内部統制で対応すべき文書化の話

　昨日、ビジネスソリューション向けのセミナーイベントに合わせ、日本オラクルは記者向けに内部統制関連のラウンドテーブル説明会を開催した。今回のイベントでも内部統制関連のセッションは早々に満席状態となり、メディアが煽っているだけでなく実際に業務の現場でも関心が高まっていることが伺える。

　米国のITがからむSOX法対応でもっとも問題視されるのが、職務分掌関連だとのことだった。ごく簡単に言えば、請求書を入力する人とそれに対する支払い処理をする人をきっちりと分けましょうというやつだ。システム上でこのあたりの処理権限がきちんと分かれているか、といったことを監査ではかなりきびしく追求されるようだ。

　またよく聞くのが、まずはかなりの工数がかかる文書化と呼ばれる作業が必要ということ。企業内の業務プロセスを洗い出し整理し文書化すると、大手企業ならExcelシートが数千枚といった規模にあっという間になるとか、数万枚なんていう話も聞こえてくる。この行程自体は、リソースを投入し一気にやればとりあえず終了するものであろう。もちろんできあがった大量の文書をどう管理し、内容をきちんと社内に浸透させるのは別の作業として残る。

　今回のオラクルの説明のなかで、もう1つの文書化がじつは重要だという話があった。いわゆる結果の文書化だという。結果といっても会計数字の結果とかではなく、何らかの業務プロセスが正常におこなわれたという結果をきちんと文書化し監査に耐えうるものにするということ。前出の現状の業務プロセスの文書化は、最初に一回だけ注力してやれば、あとはそれの改変やアップデートで済むかもしれないが、この結果の文書化は企業活動が続くかぎり永遠に続くことになる。

　この結果の文書化は、外部監査を受ける前に、内部で自己監査を実施しその過程を文書化してきちんと記録していくというもの。つまりは、監査所見の文書化と考えていいだろう。たんに最終結果を文書にするだけでなく、問題があったらそこから文書化しどう対応したかも記録する。とうぜん、その過程についてもステータス管理する必要がある。ここまで実施するには、Excelのテンプレートで人力で対応するのではなく、何らかのアプリケーションを導入しないと、きちんとコントロールができないことは予測できる。

　当然のことながらオラクルの説明会なので、この部分の処理に有効なOracle Internal Controls Managerというパッケージの紹介があったわけだ。内部統制では、アクセスコントロールを含むID管理がもっとも重要で、これをうまくおこなって職務分掌を実現するステップにつなげるのが肝かなと思っていた。文書化については最初だけというイメージがあったので、結果の文書化は重要という話は、個人的には確かにそうだななるほどという気づきになった。まだまだ、勉強が足りないようだ。