本連載の締めくくりとして、ツールの活用を取り上げる。文書作成、文書管理、モニタリングを支援する「文書化関連ツール」と、データ/プログラムへのアクセス、システムの運用管理、プログラムの開発/変更を支援する「IT統制関連ツール」の概要を紹介する。
IBM ビジネスコンサルティング サービス
文書化ツールの活用
内部統制には、その実態を説明できる体系系的な資料とその有効性を検証し、その結果を証明できる資料が必要になることは、既に説明した通りです。これらの文書および管理は、規模にもよりますが相当なボリュームになります。現代では、これらを手書きで行うということはあり得ません。一連の資料および管理には、ITを利用します。
「内部統制対応ツール」と称する製品が相次いで市場に登場していますが、ここで必要なツールの機能を整理しておきます(図23)。
 |
図23●内部統制ツール [画像のクリックで拡大表示] |
ツールと呼ばれているものには、大きく二通りあります。文書化関連ツールとIT統制関連ツールです。
文書化関連ツール
まず、文書化関連ツールですが、必要になる機能は、(1)文書作成、(2)文書管理、(3)モニタリング(テスト・運用)の三つになります。
(1)の文書作成で使用するツールは、プロセス・フローチャートや業務記述書、RCMなどの文書を現場が作成するときに使うものです。(2)の文書管理で使用するツールは、各現場が作成した(1)文書(三点セット)を一カ所にまとめ、履歴を管理するものです。現場が格納して内部統制に関連する人や統括する人が閲覧します。(3)のモニタリングで使用するツールは、リスクとそのコントロールの状況を実際にテストした結果を保管し、様々な集計や分析を行います。イメージ的にはデータベースとユーザーが使う画面(入力、検索、保管など)が組み合わされたものです。
これらを単機能で実現するのであれば、(1)はプレゼンテーション・ツールやフローチャート専門記述ソフト(マイクロソフト・ビジオやフローチャート作成専用ソフトなど)、表計算ソフト、ワープロとなるでしょう。(2)は、いわゆる文書管理ツールでロータスノーツや文書格納管理ソフトなどが代表的なイメージです。(3)はRCMの記述とテスト結果の全社分を格納し、テスト結果を入力する機能、データを操作し全体の状況を把握し分析する機能が必要です。
実際に運用していくときには、データベースが必要になり、導入を検討する企業がほとんどです。ただし、プロジェクトの最初から必要かというとそうでもありません。表計算ソフトに記入しておいて、後からデータベースにインポートしても構わないのです。むしろ、内部統制の構築中は、どのような配列や基準が必要になるか。徐々に固まってきますので確定してからでも遅くありません。
ここで説明した(1)から(3)の機能をすべて一つのアプリケーションとして取り込んでいるものもありますが、事例を見ますと次のように考えるのが無難です。
(1)の文書作成で利用するツールは、フローチャートやワープロ文書ファイルの形式が統一されていれば、作成ツールはその部門にとって最も慣れたもので構いません。ただし、ITガバナンスで規定されていればそれに従います。また、いくら現場が慣れているからといっても、設計図面作成ソフトのような特殊すぎるものは、それを閲覧したり管理したりする内部統制の統括責任者のパソコンにそのアプリケーションがなければ見られませんのでさすがに使えません。自ずから、企業によって制約が出てきます。
(2)の文書管理と(3)のモニタリングに関しては、これから選ぶ場合には、ツールを提供するベンダーの安定性を考慮します。内部統制プロセスは永続しますから、文書の更新はプロセスとして続いていきます。万が一、提供するベンダーがなくなってしまうと、バージョンアップも図られず、場合によっては、新しいソフトに転記する作業が必要になってしまうからです。少なくとも、既存ソフトからエクスポートできるような汎用性の高いものを選択したほうがいいでしょう。企業集団の規模が大きければ大きいほどデータベースによる管理をしないと、とてもリスクのモニタリングをすることはできません。
最後に、ツールが備えているととても便利な機能を紹介します。フロー図上にリスクとコントロールを記述しますが、これとRCMとがリンクされ、自動採番されて作成できると非常に便利です。この機能を取り込んでいるフローチャート&RCM作成ソフトも販売されています。
IT統制関連ツール
IT統制関連ツールでは、(1)データやプログラムへのアクセス、(2)システムの運用管理、(3)プログラムの開発と変更――の三つの機能が主な機能です。これらの機能は、ITベンダーから「内部統制対応」として売り出されていることが多いのですが、これまでもITの分野ではおなじみであったツールがほとんどです。
特に、内部統制の監査上追加で必要となる機能があるとすれば、IT内部統制関連の監査証憑を出すツールなどですが、これらも製品化されているようです。どのソフトがどの部分の機能に対応しているかをIT統制関連ツール選定の際には留意してください。
本連載のまとめ
これまで、SOXプロジェクトの具体的な進め方について、実践例をもとに記述してきました。SOXプロジェクトを進めていくうえで、現状の大きな問題は次の点です。
経営者が、経営目的が達成されていると合理的に保証できるように設計したプロセスが内部統制です。したがって、経営者自身の合理的かつ客観的な判断によって構築するべきであり、それで構いません。ところが、SOX法では、財務報告部分については、その評価を外部監査人も行わなければなりません。監査人としては、内部統制を評価するには、その意見を構成するための証拠が必要になります。それは、必ずしも経営者が経済合理性を勘案して、合理的に検討した結果である様々な手続きや資料とは同一とは限らないのです。監査に耐え得る資料の水準や手続きは、担当する監査法人が決定することになります。その結果、文書に関する深度や詳細度なども監査人の判断に大きく依存することになります。
すなわち、要求される作成文書の種類、手続き、量、質、テストなどは、最終的には担当する監査人に依存することになってしまうのです。これが、内部統制構築プロジェクトとSOX法対応プロジェクトの大きな相違点といえます。このことからも、SOX法対応プロジェクトを円滑に進めていくためには、担当する監査法人の助言や指導を適切に受けていく必要があるのです。監査人にとっての独立性を害さないようにプロジェクト体制を組むことこそ、最大の成功要因であるといえるでしょう。
|
