第4回 「3点セット」の作成と整合：内部統制を前に見直せ！ ワークフロー

内部統制文書には、「3点セット」なるものが存在する。多くの場合、これがJ-SOX対応で最初のハードルになることも。ただ、3点セットは単につくればいいものではない。その作成と整合には、コツがいるのだ――。

[梅田正隆（ロビンソン），アイティセレクト]

内部統制文書作成のコツ

　J-SOXが求める内部統制の仕組みを構築するためには、企業はどのようなアプローチをとるべきなのだろうか。

　今日、ITベンダーが提供する内部統制関連ソリューションを眺めてみると、内部統制にかかる文書化のソリューションと、情報セキュリティを含めたプロセス連携ソリューションの二つに大別できる。

　文書化のソリューションは、いわゆる内部統制文書の3点セットといわれる「業務記述書」「リスクコントロールマトリックス（RCM）」「業務フロー図」の作成を支援する。多くの企業でJ-SOXに対応するときの最初のハードルとなるのは、内部統制文書の作成である。

　システムインテグレータ大手のTISは、内部統制文書作成支援ツールである「IC-Vision Desktop Edition」を提供している。マイクロソフトのOfficeファミリー製品である「Visio 2003」を業務フロー図の作成に活用している点が特徴となるものだ。TIS自身が開発したテンプレートに加え、マイクロソフトが無償で提供するVisioベースのテンプレートや、リスクマネジメント専門企業、プロティビティジャパンのRCMテンプレート（有償）を組み合わせて活用することができる。

　Visioは、情報システム部門においてはシステム構成図やネットワーク構成図を書く際に利用されることもあるが、一般的にはなじみがないかもしれない。だが、業務フロー図を書く場合には、「Excel」や「PowerPoint」よりも有利となるツールである。

　というのは、Visioでは図を構成するパーツ（シェイプ）自体にデータを持たせることができるため、RCMで記述した業務の各プロセスにおけるリスクやコントロールをVisioのシェイプに持たせて、業務フロー図を作成することができるからである。

3点セットの整合を管理するコツ

　このような場合、ExcelとVisioの連携性が運用上のメリットとなる。3点セットは整合性がとれていなければ意味をなさない。従って、3つは統合して管理する必要がある。環境変化に合わせて業務が変われば、業務フロー図も変更しなければならない。そこで変更したVisioの業務フローファイルをExcel形式でエクスポートすれば、業務フローにおける変更がExcelベースのRCMに反映させることが可能になるのだ。

　逆に、RCMの修正を業務フロー図に反映させることも、また業務フローのプロセスごとに登録した属性を利用して業務記述書をWord形式で作成することもできる。

　3点セットの作成には、多くの企業でマイクロソフトのOffice製品が利用されることだろう。そこでは、作成したファイル間の整合性をとるとき、その連携のポイントとなるのがVisioということになる。

　一方、運用においては作成した文書に関する更新や、どの文書が最終版で、だれがそれを承認するかといったドキュメントライフサイクル管理が求められる。これは、内部統制文書の管理上でのポイントとなる。従って、記述した業務フロー図などの3点セットを管理するためのドキュメントワークフローを回すためのツール、つまりプロセス連携ソリューションが必要になる（次々回で解説予定）。

　業務フロー図は、ERP導入の際に作成する機会がある。だが、社内で実際に作成した経験のある人はそう多くないと考えられるだろう。そうした企業においては、先述したようなテンプレートが役に立つはずである（「月刊アイティセレクト」6月号のトレンドフォーカス「内部統制を契機に再考　「ワークフロー」関連ソリューション動向 最新事情を探る」より。ウェブ用に再編集した）。