内部統制の転職・求人ガイド > IT統制 > ERPは内部統制の強化と業務効率の向上を実現します

ERPは内部統制の強化と業務効率の向上を実現します

企業が内部統制を確立する目的は、「業務の有効性及び効率性」を高め、さらに不正やミスの発生を抑えて「財務報告の信頼性」「法令等の遵守」および「資産の保全」を確保することにあります。しかし内部統制の強化は、業務上の確認・承認作業の増大につながり、業務効率が低下してしまう可能性もあります。

理想のITツール

したがって企業は、内部統制強化と業務効率向上の両立を図る仕組みを構築することが求められます。その解決手段となるのがITツールであり、特に内部統制に有効として脚光を浴びているのが、基幹業務の統合パッケージである「ERP」と呼ばれるソフトウェアです。

ERPの特徴は、財務会計機能を中心として、販売管理、購買管理、在庫管理、生産管理、人事管理などのモジュールから、財務報告に直接影響するデータを自動的に収集し、一元管理できることです。そのため、「マニュアルによる中間業務の介在をなくすことができる」、「不正や改竄などのリスクを回避することができる」、「組織改変や人事異動による権限・職務の変更なども容易に実現できる」など、内部統制管理を実現するための基盤となります。

IT統制には、インフラに関わる「IT全般統制」と業務プロセスに関わる「IT業務処理統制」の二つがあります。ERPは、パッケージシステムとして標準化されたインフラの上に開発されたアプリケーションであるため、IT全般統制とIT業務処理統制の整備・運用に有効な機能を兼ね備えています。

内部統制におけるIT統制の要件と、ERPソフトの機能の対応例

ERPソフトは本来、内部統制を目的として開発されたものではありませんが、企業内で財務報告書を作成する機能を有しているほか、ERPソフトを活用することで財務会計や販売管理、人事や生産の管理といった基幹業務アプリケーションの統合化や業務プロセスの標準化を行なうこともできます。

したがってERPソフトは、内部統制の整備にも大きな効果を発揮することができるといえます。ERPソフトは、以下のように内部統制で求められる「IT業務処理統制」「IT全般統制」などの要件に対応できる機能があるため、ERPソフトの活用は内部統制管理の実現には有利となります。

IT業務処理統制における要件例 ERPソフトが備えている機能
情報の完全性や正確性、正当性を確保する統制 データ入力処理の完全性、整合性を確保するためのコントロール
例外処理(エラー)の修正と再処理 例外処理の報告情報の提供、システム利用者登録管理と操作範囲の限定による職務の分離
マスターデータの維持管理、システムの利用に関する認証や操作範囲の限定などのアクセス管理 マスターデータへの登録・変更のアクセス権のコントロール、システム利用者登録管理と操作範囲の限定による職務の分離
IT全般統制における要件例 ERPソフトが備えている機能
内外からのアクセス管理などの安全性の確保 システム利用者の登録管理と操作範囲の限定による職務の分離
システムの開発や保守にかかわる管理、外部委託に関する契約の管理 システム開発の手続きなどを中心としたコントロール
システムの運用・管理 稼働環境に関する履歴管理など監査、モニタリングの向上

ERP導入のメリットとデメリット

ERPは統一の取れたコンセプトに基づき設計されているので、企業全体のシステムを網羅し、データが連携されるため、データの二重入力やシステムごとのデータ定義の不整合などを防ぐことができます。この企業のシステム全体を通じての一貫性がERPの最大のメリットで、このためデータのトレーサビリティを確保できることになり監査対応が容易になります。

また、操作担当者の資格・権限や社内規定のマスタ登録により、入力担当者や承認者等の権限が明確に定義されること、さらにそれに基づくチェック機能・管理ポイントが随所に組み込まれていること等によりモニタリングや標準的なリスクマネジメントが可能になります。

しかし、導入コストが巨額になることやシステム部門、ユーザー部門に多大な労力が要求されるなど、デメリットもあります。SOX法対応でERPを導入する場合は、一部の業務だけに導入しても効果が限定されるので、難しい選択を迫られる可能性が高くなります。

ERP導入のメリット ERP導入のデメリット
統一コンセプトのシステム化により、手作業の軽減・信頼性の向上が期待できる。 基幹システム全体として統一したERPの導入が前提となるので、コストが巨額になる。
ビジネス全体でトレーサブルなシステムが構築できるので監査証跡の確保が容易。 ネットワーク、PC、サーバー類のIT費用が増大する。また維持費も高い。
システム全体に対し、統一的なセキュリティ対策を講じることが可能になる。 システム部門だけでなく、システムを使いこなすユーザー部門にも多大な付加が発生する。
内部統制に関わる標準的な文書化機能が組み込まれているものがある。 ベンダー、製品選択が難しく、一度導入すると変更は困難となる。
標準的な内部牽制が適所に組み込まれ、システム的なモニタリングが可能。 カスタマイズが容易でないため、業務面で対応が難しいケースも出てくる。
企業グループ全体として導入すれば統一的な内部統制の構築が可能になる。 OSやERPのバージョンアップにより、システムの改定や再テストが定期的に必要となる。

ERPソフトの選定には、IT全般統制の視点が求められます

日本版SOX法では、構成要素として「ITへの対応」が追加されたため、企業は情報システムを導入する際に、「入力管理」「データ管理」「出力管理」といったIT業務処理統制のほか、「ITの開発・保守にかかわる管理」「システムの運用管理」「システムの安全性確保」といった、IT全般統制からの視点も求められるようになりました。

従来、ERPソフトを選定する場合、どんな業務プロセスを備えているか、どんな処理機能を有しているか、がポイントでした。しかし、近年は内部統制への対応を目的としてERPソフトに注目する企業が増えており、これまでの業務処理の視点だけではなく別の視点が必要になります。

IT業務処理統制の視点には「入力管理」「データ管理」「出力管理」の3つがあり、以下にあげる点を備えているかどうかが問われることになります。

視点 確認すべき機能
入力管理 データ入力時の承認機能
セキュリティチェックによる不正入力や与信限度額といったマスターチェックによる誤入力を防ぐ機能
整合性維持や監査証跡保持、問題原因究明のためのレコードカウント、連番チェックなどの有無
データ管理 全データ処理の正確性や安全性の確認・検証ができる機能
システム間でのデータ授受の正確性を検証できる機能
処理の異常や例外状況をすべて検知できる機能
エラー状況のモニター、記録や修正結果に関するログ管理機能などの有無
出力管理 出力処理結果の安全性、正確性を検証できる機能
権限者のみが出力ファイルやレポート照会できることを保証する機能
出力ファイルやレポートが適切に配布される機能などの有無

IT業務処理統制では、上記のようにここのシステムにおいてデータの正確性や網羅性などを確保するための統制、業務システムにおけるデータの入力・処理・出力が適切に行われていることを確保することが求められます。

IT業務処理統制が有効に機能する環境を保証するための統制活動を「IT全般統制」といいますが、日本版SOX法ではIT全般統制の具体例として以下の4点を挙げており、内部統制管理を目的にERPソフトを導入する場合には、この視点も押えておく必要があります。

  • ITの開発、保守にかかわる管理
  • システムの運用・管理
  • 内外からのアクセス管理などシステムの安全性の管理
  • 外部委託に関する契約の管理

ERPソフトのように複数のシステムが一つのシステム基盤上で稼動していれば、そのIT基盤に対する全般統制を有効にすることによって、複数の業務における情報の信頼性を確保することができますが、ERPソフトを単独モジュールで導入した場合には、各システムのIT基盤ごとの全般統制が必要となります。このようにERPソフトをどのように導入するかで、内部統制への対応が異なってくる点に注意が必要となります。

導入コストは保守サポート料金も確認しましょう

ERPソフトはこれまで大手企業向けが中心でしたので、その導入には数億円かかる場合がほとんどでした。しかし近年は、数千万円で導入できるケースが大半となっており、中堅・中小企業でも導入しやすい環境が整いつつあります。

導入コストでは、ERPソフトのライセンス価格だけでなく、年間保守サポートやアップグレードといった導入後にかかる費用まで含めて確認する必要があります。ERPソフトは導入すると長期間にわたって活用するため、導入コストもトータルな価格で考慮しなければなりません。

ほとんどの製品は、年間保守サポート費用を「年間ライセンス価格の何%」という形で決められています。注意しなければならないのは、ここでいう年間ライセンス価格は「標準価格」を指すことが多く、導入時にベンダーがライセンス費用を割り引いたとしても、保守サポート費用は割引前の正規料金から算出されるということです。

もう一つの導入後の注意点は、新版へのアップグレード費用が標準のサポート費用に含まれているかどうかという点です。ERPソフト自体に不具合がなくても、ハードやOS、ミドルウェアのサポート切れのために、アップグレードが必要になる場合もあります。

製品のライセンス価格でも注意すべき点があります。会計モジュールと一口に言っても、すべての製品で機能が同じわけではありません。例えば、債権債務管理を標準で会計モジュールに含む製品もあれば、オプションとなり、別途費用が必要な製品もあります。

ERP利用時のIT統制整備の留意点

ERPを使用している場合、統制を整備する際には、次のポイントに留意する必要があります。

外付け機能(カスタマイズ機能)の統制状況を確認する
ERPで現行業務に対応しきれない場合、外付け機能(カスタマイズ機能)を追加で開発することになりますので、その部分に関しての統制の整備状況を確認する必要があります。特に、直接ERPのデータ操作を行う画面や、EDI(電子データ交換)といった電子取り込み機能の追加を行っているケースでは、本番の運用データにアクセスしているため、慎重に統制状況を確認しなければなりません。

パラメータの設定内容を確認する
ERPでは、様々な会社に適合して導入できるように、アクセス権限を設定したり、機能の使用可否を決定できるように、パラメータによる設定ができるようになっています。したがって、パラメータ設定の適切性を、業務要件と照らし合わせて確認する必要があります。

ERPの理解度とどれくらい使いこなしているかを確認する
ERPは自社開発によるシステムではないため、社内要員のERP機能の理解不足が起きる可能性が高くなります。理解度が低いと、業務要件を実現するための使用方法がわからず、不要な外付けプログラムを作成したりするなどの問題が生じます。そこで、社内のERPに対する理解度について調査を行い、理解度が低い場合には、それを高める施策をどうするのかをまとめておく必要があります。

ERPは内部統制の強化と業務効率の向上を実現します:関連ページ

ITを取り入れた情報システムに関する統制
ITの統制とは、会社で利用している情報システムや管理している情報に対して起こりうるリスク(情報改ざんや情報漏え […]
COBITはITガバナンスの成熟度を測るフレームワーク
COBITとは、アメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱して […]
ITILに沿ったIT運用がなされていれば、SOX法に対応できます
ITILは、ITサービスマネジメントにおける業界の「ベストプラクティス集(成功事例)」を文章化したフレームワー […]
ISO20000はITサービスマネジメントの国際規格
ISO20000とは、イギリス生まれのITILに基づいて開発されたITSMSの国際規格のことで、組織が効果的か […]