ERPを利用したIT業務処理統制を見直す場合、その切り口は四つある。それらを具体的に説明するとともに、見直しから導かれるコントロール要件とERP追加設定の検討について解説する。
IBM ビジネスコンサルティング サービス
ERPによるIT業務処理統制を見直すにあたっての切り口として、(1)業務統制の見直しから導かれるコントロール要件の検討、(2)ERPの追加設定の検討、(3)ERPで準備されている監査機能をベースに検討、(4)内部統制支援ツールをベースに検討――の四つがあります(図7)。
図7●ERP導入でのIT業務処理統制を見直すための切り口と進め方 [画像のクリックで拡大表示] |
(1)業務統制の見直しから導かれるコントロール要件の検討
業務統制を見直すことによって、新たに検討すべきリスク、およびリスクに対応するためのコントロールを洗い出します。洗い出されるコントロールの中には、手作業のコントロールやITで対応すべきコントロールが含まれています。ここではITで対応すべきコントロールを定義し、ERPの設定で対応可能かどうかを検討します。
(2)ERPの追加設定の検討
ITで対応すべきコントロールが洗い出されたところで、ERPによって対応が可能かについての検討を行ないます。ERPへの対応を検討するに当たって、コンフィグレーション・コントロール、トランザクション・コントロール、マスターデータ・コントロール、アクセス・コントロールの四つの実装領域を軸に検討することになります。
<A> コンフィグレーション・コントロール
ビジネス・トランザクションを内部統制の要件を満たしつつ実行させるためのERPの基本設定を指します。これを設定することによって、ERPでの機能が使用可能になります。以下のような設定が、その例です。
・与信管理処理/取引許容処理の使用可否設定
・請求書、支払い処理におけるリリース処理の使用の可否設定/ワークフロー機能を使用可否設定
・伝票タイプ設定、転記コード設定
<B> トランザクション・コントロール
ビジネスデータの整合性を確保しながら効果的なプロセス・コントロールを支援する機能で、各社の状況によって設定する項目となります。以下のような設定が、その例です。
・画面のレイアウトと入力項目表示
・データ入力チェック(レンジチェックなど)
・取引許容範囲金額設定
・勘定科目決定ロジック/価格決定ロジック設定
・伝票変更ルール、転記時チェック・ルールの設定
<C> マスターデータ・コントロール
マスターデータの整合性を確保を目的としたコントロール機能導入のための設定です。以下のような設定が、その例です。
・勘定科目/仕入れ先/得意先コードの必須登録フィールド設定
・カレンダーの期間コントロール
・得意先の与信限度額設定
・仕入れ先/得意先の取引条件の設定
<D> アクセス・コントロール
権限のあるユーザーのみが承認された業務処理を行えるようなコントロールです。以下のような機能が、その例です。
・職務分離のコントロール
・重要なトランザクション・データもしくはマスターデータに関するアクセス制限の付与
・トランザクションの実行権限やユーザー別メニューによるアクセス管理
(3)ERPで準備されている監査機能をベースに検討
ERPが持っている監査機能などを活用することによって、内部統制がコントロールされていることを証明するためのテストや評価のための帳票を明確にします。
(4)内部統制支援ツールをベースに検討
ツールを活用し、組織変更の際に新組織での担当者ごとに職務分離に矛盾がないかどうかを事前にシミュレーションするといった予防的管理機能を活用することで統制のレベルを上げられます。
・リアルタイムで例外やバイオレーションを検知する
・広範な職務分離機能と重要データのアクセス分離
ERPパッケージが持つ内部統制機能
それでは与信管理業務を例に取って、内部統制見直しを実施し、どのようにIT業務処理統制要件が導かれてくるのかについて概観してみましょう(図8)。
図8●業務統制の見直しから導かれるコントロール例:与信管理プロセス [画像のクリックで拡大表示] |
与信管理は得意先から注文を受けるにあたって、相手の信用力を評価し、取引を行うのかどうかを判断する業務になります。与信管理での業務を実施するうえでのリスク項目としては例えば、架空の取引先の登録、不適切な与信限度額の設定、入力ミスの発生、得意先情報の改ざん――といったリスクが考えられます。
これらのリスクに対する業務統制としては、以下ようなコントロール方法が考えられます。
(コントロール1) 新規取引先との販売契約や受注の承認規定が整理されている。
(コントロール2) 社外の信用調査情報の入手と確認。
(コントロール3) 営業部門とは異なる審査部門が審査を実施する。
(コントロール4) 上長による登録内容の確認と承認。
(コントロール5) 与信情報については、審査部門のみが登録・更新が可能。
(コントロール6) 審査部門が定期的に得意先の状況と与信枠を見直す。
(コントロール7) 得意先マスターは与信審査中は受注処理ができないようにする。
それぞれのコントロールについて、ERPの統制機能の活用可能性について検討をしてみます。
(コントロール1) これは承認規定の整備になるので、手作業での統制の範ちゅうだと考えられます。
(コントロール2) 社外の格付会社とのデータ交換で対応することも考えられますが、手作業で入手したデータを基に、審査部門担当者が判断することで、今回は手作業での統制の範ちゅうと考えられます。
(コントロール3) 職務分離がコントロール・ポイントになるので、ERPのアクセス・コントロール機能を活用します。
(コントロール4) 承認プロセスがコントロール・ポイントになるので、ERPのワークフロー機能を活用します。
(コントロール5) マスターのアクセス権限がコントロール・ポイントになるので、ERPのアクセス・コントロール機能を活用します
(コントロール6) 売掛債権の状況、債権回収の遅延発生の有無について、審査部門がERPの帳票やドリルダウン機能を活用してチェックします。
(コントロール7) ERPの持つ出荷停止フラグや請求停止フラグといったマスターデータ・コントロール機能により、与信審査中の受注処理などはできない仕組みとします。
次に、今回の与信管理業務において洗い出されたコントロールについて、ERPの追加設定を検討します。
<A> コンフィグレーション・コントロール
・すべての受注に対して、与信残高の管理ができる設定となっていること。
・与信管理単位の設定がされていること。
・ワークフローの機能を使用可能にすること。
<B> アクセス・コントロール(コントロール3・4・5・6に対応)
・特定のマスターのフィールドの更新に対して、特定の担当者のみの更新を許可するといった設定を行う。
・マスターデータ管理は、少数の権限を持った担当者に限らせ、かつ発注担当者と権限を分ける。
・ワークフローによる承認規定にのっとったプロセスの確立。
・与信審査担当者用に債権回収の状況をモニターする帳票を提供する。
<C> マスターデータ・コントロール
・顧客ごとの取引条件の設定がされていること。
・適切な与信管理単位に結び付けられていること
<D> トランザクション・コントロール(コントロール7に対応)
・与信担当者のみが更新できるように受注処理の中で、出荷停止フラグや請求停止フラグがついていること。
ここまでで、ERPを含めた初期設定は完了することになります。しかし実際には、例えば、職務権限分離の設定が運用後も守られているのか、また、アクセス・コントロールや承認プロセスは当初の規定通りに運用されているのかを定期的にテスト・評価する必要があります。
これらは、監査対応と重なる部分も多く、そういった意味でERPが標準機能として持っている監査機能および監査レポート機能を有効に活用することで、テスト・評価の効率を上げられます。
また、こういった監査レポートなどによる事後のチェックのみならず、予防的な観点からのツールも準備されています。例えば、職務分離について、人事異動や組織変更があった場合に、事前にシミュレーションを行い、規定通りに設定されているかの確認をとることや、リアルタイムで権限エラーやアクセス違反をモニタリングする機能が該当します。こういったツールはERPのマスターやデータの統合性といった特徴を生かしていることはいうまでもありません。
(次回へ)
|