出来の良いRCMの持つ2つの側面：Tips of SOX（2/2 ページ）

システムが不変ではない以上、SOX対応における文書も更新していく必要がある。RCMの記述でも、更新作業で記載漏れなどが起こらない手立てを考えていく必要がある。

[平安彦，ITmedia]

RCM作成の維持継続コスト

　SOX対応の初期においては文書化の工数を考えながらRCMの構成も考えることになります。ここで忘れられがちなのが後々の維持にかかる工数でありコストです。RCMは毎年実態を反映するために更新が必要かどうかのチェックを行い、必要があれば更新を行っていきます。これは文書化という行為には終了がないことを意味します。そもそも1つのシステムにおいて統制が完全だったとしても、そのシステムの耐用年数はどれくらいでしょうか。

　システムが変われば文書は見直されなくてはなりません。文書の修正が必要なのは統制が改善された場合であってもそうなのです。よくSOX対応開始にあたって初期文書化の費用を予算化し外部に発注する場面が見受けられますが、継続的費用に関して言及されることが少ないように感じています。システムの耐用年数を勘案すればある程度の費用の予兆を感じることができます。このように計画的に対応することも必要ですが、もう一方で維持コストを少なくするための工夫も必要でしょう。

　SOXに限った話ではありませんが、同じことを複数の箇所で記述していると、該当箇所に修正が行われる場合には複数個所の修正が必要になります。また修正の前にまず同じ該当箇所があることをまずは調べなければなりません。

RCMの構成は実際の統制に影響を及ぼすか？

　ここまで述べてきた中にもあったように、RCMをどのように構成し、どのように維持するのかによっては、最悪の場合には実際の統制に悪影響を及ぼす可能性もあります。例えばシステムごとのRCMを採用している場合において、実業務の何らかの過程で手続きの改善を行いたい事象が発生したとします。単一のシステムのみの統制である場合には必要な手続きの「改善」を担当者は行うでしょう。しかしどうせ改善するのであれば、本来は他のシステムの状況も勘案し、統一した手続きにできるかどうかを検討する方が望ましい。ただし個別システム単位でRCMを保持していると、統一した手続きにする機会が奪われる可能性が非常に高い。そもそも類似した統制が他システムにもあることを担当者は意識することもないでしょう。

　では逆にRCMを全体で1つにすれば安心でしょうか？ この場合には実際には手続きの変更を行いたい場合、各担当者はまず他の担当者が作業をしていないことを確認し、すばやく修正を行いファイルを元ある場所に戻す必要があります。当然この間に他の担当者が修正のためにコピーを行い、同様に戻した場合には、前の修正者の作業はなかったことになってしまいます。ですから、一般のシステムと同様、排他制御をこの文書にかけないと一貫性を保つことができないわけです。

　しかし排他制御を行うということは、必要な人がタイムリーに修正できないことを意味します。結果として修正が漏れたり、版が不完全だったという現象が発生するリスクを勘案していなければなりません。

　最後に総括させていただくと、良いと思われるRCMには2つの相反する側面があるように感じています。それは統制を表す文書の維持のしやすい文書と、一覧性がありチェックする立場から見た場合の見やすい文書です。前者は相違部分の細分化を進めるでしょうし、後者は相違も含めて1つにまとめようとするでしょう。SOXの目的から考えると差異のない1つの文書を目指すべきですが、現実に流動的なシステムの世界にあって変わらないものはなく、統一を図るタイミングは見極め難いのが現実です。従って、変わることを前提とするのであれば、統制（を記述した文書）はオーナーの手元にあるべきだと考えます。

プロフィール

たいら・やすひこ　大手コンサルティング会社、ITベンダー勤務を経て、独立。米国および日本企業のSOX対応プロジェクトに参画。現在、ITコンサルティング会社「ビジネスアクセル」代表。