可視化と分析で監査を支援
もう一つの評価・監査機能は,経営者や内部監査人,外部監査人に対し,内部統制の整備・運用状況を調査・判断するための情報を提供するものだ。
その代表例は,内部統制の整備・運用状況をグラフなどで分かりやすく見せる可視化機能である。例えば,テスト結果を業務フロー図上で「赤・黄・青」で色分けする。この場合,赤は,「内部統制が不備」と判断されたことを示す。該当個所をクリックすると,テスト時に不備と判断された理由などを閲覧できる。
内部統制の整備・運用にかかわるデータを分析する機能も,評価・監査機能の一例だ。監査人向けに,ツールに蓄積した情報を分析するための専用画面を用意している。これを使って監査人は,「財務報告に重大な影響を与える業務に不備があるか」,「不備があった場合の影響度合いはどの程度か」などを,業務プロセスやリスクの種類などの切り口から分析できる。
データ登録が二度手間になる恐れも
サーバー版の全体的な傾向として,あるコンサルタントは,「海外製品は評価・監査機能が豊富。国産製品は使いやすさに重点を置いている」と話す。「米国では社内に監査の専門家を抱える企業の割合が高く,監査の専門家が便利と思える機能を重視している。だが,日本では上場企業でさえ専門の監査人を置くケースは少ない。現場の担当者が利用しやすいことが大切だ」(同)。
サーバー版を選ぶ際に忘れてはならないのは,「データ登録の手間がどの程度かかるか」である。多くの場合,製品の仕様に合わせてデータを入力しなければならない。デスクトップ版と同様,すでにRCMを作成している場合に,同じデータを再度ツールに入力する必要が生じる可能性がある。
デスクトップ版が付属する製品の場合は,デスクトップ版で作成した文書をサーバー版に取り込めるので,新たにデータを登録する必要はない。Excel形式のRCMからデータを取り込む移行ツールを用意している製品もある。
事前にRCMのひな型(テンプレート)を用意し,これを自社の内部統制の整備状況に合わせて変更したり必要な情報を加えることでデータを登録していく方式を採る製品もある。すでにRCMを自社で作成済みの企業は,その資産を生かせる機能を持つかどうかも,製品を選択するポイントの一つになる。
選択時は監査人の意見が必須
文書化ツールとしてデスクトップ版,サーバー版のいずれを選択する場合も,J-SOX対応の2年目以降に,どのような作業が発生するか,誰がツールを利用するか,などの具体的なイメージをつかんだ上で選ぶべきである。
文書作成が中心になる日本版SOX法対応の1年目では,文書化を現場の担当者が進めることが多い。しかし,2年目以降は,評価・監査作業が中心になるので,文書化の担当は主に内部監査部門になる。文書作成を優先してツールを選択すると,2年目以降に必要な機能が足りなくなる恐れもある。
ツールを選ぶ際に,外部監査人に意見を聞くことも忘れてはならない。外部監査を実施する監査法人は,大手であればそのほとんどが独自の業務フロー図やRCMのひな型を用意している。このため,「監査法人のひな型に合わせてツールの表示項目を変更できるか」,「ツールで作成した文書や,ツールの持つ監査機能を外部監査人が利用するか」などの確認が欠かせない。
文書化ツールは,長年利用することを前提に選ぶべきである。業務パッケージを選ぶ場合と同様に,製品ベンダーが長期間にわたってその製品をサポートするのか,保守内容はどのようなものかといった点の調査も必要になる。
