現在ITベンダから内部統制に対応したと謳っているツールやシステムが多数販売されています。J-SOXに有効なITツールを見ていきましょう。
まずは内部統制の構築と評価を支援するツールです。文書化作業を支援するツールとしては、業務記述書、業務フロー図、リスクコントロールマトリクスが簡単に書けるお絵描きツールや相互の関係を動的に管理するツールなどがあります。文書化の進捗管理ツールや、作成した文書を保存する文書管理システムもあります。これらのツールを使えば文書化作業を省力化できる可能性は高いでしょう。もっとも、使い慣れたワープロソフトや表計算ソフトで作成してもかまいません。また3点セットのテンプレートなる商品も販売されています、これは3点セットの雛形であり、無料のものから数百万円という価格のものまでさまざまです。高額なものにはJ-SOXに対応するためのノウハウが詰まっているのです。
次に、評価作業を支援するツールがあります。文書化支援ツールと連携し、評価結果の文書を保存する機能や、評価がどこまで進んでいるかの進捗管理をする機能、評価結果を用いて自社の内部統制状況を可視化する機能などを備えたものがあります。
IT全般統制を支援するツールとしては、システム運用管理にかかわるものとしては調達/導入管理、インシデント/問題管理、変更管理/リリース管理、継続性管理のシステムが有効です。セキュリティを支援するツールとしては、ネットワーク管理、フォレンジック、ID管理、物理セキュリティのシステムが有効です。IT全般統制で特に重要なものは変更管理とID管理と言われています。
IT業務処理統制を支援するツールとしては、ERP、ワークフロー、業務プロセス管理、文書管理のシステムが有効です。
J-SOXなどの内部統制では、記録管理が重要になります。なぜならば、内部統制の整備と運用の状況は後で第3者により監査されたり、外部に情報開示する必要があるからです。
記録は文書と異なり、業務を行った証拠として修正や変更のできない形で作成/保存されるものです。これまでの日本ではあまりなじみのない概念ですが、今後は内部統制を外部に証明可能にする仕組みとして導入されていくことでしょう。記録管理システムとしては、証跡管理や長期保管という仕組みが利用できます。
このほか、情報の伝達に係る教育やコミュニケーション、モニタリングに係るレポーティングやビジネス活動支援、さらには経営支援に係るBIなども内部統制を支援する機能を提供します。
日立は以上の機能を内部統制のためのITフレームワークとしてまとめています。
図14 日立の内部統制ITフレームワーク |
提供:オービックビジネスコンサルタント
『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。