2009年3月期からの適応が予想されて、対象企業でその対応を余儀なくされる日本版SOX法だが、これに間に合わすためには2007年4月までにはITシステムを含めた日本版SOX法に対応した体制作りを終えておかなければならないことになる。

業務に統制活動を組み込まなければならない

日本版SOX法の大きな目的のひとつに、企業の基幹業務における内部統制の実現がある。即ち、企業が日々、きちんとした業務プロセスの中で、それぞれの担当者の責任を明確にし、関連する法令や業務ルールを守りながら業務を遂行することで、不正やミス等の発生を可能な限り防止・予防するリスクマネージメントを行う必要がある。このため、実業務に統制活動を組み入れ、内部統制報告書などのドキュメントを作成し、最終的には財務報告書の正確性と信用性を保証しなければならないのだ。そこで問題になってくるのが、企業としてどのように統制活動を現状の業務に組み込んでいくかということである。どのような仕組みを組み込めば良いのだろうか。

具体的には、以下の3点をポイントとして考えるべきだろう

• 手作業や複数システムを含む業務フローに統制機能を組込めること
• 業務プロセスの変更に柔軟に対応できること
• 毎年、繰り返される監査の際の作業負荷を低減できること

日々の業務というのは決まり切っているようで、実際はそれほど決まり切っていない。

• 企業の合併や部門の統廃合。
• 新製品の発売に際し、新たな販売店と契約した。
• 部門を跨るため業務フローが複雑で処理の進捗がつかみにくい。
• 業務ルールが不明確でイレギュラーな対応が必要。

こうしたことは、日々起こりうる。そして、こうしたことが起これば、大なり小なり業務の内容は変わる。内部統制を行う以上、こうした小さな変更であっても、その都度、反映できる仕組みでなければならない。つまり、変更を柔軟に行える仕組みでなければならないということである。

さらに、統制活動は企業にとって重要なものではあるが、本来の業務ではない。統制活動のために多くの時間やコスト、人員をかけすぎて、逆に本来の業務の効率が悪くなることは本末転倒というものだ。

こうしたことから、内部統制を行うにあたっては、上記3点のように、実業務と内部統制を効率よく運用できる仕組み作りが必要だといえるだろう。

企業に求められる作業

ここからは、より具体的な対応を見てみよう。内部統制を実施するには、段階的な作業が必要になってくる。

まず、準備段階では、1.現状分析、2.業務改善と最適化、3.リスクの評価、4.レビューと施行を行う。さらに運用段階では、5.業務遂行と内部統制、6.モニタリングがある。そして、業務に変更があった場合は、適宜2.業務の最適化以降の作業を行い、最終的には期末に報告書の作成を行う。こうした一連のサイクルを実現しなければならないのだ。

これらの作業において、統制活動の視点から重視すべきものが、業務フロー図と職務分離表、そしてリスクコントロールマトリックス（以下RCM）である。これらのドキュメントは、日本版SOX法施行後に内部統制報告書に含める必要があり、毎年、財務報告書と一緒に提出する義務がある。

業務フローと職務分離表は内部統制の設計段階で作成するもので、あるひとつの大きな業務が、どのようなプロセスで進むのか、どのような業務のつながりで成り立つのか、それぞれの業務において誰が何を行うのか、こうしたひとつひとつのタスクが明確化された、いわば業務の設計図である。

そして、その設計図に基づいて作成するのがRCMである。RCMとは、前段で明確化した業務において、どのようなリスクがあるのか、そしてそのリスクに対してどのように対応するのかといったものを明文化したもので、いわば内部統制を行う上で必要なルールブックと言える。企業はこのルールブック、RCMをベースとして統制活動、リスクコントロールを行っていくのだ。

いかにシステムと業務フローを連動させるか

では一体、こうした統制活動はどのように業務に組み込んでいけば良いのだろうか？代表的な方法を例にして考えてみよう。

基幹業務は、あるひとつの作業で完結するようなものではなく、購買や生産、販売などさまざまな作業（タスク）が有機的に絡み合い、ひとつの業務フローを形成している。そして、そうした業務のためのシステムは統合されたものではなく、それぞれに立ち上がっているケースがほとんどだろう。このような場合、システムの間に人的な作業や判断が介在し、業務を運用している。

そして、内部統制では、業務のプロセスにおいて、誰が何をするか、言い換えれば、どの段階で誰がどのシステムで何を行うかを業務フローとして確立、明確化し、なおかつそのフローがルール（RCM）に従って行われているかモニタリング（チェック）しなければならない。そしてこの作業は、効率的に行えるに越したことはない。そのためには、システムとして対応するのが近道である。つまり内部統制を行うには、現状の業務にシステムとして統制機能を組み込むのが最善の選択肢と言えるだろう。そこで、もっとも重要なのが、それぞれに立ち上がったシステムを業務と連動させて、いかに一貫性のある業務フローを構築するかという点だ。

ワークフローツールが有効

内部統制を業務に組込み、更に業務フローとシステムを統合するには、いくつかの方法がある。代表的なものとしてあげられるのが、ERPとワークフローツールだ。それぞれに特長があるが、日本コンピュウェアとしては、ワークフローツールの採用を提案している。その理由は、ERPにくらべ、業務フローの構築が容易で、コストが安く、業務の変化により柔軟に対応できるからだ。

通常、ERPを導入する場合、導入企業に応じたカスタマイズが必要なため、当然費用と時間がかかる。また、ERPを部分的に導入している場合、既存システムとの連携や、手作業を含むERP対象外の業務フローとの連動性もない。また、業務に変更が出た場合も、カスタマイズが前提となるため、迅速な対応が困難なケースが考えられる。内部統制の観点から見ると、これらの要因もリスクとなりうる。

一方、ワークフローツールは、手作業やシステム化された業務処理を含めた、一貫性のある業務フローを容易に構築することができる。業務プロセスにフォーカスしているため、業務フローの設計もGUIにより簡単に行える。これにより、手作業や複数のシステムを別々に利用した業務に対して、承認フローを追加し統制機能を組込むことができる。

また、一旦構築した業務や承認フローが効率的に運用できているかを確認するためのパフォーマンスデータや業務処理履歴もロギングされるため、例えば、業務改善を行う場合も業務フロー図を修正することで簡単に変更が行える。

システムとの連携も、APIによるシステム間のパラメター受渡し、バッチプログラムやアプリケーションの自動実行など、システムと業務プロセスの連動性を高めるための機能を提供しているため、統制活動と業務処理の効率化を図ることができる。

さらにツールとしてすでに、内部統制の実施に必須の業務フロー図、職務分離表を作成するためのデータをシステムで管理しているため、データを上手く流用することで、内部統制報告書のドキュメント作成の手間を削減できる。

この他にも、既存のシステムをそのまま活用できる点、システム単位ではなく、業務単位での導入が可能なため、効果を見ながら段階的に導入できる点なども、ワークフローツールのメリットである。

これらが、日本コンピュウェアがワークフローツールを提案する理由だ。

日本コンピュウェアのワークフローツール「Uniface Flow」

日本コンピュウェアでは、こうしたニーズに応えるワークフローツール、Uniface Flowを提供している。さらに、このツールとともに、内部統制を行う上で必要なデータ管理機能（RCM、職務分離表など）の追加や、業務フロー構築作業などをあわせ、内部統制対応ワークフローソリューションとして、提供していく予定である。