掲載月:2006年3月
ソリューション概要
本年度中にも法制化され、2008年からの施行ともいわれている日本版SOX法*1、その対応に今年から着手する企業も少なくありません。
IBMは、2004年から適用開始されている米国SOX法*2への対応を支援する多様なソリューションを提供、IBM自身の米国SOX法対応という実績もあります。
ここでは、SOX法対応での業務統制の一連の作業を効率化するツールをご紹介します。
誰もがわかりやすく・使いやすく
図1 データ階層構造
国内でもSOX法対応の支援をうたう、さまざまなツール(ソフトウェア製品)が紹介されています。文書管理・ワークフロー・セキュリティーなどの汎用的なツール、ERPとのシームレスな連携機能を特徴とするツール、専用ツールなどが挙げられます。
IBMは業務統制の一連の作業を支援する専用ツールであるWorkplace for Business Controls & Reporting( 以下、BCR)をご提供しています。BCRは、「誰もがわかりやすく・使いやすく」を最大のコンセプトに、SOX法に関わるさまざまな部門や利用者(経営者層、内部監査・推進部門、エンド・ユーザー部門、IT部門、監査法人)を想定し、SOX法・業務統制・監査などに関する高度な専門知識やツール操作を習得する必要性を極力軽減できるよう製品化されています。
財務や業務統制の業務に精通した担当者だけでなく、それに関わるさまざまな部門の担当者にもわかりやすいように、COSO*3の統合的枠組みをシンプルかつ柔軟性の高い1対Nのデータ階層構造で具現化しています*4[図1]。
BCRの活用イメージ
図2 BCR導入後
米国では適用開始から3年目を迎えていることもあり、SOX対応に際しては「文書化」に要するさまざまな作業に必要な工数が明らかになり、そのいくつかは今後解決すべき課題として取り上げられています。
たとえば、テスト・評価・監査などの作業について、表計算ファイルでのマニュアル操作で維持・運営を行う場合、ファイルの配布・回収、集計などの作業工数が継続的にかかります。
それらの電子ファイルのセキュリティー(改ざん防止・履歴管理、アクセス権限管理など)を厳格に行えば行うほど、その工数はさらに大きくなってきます。
BCRを導入すると、文書化の初期段階でその作業をシンプルな体系で行うことができるだけでなく、その後の維持・運営の作業についても継続的に効率化することができます[図2]。
BCRの適用範囲
図3 作業の流れ
BCRでは、役割ごとに最適化されたユーザー・インターフェースが提供され、文書化におけるさまざまな結果・成果物を体系的に記録できます。
さらに、リアルタイムにその概況から詳細までをシームレスに把握し、必要に応じたレポート作成*5を行うことができます[図3]。
- 対象範囲定義:財務諸表項目と文書化対象組織の定義
- 文書化*6:1対Nのデータ階層構造で体系化
- 整備・評価:検証作業・検証結果の保存
- レポート:有効性に関する確認・報告
使いやすさを追求したユーザー・インターフェース
図4 統一表示例
BCRは、さまざまな部門や利用者に対してその作業状況や役割に応じた最適な環境を提供するため、統一された表示フレームワークを採用しています[図4]。具体的には、以下のビューを通じてメニューが表示されます。
- データ階層を一元的表示する階層ビュー
- 検索ビュー
- 選択されたデータを表示する親ビュー
- 1階層下のデータのリストを表示する子ビュー
BCRは、タブ操作で文書化・評価・レポートの作業の流れを切り替えることができますが、この表示フレームワークは維持されます。
これにより、作業中のデータを常にシンプルな1対Nのデータ階層で意識しながら、作業の流れに応じた操作環境(操作メニューなど)を容易に切り替えます。
「IT統制」にはCOBIT採用予定
日本版SOX法の草案には、米SOX法では示されていない基本要素「ITへの対応」が明記されています。
現状は、「内部統制の目的を達成するために不可欠な要素として、内部統制の有効性に係る判断基準」、「ITの利用および統制は、内部統制の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。
また、ITの利用および統制は、導入されているITの利便性とともにその脆弱性および業務に与える影響の重要性等を十分に勘案した上で、評価されることとなる」などと記されていますが、具体的な方針やフレームワークは今後公開されてくるものと思われます。
BCRでは、IT統制の分野で標準的なフレームワークといわれるCOBIT*7をすでに採用予定(2006年上半期)です。今後は、日本版SOX法の動向も鑑みた機能拡張を行う予定です。
*1 通称。金融庁企業会計審議会内部統制部会で内部統制の評価・検証の基準を審議中。「ITへの対応」が日本版独自で追加されている。
*2 米国サーベンス・オクスレー法。エンロン事件やワールドコム事件などの不正会計問題の対策として、企業に対して開示情報の適確性を求め、経営者の投資家に対する責任と義務・罰則を定めた米国連邦法。
*3 米国トレッドウェイ委員会組織委員会(COSO)が1992年に公表した標準的な内部統制のフレームワーク。
*4 組織体系は、階層数に制限なし。
*5 Crystal Reports 、Hyperionなどの製品の導入が別途必要。
*6 業務プロセス・フロー、テスト手続きの内容作成は、ツール範囲外。その成果物(電子文書またはURLリンク)を保存。
*7 米国の情報システムコントロール協会(ISACA)が提唱するITガバナンスの成熟度を測るフレームワーク。
IBM Workplace for Business Controls & Reportingに関する製品情報は、http://www.ibm.com/jp/software/lotus/products/lwbcr25をご覧ください。
本事例は特定のお客様での事例であり、すべてのお客様について同様の効果を実現することが可能なわけではありません。
本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
IBM, IBMロゴは、International Business Machines Corporationの米国およびその他の国における商標。
Adobe, Adobeロゴは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
