RCMは何種類作るのか？――手続きと実態の両面から考える：Tips of SOX（2/2 ページ）

RCM（Risk Control Matrix）の作成は、膨大なエネルギーを要する。各部署からの情報も少ない段階であっても、変更を予測しながら、作業を進めていき、業務の手続き上の問題とその実態の両方の側面から統一を図っていくのがベストだ。

[平安彦，ITmedia]

誰が作成し維持するのか？

　作成していくRCMは誰が作成し、維持していくのかという問いについて、教科書的にはPO（Process Owner）が文書の作成と維持を行うことになっています。確かに目的に照らし合わせればそうあるべきです。しかし必ずしもそれが合理的でない場合もあります。RCMには事実が書かれるべきですが、どのようにして事実を記述すべきかは判断が分かれます。例えば巨大な組織で膨大なシステムを抱えている場合、それぞれの異なる担当者に文書化をお願いするとしましょう。

　恐らくSOXの目的や手続き、RCMのリスクの本意するところ、文書化の方法論など、これらについてまずは教育する必要があるでしょう。結果文書化の期日になって集まってきた文書を見るとがく然とするかもしれません。リスクの捉え方の間違い、同じコントロールなのに異なる表現、コントロールとは呼べないような補完業務の無駄な記述。しかしこれは仕方のないことです。他システムのRCMも含めてチェックできる立場でないとこれらの事象は知りえないからです。

　この混乱した状況から事実確認のヒアリングを行うと、結果として意味している業務はシステムが異なってもそれほど違いのない業務だったりします。本来的な意味からPOが行うべきということも正論ですが、システム間の調整のためには事務局的な立場の存在が欠かせません。また初期にはこの目的から文書化プロジェクトが別途用意されることも多いでしょう。このような調整を行わずに各担当者が文書化を行うと、文書を一見した外部からは、記述の内容以前の問題として、このバラバラな状況自体を問題視されるかもしれません。

　では次回はRCM作成の検討すべきポイントの続きとして、「異なる名称で呼ばれるシステムは本当に違うシステムなのか？」「維持にかかる工数を勘案するとどのような構成にすべきか？」「RCMの構成は実際の統制に影響を及ぼすか？ 」といったことについて述べていきたいと思います。

プロフィール

たいら・やすひこ　大手コンサルティング会社、ITベンダー勤務を経て、独立。米国および日本企業のSOX対応プロジェクトに参画。現在、ITコンサルティング会社「ビジネスアクセル」代表。