サービス

ERP内部統制

企業を取り巻く環境の変化に伴い、 内部統制報告制度に代表されるような新しい制度への対応が求められ、今まで以上に情報のインテグリティおよび信頼性を向上させることが非常に重要となってきています。 内部統制強化を実現しつつ、業務の効率化につなげるためにはERPシステムの内部統制を効果的に活用することが必要です。

手作業からITを活用した統制への変革

企業は、内部統制報告制度対応を契機に統制を強化した結果、非効率な業務や効果の見えにくい統制を運用しているケースは少なくありません。業務の更なる効率化・標準化を実現するためには、統制の見直しに主眼をおき、手作業から積極的にITを活用した統制に変革させることが必要不可欠です。

ERPシステムには、すでに統制やセキュリティに対応するための基本的な機能は備わっていますが、単に導入するだけでは効果的かつ効率的な統制は実現できません。

ERPシステムの特徴である「データの一元管理とリアルタイム連携」の仕組みを踏まえると、取引の起点となるデータの正当性を高めることが最も重要になります。1度入力したデータは後続の処理において変更できない仕組みとし、処理を自動化させることで手作業を軽減してデータの正当性を維持し、例外取引や異常値に限定してモニタリングすることが効率的な統制の基本的な考え方と言えます。

システム導入時の統制設計とセキュリティ対策の必要性

システムが稼働した後にIT統制を導入する場合、業務プロセスの変更とシステム改修が伴うため多大な労力と時間がかかります。システム設計時に統制要件を盛り込み、また同時に不正防止のためのセキュリティ対策を講じておくことによって効率的なIT統制の構築と強固なセキュリティ環境を実現することができます。

効率的なIT統制設計に向けた基本アプローチ

ERPシステムの仕組みと機能を熟知した内部統制監査の専門家がプロジェクトのフェーズに沿ってプロジェクトメンバーや開発者と協議しながら、効率的なIT統制を構築します。

  • 要件・設計フェーズでは、リスクに応じた統制要件を整理し、ERPシステムの標準機能を最大限活用しつつ、業務の効率性が向上する統制を設計します。特に入力データのチェック機能やアクセス制御、及び例外取引や異常値を発見できるレポート機能の有効性を調査・検証することがポイントになります。
  • テストフェーズでは、設計した統制が有効に機能していることの確認として、ポジティブ(できること)とネガティブ(できないこと)のテストを網羅的に実施します。
  • 本番稼働準備フェーズでは、持続可能な運用プロセスを確立するために、統制とセキュリティの視点を加えたマニュアルを整備し、エンドユーザに対するトレーニングを実施します。
  • 稼働後の監査対応に備えて統制の文書化、規程・手順書類の整備、統制の有効性評価手続の策定も併せて行います。
不正防止のためのITセキュリティ対策

企業には個人情報や機密情報が多く存在し、それらはデータとして新システムに定義されます。まずそれらのデータの重要性を定義し、漏えいや改ざんなどのリスクが発生した場合の影響を評価したうえでセキュリティ対策を講じる必要があります。 具体的には、データへのアクセス制限をはじめ、職務権限の分離、システムの脆弱性(プログラムの欠陥や不具合)の調査、ログの取得、ネットワークやOS・データベースのインフラ基盤に対するセキュリティを検討し、システムに実装します。