ERPには、監査向けの帳票出力機能やデータ変更履歴の保持機能を備えている。これらの活用方法を検討するとともに、“運用後”を見据えたアプリケーション選定について解説する。
IBM ビジネスコンサルティング サービス
ERPは、各社での会計監査やシステム監査への対応ということで、監査人向けの帳票出力や、監査のためにデータ変更履歴がシステム的に保持される機能を持っています。もともとは、監査人向けの機能ということで、通常のERP導入プロジェクトで、監査機能が検討課題として扱われる例は少ないため、ERPのユーザーでもご存知ない方が多いかと思われます。図9は独SAP社の「AIS(監査情報システム)」という機能の例です。
図9●ERPで準備されているコントロール帳票をベースに検討:SAP社 AIS |
この中には、ユーザー権限や職務分離のチェック、マスターの変更履歴情報の照会や伝票の変更ログ照会、各種サンプルチェック用帳票といった日本版SOX法への対応で活用できる帳票が多く含まれています。これらは主として、リスクに対するコントロールの実施状況に対するテスト・評価ツールとして有効だといえますが、あくまでリアルタイムでのチェックではなく、一定期間を経てのチェックとなります。
また、例えば職務分離といったチェックについても組織変更時のシミュレーションができないため、基本的に手作業でのチェックが必要になってくることに注意する必要があります。つまり、事前にチェックしてしまう予防的管理というよりも帳票ベースで異常値を発見するといった事後の発見的な管理が主になってくるといえます。
ツールをベースに検討
前項で述べた予防的管理という点で、ERPに対してリアルタイムでの監査対応ツールが各社から出ています(図10)。ERPは業務およびデータが統合されており、ツールでの対応が容易であるためです。ここでは、独SAP社の「コンプライアンス・キャリブレーター」を例にとって説明します。
図10●予防的管理へ(ツールをベースに検討):SAP社 Compliance Calibrator [画像のクリックで拡大表示] |
このツールは、リアルタイムでの監視を目指しており、主として、重要トランクションの監視(職務分離、セキュリティー、シミュレーションを含む)、コンフィグレーション変更の監視、入力監視(例えば、入力時にユーザーが扱える金額上限チェックなど)といった機能を提供しています。
これらのツールは、リアルタイムでの監視機能を主としていることに最大の特徴があります。例えば、職務分離についても、組織変更の際には、事前に職務分離違反がないかをチェックルールを基にチェックするといった予防的管理を可能します。
また、ERPそのものがSOA(サービス指向アーキテクチャー)化していることと相まって、ツール機能の提供範囲が単独のERP内での閉じた機能ではなく、複数のERP間もしくはレガシーシステム間でも同様のチェック機能を提供すべく機能拡張が行われております。
米国ではSOX法対応についてのシステム自動化の流れの中で、こういった予防的管理を可能にするツールの適用が進んでいます。
運用後の有効性確保を見据えたアプリケーション選定
運用後の有効性評価テストの負荷軽減やコントロールの自動化などを見据え、ERPが持つ機能を最大限生かすことを前提にアプリケーションを選定する必要があります。
ツールの種類
(1)まず、文書化への対応ということで、文書作成やフロー作成のためのツール(ワード、エクセル、ビジオなど)の利用。
(2)次に、テスト・評価を含めた実行サイクルを支援(テスト依頼やテスト進ちょくの管理)するツールの利用(SAP社のMICや米オラクル社のICMが代表例)。
(3)コントロール・テストの効率化を支援する自動化推進ツールの利用(今回紹介した、SAP社AISやコンプライアンス・キャリブレーターが代表例)。
(4)SOX法対応だけでなく、バーゼル!)、HIPAA、REACHといった新しい規制に対しての対応したツールの利用。
ERPという観点では、これらのテスト・評価の支援ツールだけでなく、リアルタイム・モニタリングやコントロール・テストの効率化のための自動化推進ツールの提供、さらに今後の新しい法規制への対応もベンダー提供の追加プログラムで対処できます。ERPは、将来的にはさらに進んで自律運用を視野に入れた、プロセス・コントロールの管理やダッシュボードでのリスク管理状況のリアルタイム提供へと機能拡張されていきます。
今後の方向性――さらなる自動化を目指して
運用後の有効性確保を見据えた今後の流れとしては、より一層のテスト・評価の自動化やリアルタイムでの監視、より予防的なアプローチへの対応、複数の環境での一貫したモニタリング・評価環境の提供といったことが促進されると見込まれています。日常プロセスに組み込まれた内部統制システムをベースにした自律管理が可能になります(図11)。
図11●今後の可能性――更なる自動化を目指して [画像のクリックで拡大表示] |
(1)コントロールプロセスの効率性と効果の最大化
コントロールプロセスについては、リアルタイムでのモニタリングが可能になります。
・重要データの重点的モニタリングとアクセス・コントロール・チェックの実施。
・ワークフローの活用と監査証跡。
(2)コントロールのテストの自動化の推進
コントロール・テストを随時リアルタイムで実施することにより、労力の削減とリアルタイム性から時間的制約を低めます。
・例外処理のモニタリングとレポーティング。
・ERP本来のコントロールを意識したシステム・セッティングとコントロール。
・帳票を活用することによる手作業のテストの自動化。
・広範囲な職務分離管理(複数のERP間、レガシーシステム間など)。
(3)複数のERPもしくはアプリケーションをまたいだコントロールの確立とテストの自動化
・ERPのSOA化により、異なるベンダーのERP間のみならず、レガシーシステム間でもビジネスプロセスの統合が可能になってきている。こういった複数のパッケージ環境であっても、例えば、職務分離といったコントロールのテストの自動化を推進することが可能になる。
・これまでの物流・会計のモジュールだけではなく、例えば、SCM(サプライチェーン・マネジメント)やCRM(カスタマー・リレーションシップ・マネジメント)といった拡張モジュールについてもベースモジュールと同様のレベルで内部プロセスの透明化が進み、コントロールの確立とテストの自動化が支援される。
(4)予防的な対応の推進
・組織変更時の職務分離シミュレーション。
・ユーザーのロール管理とリアルタイム・モニタリング。
・スーパーユーザーのアクセス・コントロール管理とリアルタイム・モニタリング。
まとめ
日本版SOX法への対応を考えた場合、ERPの活用によって業務処理統制を強化できます。その場合でも、リスクとコントロールの観点では、IT業務処理統制だけをERPの機能と結びつけるのではなく、まず業務統制から導かれる、ITで統制すべき要件を洗い出し、ERPの機能で対応可能かどうかを検討すべきです。
ERPをただ導入しただけでは日本版SOX法への対応が完了するわけではありません。たとえ、ERPを標準で導入しても、例えば受注なしの出荷機能やワンタイム取引先による処理をした場合には、統制上のリスクが発生する可能性があるので、別途承認プロセスなどのコントロールを考える必要があります。
SOX法への対応を含めたコンプライアンスへの対応という点では、ERPの特徴は、予防的な対応と自律化の推進にあります。将来的にはコントロールが日常業務に組み込まれて、自律的に運用される形に近づいていくと思われます。
|