記述書からフローチャートを自動生成する機能も搭載しており,初年度に作成した文書を無駄にすることなく導入できる |
