連載
» 2007年09月03日 12時00分 UPDATE

新発想の業務フローチャート作成術(1):日本版SOX法対応における業務フローチャートの役割 (1/2)

発想を変えることで、業務フローチャートは容易に作成でき、汎用性に富み、メンテナンスもしやすいものになる。本連載では、日本版SOX法対応を例に、新発想の業務フローチャート作成手法を紹介する。第1回は、日本版SOX法対応における業務フローチャートの役割の理解と、その作成現場における課題の整理を行う。

[松浦剛志(プロセス・ラボ),@IT]

 日本版SOX法においては、業務フローチャート業務記述書リスク・コントロール・マトリックスのいわゆる「3点セット」が成果物として必要だとされ、これらを準備する作業が進んでいる。しかし、特に業務フローチャートの作成作業では、さまざまな困難を感じている企業が多い。

 しかし、発想を変えて「業務プロセスの可視化」という本質に立ち戻れば、業務フローの文書化は容易で、分業における品質の均一化も図れる。最初の作成後のメンテナンスもしやすいものになる。

 業務フローチャートは日本版SOX法だけでなく、上場準備や業務改善など、さまざまな用途で利用されている。業務プロセスの可視化という本質を踏まえて業務フローチャートを作成すれば、これらの用途に幅広く適用することができ、実際の業務に役立つ画期的なツールになる。

 この連載では、日本版SOX法対応を例に、業務プロセスの可視化という観点から、業務フローチャートを作成する手法を紹介する。第1回は、日本版SOX法対応における文書化作業の成果物となる、業務フローチャート、業務記述書、リスク・コントロール・マトリックスのいわゆる「3点セット」における、業務フローチャートの役割の理解と、その作成現場における課題の整理を行う。

「3点セット」の相互関係を考える

 日本版SOX法対応の文書化作業は、大半の企業において、3点セット(業務フローチャート、業務記述書、リスク・コントロール・マトリックス)の作成という形で進められている。3点セット作成が実質的なスタンダードとなっているのは、実施基準において義務付けられているわけではないが、参考事例として記載されているためである。

まず、3点セットのおのおのを定義すると、

  • 業務フローチャートは、業務の流れ、つまり業務プロセスを可視化したもの
  • 業務記述書は、具体的な作業内容、つまり業務プロセスの構成要素であるタスク(以下「作業」で統一)の中身を記述したもの
  • リスク・コントロール・マトリックスは、業務プロセス上のリスクとそれに対応するコントロールを一覧にまとめたもの

となる。

 次に、3点セットの相互関係であるが、業務フローチャートをベースとして、業務記述書とリスク・コントロール・マトリックスが作成されることになる。

  • 業務フローチャートは全体像の理解を、業務記述書は詳細の理解を助ける
  • リスク・コントロール・マトリックスの構成要素であるリスクとコントロールは、業務プロセス上の作業にプロットされる。つまり、具体的な位置(発生・制御場所)は、業務フローチャート上で理解することになる
r2image01.jpg 図1 業務フローチャートと業務記述書、リスク・コントロール・マトリックスの関係

 業務フローチャートが3点セットの要となるのであるから、まずは業務フローチャート作成から取り掛かるのが王道である。

 一方で、「煩雑な業務フローチャート作成を避けるべき」という主張もあるので紹介しておく。リスクはほぼすべての企業において想定し得るパターンの範囲であるから、重要なものは、想定し得るリスクに対してコントロールが存在するかを示すリスク・コントロール・マトリックスと、実際にコントロールが行われていることを確認するための業務記述書のみである、という考え方である。

 例を挙げると、「売上金額の入力間違い」というリスクは、どこの企業でも想定され、そのためのコントロールは、原始帳票と入力データの照合だけだというようなことである。注文書などの原始帳票が、オペレータにより社内システムに入力され、そのデータがシームレスに勘定システムに流れているような業務であれば、原始帳票と入力データの照合が適切にされていることと、システムサイドでの改ざん、ミスプログラミングの可能性をつぶせればよいので、そのような考え方は成立し得る。

 しかし、この考え方が成り立つのは、卓越した業務プロセスを設計して、かつ、その内容が変化しない固定的なビジネスである場合に限定される。そうでなければ、原始帳票からの転記や集計が複数回行われ、「売上金額の入力間違い」というリスクが複数個所に存在している可能性が高く、原始帳票と最終財務データの個別照合というコントロールが、業務プロセスに組み込まれていることはないと考える方が現実的である。

 このようなリスク・コントロール・マトリックスをベースとした3点セット作成をするのであれば、アウトプットイメージを監査人とよく擦り合わせたうえで、実施するのが安全である。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ