確認、内部統制構築の4ステップを支援するソリューション：「内部統制」に振り回されない賢いログ活用とは（1/2 ページ）

内部統制への関心の高まりを受け、「日本版SOX法対応〜」と銘打った製品やサービスが次々に投入されている。それらが備える機能を考察しよう。

[増田克善，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「『内部統制』に振り回されない賢いログ活用とは」でご覧になれます。

　日本版SOX法や内部統制への関心の高まりを受け、ソリューションベンダー各社はこれを大きな商機ととらえ「日本版SOX法対応〜」と銘打った製品やサービスを次々に投入している。だが、そもそも内部統制の対象領域は非常に幅広く、あらゆるITソリューションが内部統制の一部を担っていると言えるだろう。

　この記事では、ログ活用の部分にフォーカスする前提として、まず内部統制ソリューション全般について考察しよう。

　ここでは内部統制ソリューションを「内部統制構築を支援するソリューション」と「評価作業によって明らかになった内部統制の改善・維持を支援するソリューション」に分け、さらに後者をIT業務処理統制とIT全般統制の2つに分けたい。この区分に従い、全3回に渡って内部統制の確立を支援するソリューション群を紹介していこう。

　第1回目では、内部統制構築支援ソリューションが備えている機能について探る。

2つに大別、内部統制ソリューション

　前述の通り、多くのソリューションプロバイダーが言うところの「内部統制ソリューション」あるいは「SOX法対策ソリューション」は、大きく2つに分けることができる。

　1つは「内部統制を構築するための支援ソリューション」、つまり内部統制プロジェクトを推進するためのソリューション群である。もう一方は、プロジェクトの中で明らかになったシステム上の不備・問題点を改善するためのソリューションといえる。

　ただ、ここで注意しておく必要があるのは、「内部統制＝SOX法対応」ではないことだ。ご存じのように日本版SOX法のフォーカスは、「財務報告に係る内部統制の評価及び監査」と明記されているとおり、財務報告にかかわる内部統制が中心である。企業全体にかかわる内部統制では、日本版SOX法も含め、さらに広範囲の内部統制が求められる。

　ここでは、日本版SOX法で求められる内部統制ソリューションのうち、内部統制を構築するための支援ソリューションについて、支援ツールで提供される機能を見てみよう。

　内部統制構築プロジェクトの推進には、必ずしもツールが必要というわけではない。しかし米SOX法の対応で明らかになったように、プロジェクトの中で作成する文書が大量になること、それを管理する作業量が膨大になることを考慮すると、何らかのツールを活用しないと対応できない。

内部統制の構築ステップ、必要な作業は？

　まず、具体的なソリューションを見る前に、内部統制の構築作業（プロジェクト）を理解する必要がある。そのステップには、おおよそ次のような4つのフェーズがある（図1）。

図1　4つに分かれる内部統制の構築ステップ

　第1フェーズは、事前調査（現状把握）と計画策定（範囲設定）、いわゆるスコーピングである。ここでは内部統制整備の対象範囲や計画の策定が作業となる。例えば財務諸表においては、その項目を分析し、主な勘定科目に大きな影響を与える事業部門や連結子会社、部署や業務を評価対象として設定する。

　第2フェーズは、内部統制整備作業で最も負荷が大きいといわれる文書化作業である。文書化するのは、業務プロセスやリスク、社内規定や業務マニュアルで、具体的には業務フローチャート、リスク・コントロール・マトリックス（RCM）などである。業務プロセスを洗い出して、そこに潜むリスクを明らかにし、そのリスクを軽減または回避するための統制手段（コントロール）と監査のポイント（アサーション）をRCMとしてまとめる作業である。

　第3フェーズは、内部統制の有効性の評価と不備への対応だ。RCMとテスト手順書に沿ったテスト・評価を行い、統制上の不備が発見されれば、速やかに対応して再評価を行う。有効性の評価には文書レベルでの評価と実際の現場での評価が実施されるが、業務プロセスやコントロール数が多いほど作業は膨大になる。

　そして第4フェーズは、内部統制の内部監査と外部監査のステップとなる。経営者によって内部統制の整備・運用状況の評価を行い、内部統制報告書を作成。最後に外部監査法人による監査を受けて報告書が作成されることになる。この監査を通れば初年度のプロジェクトが終了する。

　こうした一連の作業は、企業にとって非常に負荷が高いといわれている。プロセス・オーナーと呼ばれる業務担当責任者や情報システム、経理・財務、営業などすべての部門で膨大な文書を作成しなければならない。また事務局は、それら文書をはじめとする情報を管理する必要がある。