確認、内部統制構築の4ステップを支援するソリューション：「内部統制」に振り回されない賢いログ活用とは（2/2 ページ）

[増田克善，ITmedia]

文書作成に必須の文書化支援ツール

　内部統制の整備作業で負荷が高いのは、文書化の作業である。

　作成される文書の数は、わかりやすく言うと「対象事業拠点×対象業務×業務プロセス」を掛け合わせた分量になる。企業によっては数万単位の文書化が必要だ。場合によってはそれらを半期あるいは四半期で見直し、改訂する作業も行わなければならない。

　内部統制の整備作業において、これらの大量の文書化・管理作業を手作業で行うのは事実上不可能だ。何らかの文書化支援ツールを導入し、効率的な文書作成・管理業務を行うことが必要になる。

　文書化支援ツールに必要な機能は、プロジェクトの進ちょく管理機能をはじめ、文書作成・管理機能、文書評価テストの実施と承認・進ちょく管理機能、文書の容易な登録・検索機能、版管理・アクセスログ管理機能などである。SOX法対策ツールといわれるツールは、主にこうした文書作成機能、進ちょく管理機能、文書管理機能などを備えている。

　ただし、ツールによっては一部の機能を備えていないものもあったり、機能は実装していても利用する企業によっては不十分ということもある。したがって、適宜必要なツールを組み合わせることになる。

　文書化作業における具体的な文書は、業務の規定やマニュアル類に該当する業務記述書、業務の流れを表した業務フローチャート、業務の中で発生するリスクとリスクに対するコントロールや低減策を記述したRCMの3種類。文書作成支援ツールでは、BPM（ビジネス・プロセス・マネジメント）機能をベースに、内部統制で求められるリスク、コントロールなどの記述と、RCMを自動生成する機能を持つ。

ライフサイクル管理を支援

　内部統制構築支援ツールでは、前述した内部統制文書の整備作業に続いて、そのテスト、評価、監査までのライフサイクル全体の作業を支援する機能を持っている（ツールによってはアドオンで実現）。

　内部統制のテストでは、コントロールが有効に機能しているかを確認するために、作成したRCMに対するテストの定義・実施・承認の管理が要求される。RCMを文書管理に登録すると、自動的に管理データベースに取り込み、コントロールのテストが定義される機能、全体の進捗状況、遅延しているテストの特定する機能、証憑・確証を文書管理中にテスト結果とひも付けて管理し、監査時の確認を効率化する機能などがある。

　また、内部統制の評価は、コントロール運用状況の評価、リスク軽減状況の評価、アサーション達成状況の評価、プロセスの総合有効性の評価という流れで実施することによって、簡単に行うことができる。さらに、その評価結果をレポーティングするとともに、評価結果に文書をひも付けて管理する機能などを持つ。

　市場に存在する内部統制構築支援ソリューションにはこうした機能が備わっている。ただし、ある1つのツールを導入したからといって、すぐに内部統制が実現できるわけではない。さまざまな製品やサービスを組み合わせ、自社に適応させた使い方に合わせることによってはじめて、有効なソリューションとなる。

本記事は、ITセレクト2006年12月号「内部統制ソリューション最新事情」を再構成したものです。