日本版SOX法(J-SOX)に対応する際、ときには1万枚以上の監査用文書を作成・維持する必要がある。この作業を効率化する「文書化ツール」主要17製品について、選択のポイントを探る。今回は文書作成を支援するデスクトップ版を取り上げる。

 米ニューヨーク証券取引所(NYSE)に上場する医療メーカーの米グラクソ・スミスクライン(GSK)は1万6800枚、同じくNYSE上場の金融業であるNISグループは900枚、日立製作所は1200枚――各社が米SOX法(2002年サーベインズ・オクスリー法)404条に対応する際に作成した文書の数を単純計算で求めた結果である。

 米SOX法404条は、財務報告の適正性を確保するために、上場企業に内部統制の整備を求めている。GSKなどの対象企業はこれに対応すべく、該当する業務プロセスごとに、最低でも、(1)業務の流れを図で示した「業務フロー図」、(2)財務報告に影響を与えるリスクとその予防・低減方法(コントロール=統制)を記述した「リスク・コントロール・マトリックス(RCM)」、(3)業務の内容を詳細に説明した「業務記述書」という3種類の文書を作成する必要がある。作成後に業務や組織が変わった場合、その内容を反映して、常に文書を最新の状態に維持管理しなければならない。

17製品が相次ぎ登場

 これら一連の作業を「文書化」と呼ぶ。米国ではその手間が非常にかかることが問題視されている。上場企業約3800社とその関連会社に対し、2008年4月以降に始まる事業年度から適用される日本版SOX法でも、同様の問題が浮上してきた。

 そこで注目を集めているのが、文書化作業を支援する「文書化ツール」だ。海外製品に加え、ここに来て国産製品が急増。直近の3カ月で、TISや日立ソフトウェアエンジニアリングが新製品を、ブリングアップがASP(アプリケーション・サービス・プロバイダ)形式によるサービスの提供を始めた。現状で入手可能な文書化ツールは、主なものだけで17製品に達する。

 一言で文書化ツールといっても、「文書作成」を中心に支援する、「文書管理」に重きを置くなど、それぞれ特徴が異なる。短期間で効率よく日本版SOX法に対応するには、自社の要望に合ったツールを正しく見極めることが欠かせない。米SOX法に対応する日本企業も作業の効率化を目指し、文書化ツールの導入を進めている。以下、どんな観点で文書化ツールを選択すべきかに焦点を当てて説明していく。

文書化は1年では終わらない

 まず留意すべきなのは、文書化ツールが対象とする文書化作業の範囲が、非常に広いことだ。業務フロー図やRCMといった文書の作成は、ごく一部にすぎない(図1)。

図1●「文書化プロジェクト」の例
図1●「文書化プロジェクト」の例
文書の作成・訂正作業は、2年目以降も発生する
[画像のクリックで拡大表示]

 例えば、文書作成後に実施するテストは、重要な文書化作業の一つである。まず、文書に書かれた通りに内部統制が「整備」されているかを、証拠などを見ながら確認する。テストの結果、文書と異なる部分が見つかった場合、文書の修正が必要になるケースが少なくない。

 続いて、整備に関するテストから数カ月をおいて、内部統制が実際に確立できているかどうかに関する「運用」状況をテストする。問題が見つかると、ここでも文書の変更が必要になる。

 加えて前述の通り、業務や組織に変更があれば、文書を随時修正しなければならない。「文書化というと、対応初年度に発生する文書作成に目が行きがち。だが、実際には2年目以降も文書化は続くことを念頭に置くべき」と、アビームコンサルティングの永井孝一郎プリンシパルは指摘する。

 こうした作業を支援する文書化ツールは大きく、「デスクトップ版」と「サーバー版」に分かれる。デスクトップ版は、主に業務フロー図やRCM、業務記述書といった文書の作成を支援する機能を提供する。

 サーバー版は、作成中あるいは作成済み文書の管理、整備・運用状況のテスト、その後の評価・監査といった作業の支援が中心になる(図2)。

図2●「文書化ツール」が提供する機能は主に3種類ある
図2●「文書化ツール」が提供する機能は主に3種類ある