PR

デスクトップ版: 自動生成で文書作成を効率化

 文書作成を支援するデスクトップ版から見ていこう。その多くが,「業務フロー図を記述し,リスクやコントロールなどの関連情報を入力。その結果からRCMや業務記述書を自動生成する」という流れをとる。

業務フロー図からRCMを自動作成

 業務フロー図を作る際には,(1)担当部署,(2)プロセスを構成する個々の業務内容,(3)業務の流れ,(4)業務で利用するシステムの処理内容などを,流れ図を描く要領で記述していく。決算処理プロセスで,「『残高の修正』の次に『会計伝票の発行』を実行し,会計システムに『決算修正依頼を登録する』」といった具合だ。

 次に,業務フロー図の各プロセスや処理に対して,発生する可能性のあるリスクとそれに対するコントロールを書き込む。例えば,「仕入先登録」業務の「不適切な入金取引口座が設定される」リスクに対し,「入力権限を持つ管理者のみが操作する」コントロールを記述する。

 このほか,リスクの発生頻度や重要性,コントロールの種類(予防的か発見的か,人手か自動化など)を定義していく。文書化ツールはこれらの情報を利用して,RCMや業務記述書を生成する。

 この文書作成機能を使う場合,業務フロー図を作ればRCMや業務記述書を作る手間が省ける。加えて,内部統制に不備があったり業務に変更が生じた場合,業務フロー図を修正するとその結果がRCMなどに反映される。この機能で,変更によるミスを防ぎ,文書の一貫性を維持できる。

 ただし,デスクトップ版を導入する前にRCMを作成していた企業は,作成済みのRCMを,ツールを利用して作り直す必要がある。多くのツールではこうした企業への支援策として,作成済みのRCMからリスクやコントロールといった情報を読み込み,業務フロー図の作成に生かせるようにしている。

サーバー版: 文書管理と監査支援に役立つ

 サーバー版に話を移そう。日本版SOX法対応には,プロジェクト・チームのメンバーはもちろん,経営者,内部監査人,外部監査人など多くのステークホルダー(利害関係者)がかかわる。文書そのものに加えて,文書を構成する業務プロセス,関連するリスクやコントロール,テスト結果といった,日本版SOX法対応に必要な情報を一元管理し,ステークホルダーごとに必要な情報を提供するのが,サーバー版の狙いである(図3)。

図1●「文書化プロジェクト」の例
図3●サーバー版文書化ツールが一元管理する情報を,プロジェクト関係者がそれぞれの用途で利用する
[画像のクリックで拡大表示]

 その機能は大きく2種類ある。まず,作成した文書を管理する機能。もう一つは,文書を基に内部統制の整備・運用状況のテストや,経営者による評価,内部・外部監査を支援する機能である。サーバー版は,これら両方の機能を兼ね備えていることが多い。

 前者の文書管理機能では,作成後の文書だけでなく,作成中の文書も対象とする。このためサーバー版の多くは,文書化プロジェクトの進捗管理を支援するワークフロー機能も提供する。

 例えば,現場の担当者ごとに作業を割り振る,担当者が作成・登録した文書の整合性や間違いを上司がチェックする,承認したらプロジェクト・チームに提出する,といった一連の作業を進めることができる。「整備状況のテストがどのプロセスまで進んだか」,「計画と実績のズレはどの程度か」などを一覧表示する機能もある。

 当然,完成後の文書を一元管理する機能も備える。例えば,職務規定集など必要な文書を業務フロー図やRCM,業務記述書と関連付けて管理するといった具合だ。RCMの横に,関連文書へのリンクを表示し,そこをクリックすると参照できる。