次世代の内部監査~ERP導入・更新時の内部統制のリスクと評価方法~ ブックマークが追加されました
ナレッジ
次世代の内部監査~ERP導入・更新時の内部統制のリスクと評価方法~
内部監査の新潮流シリーズ(19):ERPの導入・更新時には、内部監査部門がリスクの再評価および内部統制の有効性の評価を行うことが期待されています
基幹システム(ERP)の老朽化・複雑化や保守期限切れ等の課題に対応するため、企業はERPの導入・更新を積極的に進め、業務の標準化・効率化を進めています。一方で内部統制は従来の手法を踏襲しており、導入後のプロセスやERP特有のリスクを検討できておらず、インシデントの発生や外部監査で不備を指摘されるケースが見受けられます。内部監査部門はリスクの再評価および内部統制の有効性の評価を行うことが期待されています。
デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。
ERP導入・更新時における内部統制上のリスク
企業がERPシステムの導入・更新を進める中で、業務の効率化と標準化だけが検討され内部統制の検討が後回しになっていることも多く、以下のような課題・リスクが残されているプロジェクトが散見されています。
- 業務が変更されたもののこれまでの統制活動が継続されており、リスクに対応できていない、もしくはこれまで行われていた統制活動やガバナンスの設計が要件に反映されていない
- J-SOXの対応が遅れてしまい、外部監査人から不備を指摘される
- 承認者やワークフローの設定が適切に行われておらず、承認の実効性が担保されない
- 権限の検討が不充分で、職務分掌がはかられていない
- モニタリングの検討が不充分でシステム稼働後に、必要なデータを取得できない
- 監査時に提出する証憑の保存やレギュレーション対応の検討が不充分となっている
このため、二重請求等の誤謬・不正によるインシデントの発生や外部監査で不備を指摘され、プロセスの再構築を迫られることがあります。
※画像をクリックすると拡大表示します
ERP導入・更新時における内部監査のポイント
ERPの更新に加えてクラウドやAI等のデジタル化が進んでいる中で、関連する業務プロセスにおけるリスクや内部統制を改めて識別し必要に応じて見直す必要があります。しかしながら、リスクを網羅的に洗い出すことは容易ではなく適切に対応されていないことが多いことから、第3線としての内部監査部門がアドバイザーの立場として、適切にリスク・内部統制を評価して、第1線および第2線にリスクおよび内部統制に係る助言を行うことが期待されています。
また、ERPでは標準機能としていくつかの内部統制が組み込まれていますが、業務執行部門の判断で無効化されることもあります。内部統制の効率化の観点からも、内部監査部門は従来の手作業からこれらの自動統制への移行を助言することが期待されています。
さらに内部監査部門はアシュアランスを行う立場として、ERP導入・更新後の内部統制を適切に評価することが求められ、ERPの機能やデータを充分に理解した上で、適切な監査手続きを検討する必要があります。
また、COVID-19の蔓延を受けリモートワークが推進されており、紙面中心の監査からERPに蓄積されたデータを基にした監査を実施する形に、内部監査手法の変革も求められています。
ERPの権限・セキュリティに関する内部監査
職務分掌およびセキュリティ対策等の内部統制はERPに組み込まれていますが、複雑で設定が難しい領域となっていることから内部監査による評価が期待されています。具体的には以下のような項目の確認が考えられます。
はじめに、支払・入金処理等のプロセス上の重要な処理、マスタ管理等の重要なトランザクションを誤って実行してしまうことでシステム停止・業務停止など重大なトラブルを招いたり、不正が発生するリスクがあり、これらの権限を付与されているユーザの妥当性を評価することが必要です。
次に、職務分掌が適切に設定されていることを評価することが必要です。例えば購買・検収・支払・仕入先管理の処理を同じ担当者が行えるような場合、不正な支払処理が行われるリスクが高まるので、これらの権限を複数付与されているユーザがないかどうか確認します。
最後に、パスワード設定等のシステム設定が適切に設定され、セキュリティ面で問題がないことを評価することが必要です。
ただし、これらの設定を網羅的に確認することが難しいことから、トーマツをはじめとした各監査法人はツールを開発・利用していることが多く、先進的な企業ではRPA等を活用し、リストの出力や評価の自動化が徐々に進められています。
トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。
内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。