日本版SOX法(J-SOX)に対応する際,企業がまず直面するのは「文書化」の作業だ。ときには1万枚以上の監査用文書を作成・維持する必要がある。いま,この作業を効率化する「文書化ツール」が相次ぎ登場している。同製品について,選択のポイントを探る。(島田 優子=日経コンピュータ)
米SOX法(2002年サーベインズ・オクスリー法)404条は,財務報告の適正性を確保するために,上場企業に内部統制の整備を求めている。対象企業はこれに対応すべく,該当する業務プロセスごとに,最低でも3種類の文書を作成する必要がある。
(1)業務の流れを図で示した「業務フロー図」,(2)財務報告に影響を与えるリスクとその予防・低減方法(コントロール=統制)を記述した「リスク・コントロール・マトリックス(RCM)」,(3)業務の内容を詳細に説明した「業務記述書」---である。
作成後に業務や組織が変わった場合,その内容を反映して,常に文書を最新の状態に維持管理しなければならない。
これら一連の作業を「文書化」と呼ぶ。米国では,その手間が非常にかかることが問題視されている。上場企業とその関連会社に対して適用される日本版SOX法でも,同様の問題が浮上してきた。
そこで注目を集めているのが,文書化作業を支援する「文書化ツール」だ。海外製品に加え,ここに来て国産製品が急増している。
一言で文書化ツールといっても,「文書作成」を中心に支援する,「文書管理」に重きを置くなど,それぞれ特徴が異なる。短期間で効率よく日本版SOX法に対応するには,自社の要望に合ったツールを正しく見極めることが欠かせない。
文書化は1年では終わらない
まず留意すべきなのは,文書化ツールが対象とする文書化作業の範囲が,非常に広いことだ。業務フロー図やRCMといった文書の作成は,ごく一部にすぎない(図1)。
 |
| 図1●「文書化プロジェクト」の例 文書の作成・訂正作業は,2年目以降も発生する [画像のクリックで拡大表示] |
例えば,文書作成後に実施するテストは,重要な文書化作業の一つである。まず,文書に書かれた通りに内部統制が「整備」されているかを,証拠などを見ながら確認する。テストの結果,文書と異なる部分が見つかった場合,文書の修正が必要になるケースが少なくない。
続いて,整備に関するテストから数カ月をおいて,内部統制が実際に確立できているかどうかに関する「運用」状況をテストする。問題が見つかると,ここでも文書の変更が必要になる。
加えて,業務や組織に変更があれば,文書を随時修正しなければならない。文書化というと,対応初年度に発生する文書作成に目が行きがちだが,実際には2年目以降も文書化は続くことを念頭に置くべきである。
こうした作業を支援する文書化ツールは大きく,「デスクトップ版」と「サーバー版」に分かれる。デスクトップ版は,主に業務フロー図やRCM,業務記述書といった文書の作成を支援する機能を提供する。一方のサーバー版は,作成中あるいは作成済み文書の管理,整備・運用状況のテスト,その後の評価・監査といった作業の支援が中心になる(図2)。
 |
| 図2●「文書化ツール」が提供する機能は主に3種類ある |
