サービス

SAP S/4HANA導入に伴うSOX対応

新システム導入時には、可能な限り早めにSOXへの対応を検討することが必要である

多くの日本企業が基幹システムとして採用しているSAP ERPは、2025年を目途に一部の保守サポートが終了するため、今後、後継製品であるSAP S/4HANA導入の動きが活発になることが予想されます。新たなシステムの導入時には、業務の効率化や標準化の観点だけでなく、SOX(内部統制報告制度)への対応についても、システム部門はもちろんのこと、ユーザー部門を巻き込んで、システム構想の段階から検討していくことが必要です。

2025年までに多くの企業においてSAPをはじめとする基幹システムの移行・改修が必要になる

SAPは多くの日本企業で採用されている基幹システム(ERP(Enterprise Resources Planning)システム)ですが、主力製品であるSAP ERPの保守サポートが2025年に終了するため、その後継製品であるSAP S/4HANAへの移行が必要になります。
また、2018年に経済産業省が公表した「DX レポート~ITシステム「2025年の崖」の克服とDXの本格的な展開~」によれば、日本企業の保有する基幹システムの老朽化が進んできており、2025年には、21年以上稼働している日本企業の割合が60%になるという試算も出ています。
したがって、2025年までの今後数年間において、SAPをはじめとする基幹システムの移行およびITシステムの改修の動きが一気に進むことが予想されます。

  

新システム導入時は業務プロセスの見直しとともにSOX対応が必要になる

上記SAP S/4HANAへの移行をはじめとする新システム導入時においては、昨今の働き方改革やペーパーレス化等の施策を実現するため、様々な業務プロセスの見直しや効率化に焦点が当たりがちですが、SOX、すなわち内部統制報告制度への影響の検討も忘れてはいけません。
例えば、新システム導入後において、SOXが要求する統制水準が維持・実装されていない場合には、結果として追加の統制活動が必要となるため、業務が非効率になるおそれがあります。
また、新システム導入時に、キーコントロールの見直しやSOX文書(業務記述書、フローチャート、リスクコントロールマトリックス(RCM))の再文書化がタイムリーに行われなかった場合には、今後のSOX評価作業が非効率になるおそれがあります。

SOX対応が適時に行われない場合の問題点と対応策

問題点及び対応策(案)
※画像をクリックすると拡大表示します

  

新システム導入スケジュールを常に意識し、可能な限り早めにSOX対応を進めることが重要

新システム導入時のSOX対応については、システム構想の段階等、可能な限り早めに着手することが重要です。例えば、新システム導入後、SOXが要求する統制活動が維持されなかった場合であっても、要件定義の段階で課題を把握できれば、代替コントロールを基本設計や詳細設計に織り込むことにより対応することが可能になります。
さらに、新システム導入を契機として、キーコントロールの見直しおよびSOX文書の再文書化に早めに着手することにより、SOX評価項目の絞り込みや、後続の整備・評価作業を効率的に進めることが可能になります。
また、新システム導入によるSOXへの影響の検討に際しては、SOX評価部門やシステム部門だけでなく、実際にシステムを利用するユーザー部門を巻き込むことが効果的です。実際の業務に熟知したユーザー部門を巻き込むことで、既存の統制活動からの変更点が明確になるとともに、新システム導入による課題を効率的に洗い出すことが可能となります。

システム変更時におけるSOX対応スケジュール
※画像をクリックすると拡大表示します

  

豊富な経験を持つ内部統制の専門家がSOX対応を支援します

デロイト トーマツ グループでは、SAP S/4HANAへの移行を含む新システム導入にあたり、独自に開発したSOX高度化のメソドロジーと過去の豊富な支援実績に基づき、迅速かつ効果的にSOX対応支援を実施いたします。

また、貴社のニーズに合わせて、上記のSOX対応支援サービスの他、SAP S/4HANA導入に関連して以下の実行支援も行います。

・経理業務の効率化・自動化(RPA導入含む)

・テクノロジーを活用したSOX評価業務の自動化(Automation SOX)

・内部監査業務の自動化(Automation IA)

・GRCモジュールの活用

・プロジェクトリスク評価 など

本記事に関してのより詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合せください。

 

≫ お問合せフォーム ≪

プロフェッショナル

仁木 一彦/Kazuhiko Niki

仁木 一彦/Kazuhiko Niki

デロイト トーマツ リスクアドバイザリー パートナー

オペレーショナルリスク・プラクティスの日本責任者、IR(統合型リゾート)ビジネス・プラクティスの責任者を務める。 公認会計士、公認内部監査人、公認不正検査士。 2000年公認会計士登録。 【オペレーショナルリスク・プラクティス】 15年以上にわたり、リスクアドバイザリー業務に従事し、オペレーショナル・リスク領域のプロジェクト責任者を多数務める。 専門分野は、コーポレートガバナンス、内部統制、内部監... さらに見る