業務処理間の自動連携や、情報の高度な整合性が確保されているERPパッケージは、SOX法対応という観点でも注目されている。ERPのさまざまな内部統制機能を紹介する。
IBM ビジネスコンサルティング サービス
ERPパッケージは、複数の業務(販売管理、購買・在庫管理、生産管理、会計管理、経営情報管理など)が同一の設計思想の下で稼働するシステムです。データベースの統合による情報の統一化を通じて、業務処理間の自動連携や情報の高度な整合性が確保されている点が大きな特徴です。
ERPパッケージが持つ内部統制機能
ERPは、企業もしくは企業グループ全体の業務や情報を統合することによって、全社ベースでの経営資源の最適化を図ることを目的としています。特に、海外に拠点の多い企業では、海外の法規や商習慣、多言語・多通貨対応の機能が組み込まれたERPパッケージを活用する例が多く見られます。最近では、米国のSOX法の影響で、ERPの持つ内部統制機能が注目されるようになりました。それでは、ERPの持っている内部統制機能には、どのようなものがあるのか、見ていきましょう。
これには、(1)ERPそのものの機能として提供されている機能、(2)個々の企業のニーズに基づいてERPの設定を行うことによって提供される機能、(3)ERPが持っている監査対応機能として提供されている機能、(4)ERPを前提とした内部統制管理ツールによって提供されている機能――に大別されます(図5)。
 |
図5●ERPパッケージが持つ内部統制機能 [画像のクリックで拡大表示] |
(1)ERPそのものの機能として提供されている機能
これらの機能はもともと、統合業務パッケージとして提供されている機能であり、特にカスタマイズ(パッケージの機能設定)を実施しなくても、有効に活用できる機能です。具体例は、次のような機能です。
・統合パッケージとして、複数の業務間のデータの整合性がとられている。
・統合マスターファイル、統合業務データベースによる、情報の整合性が保障されている。
・ERP内の伝票はモジュール内およびモジュール間で関連付けられ、データの処理漏れや重複処理を防いでいる。
・セキュリティーファイルの統合による強力なアクセス管理。
・強力な入力時データチェック機能。
(2)個々の企業のニーズに基づいてERPの設定を行うことによって提供される機能
これらの機能は、個々の企業のIT業務処理統制上のニーズに基づいて、カスタマイズを実施することによって提供される機能になります。次のような機能が、この一例です。
・ワークフローの設定(承認階層や承認者の設定)。
・アクセス・コントロールの設定(情報を照会できるユーザーや処理を実施できるユーザー権限の設定)。
・与信限度額の設定(個々の企業ごとの与信管理ルールにのっとった与信限度額の設定)。
・取引許容範囲の設定(ユーザーごとの取引可能な許容金額についての設定)。
(3)ERPが持っている監査対応機能として提供されている機能
各国の監査要件に対応したツールや帳票といったものが準備されています。例えば、職務分離についても帳票が用意され、コントロール状況のチェックに使用できます。また、マスターやトランザクションデータの更新履歴が保存されているため、事後のチェックに活用することが可能です。
(4)ERPを前提とした内部統制管理ツールによって提供されている機能
データが正規化・統合化されているため、ERPを前提とした追加パッケージの導入が可能となっています。例えば、職務分離をトランザクションごとにシナリオとして登録し、そのシナリオに沿ってシミュレーションを実施する一方、リアルタイムで異常値を検知するツールや、重要データに対するリアルタイムでのアクセス管理の機能を提供するといったツールが提供されています。
また、ERPパッケージは全世界で多くのユーザーに使用されていることから、標準で提供されている機能に関しては信頼性という観点でも完成度は高いと考えられます。
IT業務統制のコントロール目標への適合内容例
ERPの機能をIT業務処理統制上の重要なITコントロール目標である(1)正確性、(2)正当性、(3)網羅性、(4)維持継続性の観点で概観してみきましょう(図6)。
 |
図6●ERPのIT業務統制のコントロール目標への適合内容 [画像のクリックで拡大表示] |
正確性については、ERPの特色である業務の統合性と情報の統一化といった設計思想を最大限活用できます。具体的には、情報入力時のマスターチェックや、範囲チェック並びに与信限度額チェックといった業務上の統制に至るまで、各種機能を組み込むことが可能になります。
正当性については、承認や職務分離への対応が必要になります。承認に関しては、ERPにはワークフロー機能が準備されていますし、職務分離に対応したユーザー権限を付与することも可能です。ただ、設定自身はユーザーが実施することになり、かつERPはユーザーが設定したマスターに従って動くだけなので、日本版SOX法へ対応できているか否かは、後述の監査対応機能やERPを前提とした内部統制管理ツールを活用した検証が必要になります。
網羅性については、ERP内の伝票は購買や販売といったデータ発生時の伝票から財務会計の伝票までシステム的に関連付けられ、処理漏れや重複処理が発生することを防いでいます。したがって、網羅性に関しては、基本的に保証されていると考えられます。維持継続性についても、統合マスターファイルや統合データベースによる情報の整合性がシステム的に保証されているといえます。
以下では、ERPパッケージを前提にITコントロール目標ごとに、IT業務処理機能と手作業による統制について具体的に見ていきます。
(1)正確性
・ERPによるIT業務処理統制――伝票転記時のバランスチェック、入力項目の未入力チェック、入力データ項目の有効性チェック、データ簡易入力機能、取引許容範囲の設定、与信限度の設定、整合性維持・監査証跡保持、事前定義された勘定科目による自動仕訳。
・手作業による統制――プルーフリストによる入力データのチェック、例外リストのチェック、業務責任者による出力帳票の定期的チェック、各種マスター情報のチェックと定期的保守。
(2)正当性
・ERPによるIT業務処理統制――処理の承認/実行権限、マスターデータ照会/変更権限機能、伝票照会/変更権限管理、ワークフロー機能、出力ファイルやレポートが適切に配布される機能。
・手作業による統制――職務分離確認リストのチェック、マスターやトランザクションへのアクセスリストのチェック、ワンタイム取引先(一時取引先のことで、マスターなしで処理ができる)のチェック、途中のプロセス(例えば販売処理における出荷からスタートしている取引)のチェック。
(3)網羅性
・ERPによるIT業務処理統制――データの連番管理、基幹業務システム間のリアルタイム連携機能。
・手作業による統制――予算と実績値の差異のチェック。
(4)維持継続性
・ERPによるIT業務処理統制――マスター間の整合性の自動チェック、基幹業務システムをまたいだデータのドリルダウン機能。
・手作業による統制――各種マスター項目の見直し(与信限度額見直しなど
ERP導入の状況と統制機能見直しのポイント
米国においてもSOX法へ対応するために、当時導入していたERPを内部統制の観点から見直すという動きが広がりました。当時はSOX法対応までの期間が短く、かつERPに対する内部統制対応方法が明確になっていなかった状況でした。今年度は、いくつかのERPユーザー企業からSOX対応一年目の反省点や対応のポイントが発表されています。これらは、日本版SOX法に対応する際にも学ぶべき点があるので、いくつかを簡単にご紹介します。
ERPの設定の多くは、ビジネスニーズから来ており、必ずしもコントロールニーズを重視していない例が多かった。
・従来のシステム構築において、コントロールを重視した機能が組み込まれていることは必ずしも多くなく、同じ考え方でERPを導入してしまった。
・ERPの設定についても、ビジネスニーズでの設定を前提としており、コントロール面での機能については必ずしも活用されていなかった。
・アクセス・コントロール面でも職務分離といったことやマスターやトランザクションデータのフィールドレベルまでのアクセスコントロールまで厳しく管理し切れていなかった。
帳票は、業務上の必須帳票に限定されており、コントロールに必要な帳票までは検討されていない例が多かった。
・帳票についても、ビジネスニーズでのERPのセッティングが中心となっており、コントロールを意識した帳票の検討まで手が回らなかった。
・重要なデータについてのアクセスリストやバイオレーションリストなど、コントロール関連の帳票が活用されていなかった。
統制のテスト・評価についても、手作業が多く、決算期間内での終了のためには多大な工数がかかることとなった。
・ERPシステムの機能を活用するのではなく、帳票の確認・照合などの手作業が多くなってしまった。
・外部監査人に要請される監査証跡がERPシステムからタイムリーに出せるように設定もしくは検討されていなかったため、監査期間の長期化につながり、決算期間内での完了が困難になってしまった。
以上の反省点に立って、まずはERPの統制機能を有効に活用すべく、これまで深く検討していなかったコントロールの観点、例えば適切なアクセス管理の徹底や、与信管理やユーザーごとの取引許容範囲の設定といった統制機能の活用、監査関連の帳票類の活用といった視点で、ERPの機能を有効に生かすような使い方を志向してきています。
(次回へ)
|
