（２）内部統制が機能しているか定期的に確認

日経コンピュータ

2006.06.20

大量文書を管理　SOX法対策を支援

図3　「SOX法対策プロジェクト支援ソフト」の例
[画像のクリックで拡大表示]

　SOX法対策プロジェクト支援ソフトは、内部統制およびその監査に必要な文書の作成と管理、内部統制が計画通りに行われているかどうかを調べるテストの進行管理と結果の記録、一連の文書とテスト結果の検索、といった機能を提供する（図3上)。

　SOX法対応すなわち大量の文書を作成すること、としばしば言われる。業務の規定やマニュアル類に該当する「業務記述書」、業務の流れを表した「業務フロー」、業務の中で発生するリスクとリスクに対する予防や低減策を記述した「リスク・コントロール・マトリックス（RCM、図3下）」を作らなければならないからだ。しかも、ここまでは準備に過ぎない。

　続いて企業は、RCMで規定したように、内部統制の仕組みが機能しているかどうかを定期的に確認（テスト）し、結果を記録する。業務プロセスの変更やリスクの変化に合わせて、内部統制の仕組みを常に変更していく。当然、業務フローやRCMも変更する。しかも文書間の関連と変更の影響を意識して、他の関連文書まで修正しなければならない。監査の時に、文書の変更過程を追えるように、バージョン管理も求められる。以上のことをするために、専用のソフトが必要になってくる。

手作業では難しい

　米SOX法対策を実施しているアドバンテストの森田祐理常務は、「監査用文書同士の整合性を保ちながら管理していくことを考えると、人手ではなくツールが必要という結論になった」と語る。同社はリスク・コンサルティング会社の米プロティビティが提供する、SOX法対策プロジェクト支援ソフト「SarbOx Portal」を導入し、作成した監査用文書を一元管理している。

　医療メーカー、グラクソ・スミスクラインは全世界に10万人近い社員を抱え、SOX法対策の対象となった業務プロセスは5600に上ったという。同社は、米ステレントのSOX法対策プロジェクト支援ソフト「Stellent Sarbanes-Oxley Solution」を利用し、内部統制用文書の作成、テスト、評価作業を実施している。5600のプロセスに関する内部統制の状況について、紙による文書のまま、管理することは不可能に近いからだ。

　SOX法対策プロジェクト支援ソフトは、さまざまなベンダーが販売している。当然、SOX法が先に施行された米国のベンダーが多い。プロティビティのような専業に加え、米オープンテキスト、米オープン・ページズ、米ハンディ・ソフトといった文書管理ベンダーが製品を出している。

　ERPパッケージ・ベンダーも、内部統制に関する文書管理とプロジェクトマネジメント機能を用意している。独SAPの「SAP Management of Internal Control（MIC）」、米オラクルの「Oracle Internal Control Manager（ICM）」などである。

　SOX法対策プロジェクト支援ソフトは、RCMなど作成すべき文書の例が付いているものと、そうではないものに分けられる。プロティビティは、SOX法対応に関するコンサルティングを手がけており、蓄積したノウハウに基づいてRCM作成支援ソフトを開発、SarbOx Portalに組み合わせて提供している。

　　これは米SOX法用のRCM作成支援ソフトを日本語に翻訳したもので、米SOX法対応に取り組む日本企業向けという位置づけである。このソフトは約70 の業務プロセスについてRCMのサンプルを持っている。日本法人プロティビティジャパンの西山都マネージング・ディレクタは、「具体的な指針が公表されれば、日本版SOX法に対応したRCMを提供していく」と話す。

　一方、SAPやオラクルは、RCMのサンプルを自社では提供しない。「コンサルティング会社や監査法人がRCMのサンプルを作成して顧客に提供する場合が多い」と判断しているからだ。ただし、両社はプロティビティジャパンと業務提携し、各社のERPパッケージを購入した顧客に、プロティビティのRCMを700万円で提供している。

　RCMを作成して提供する国産ソフトベンダーもある。バランス・スコアカード用ソフトを開発してきたアイ・ティ・エル（ITL）は4月から、業務プロセス記述ソフト「QPR Process Guide」に、日本の公認会計士が作成したRCMのひな型を付けて販売する。現在公開されている範囲の情報を元に、日本で必要とされるであろうRCMのサンプルを盛り込んだ。

　SOX法対策プロジェクト支援ソフトを導入する場合は、システムの導入費用を含め1000万円以上を見込んだほうがよい。価格例を示すと、プロティビティジャパンのSarbOx Portalは、製品単体が1拠点当たり1500万円で、導入コンサルティング費用が別途300万円程度かかる。日本ステレントの「Stellent Sarbanes-Oxley Solution 7.6」は単体で1000万円以上。日本オラクルの「Oracle ICM」の場合、1ユーザー3800円から（ユーザー数が1000人の場合）。

　一方、マイクロソフトは他のベンダーと異なるアプローチを採っている。同社は3月から、描画ソフト「Visio 2003」を利用して業務フローを記述できる「内部統制ツール」の無償提供を始めた。1週間で約2000件のダウンロードがあったという。

　この内部統制ツールはVisio 2003と組み合わせて利用する。業務フローの記述に必要なアイコンや、業務フローに対するリスクや統制の仕組みを記述できる機能を用意した。さらにプロティビティのRCMの中から、「販売」、「購買」プロセスのRCMを選び、Visioに読み込めるExcelファイルの形で無償提供している。