「内部統制報告制度に関する11の誤解」を誤解せぬよう読んでみた：ITIL Managerの視点から（2/4 ページ）

[谷誠之，ITmedia]

2.特別な文書化が必要か

---

[誤解]　フローチャートの作成など、内部統制のため新たに特別な文書化等を行わなければならない。

[実際]　企業の作成・使用している記録等を適宜、利用。

（具体例）

・内部統制の記録

フローチャート、業務記述書などの作成は必ずしも求めておらず、企業の作成・使用している記録等を利用し、必要に応じて補足を行うことで可。

・記録の保存

すべてを文書として保存するのではなく、適切な範囲・方法（磁気媒体など）により保存すれば可。

※内部統制報告制度に関する11の誤解（リンク先はpdfファイル）より

---

　正直、これでは説明の意味がよく分からない。きちんとまとまった（表紙や目次などがあり、とじられている紙の）文書になっていなくても、データベース上のデータのままでも構わない、ということなのだろうか？　おそらくそれでは、監査人が首をタテに振らないだろう。磁気媒体に記録された1年分の膨大なデータに目を通せ、といっても、監査人は嫌がるだけである。また、ビジネス上のリスクを調査したり、有効なIT統制を行うためのキャパシティ管理や可用性管理を行ったりする場合でも、その管理プロセスの中で行きかう文書は相当なものになるはずである。

　そもそもプロセスとは、必ず活動の手順に対するインプットがあって、活動の成果としてのアウトプットがある。インプットもアウトプットも、（たとえ磁気媒体に記録されている形式だとしても）それなりにまとまっていないと活動できないはずである。

　例えば、ITILにおける変更管理においては、ITの変更には必ずRFC（Request For Change）を必要とし、変更マネージャが承認した変更のみを実装する、ということが推奨されている。この変更管理プロセスがうまくいっていれば、承認されたRFCと実態を記録したCMDB（構成管理データベース）さえあれば、IT投資の正当性をある程度可視化できる。このような書類を適宜活用しましょう、ということなら話は分かるのだが、だとしても内部統制のための新しい仕組みやプロセス、文書は必要になるだろう。変更管理を導入していない企業が、既存の文書だけで自社のIT投資を正当化できるとは思えない。