次世代の内部監査～ERP導入・更新時の内部統制のリスクと評価方法～

ERP導入・更新時における内部監査のポイント

ERPの更新に加えてクラウドやAI等のデジタル化が進んでいる中で、関連する業務プロセスにおけるリスクや内部統制を改めて識別し必要に応じて見直す必要があります。しかしながら、リスクを網羅的に洗い出すことは容易ではなく適切に対応されていないことが多いことから、第3線としての内部監査部門がアドバイザーの立場として、適切にリスク・内部統制を評価して、第1線および第2線にリスクおよび内部統制に係る助言を行うことが期待されています。

また、ERPでは標準機能としていくつかの内部統制が組み込まれていますが、業務執行部門の判断で無効化されることもあります。内部統制の効率化の観点からも、内部監査部門は従来の手作業からこれらの自動統制への移行を助言することが期待されています。

さらに内部監査部門はアシュアランスを行う立場として、ERP導入・更新後の内部統制を適切に評価することが求められ、ERPの機能やデータを充分に理解した上で、適切な監査手続きを検討する必要があります。

また、COVID-19の蔓延を受けリモートワークが推進されており、紙面中心の監査からERPに蓄積されたデータを基にした監査を実施する形に、内部監査手法の変革も求められています。

ERPの権限・セキュリティに関する内部監査

職務分掌およびセキュリティ対策等の内部統制はERPに組み込まれていますが、複雑で設定が難しい領域となっていることから内部監査による評価が期待されています。具体的には以下のような項目の確認が考えられます。

はじめに、支払・入金処理等のプロセス上の重要な処理、マスタ管理等の重要なトランザクションを誤って実行してしまうことでシステム停止・業務停止など重大なトラブルを招いたり、不正が発生するリスクがあり、これらの権限を付与されているユーザの妥当性を評価することが必要です。

次に、職務分掌が適切に設定されていることを評価することが必要です。例えば購買・検収・支払・仕入先管理の処理を同じ担当者が行えるような場合、不正な支払処理が行われるリスクが高まるので、これらの権限を複数付与されているユーザがないかどうか確認します。

最後に、パスワード設定等のシステム設定が適切に設定され、セキュリティ面で問題がないことを評価することが必要です。

ただし、これらの設定を網羅的に確認することが難しいことから、トーマツをはじめとした各監査法人はツールを開発・利用していることが多く、先進的な企業ではRPA等を活用し、リストの出力や評価の自動化が徐々に進められています。

トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価（診断）や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。