内部統制における課題
企業活動において内部統制は欠かせない仕組みですが、実際の運用には多くのハードルも伴います。ここでは、内部統制の基本的な考え方と、その強化にあたって直面しやすい課題について整理します。
内部統制強化とは
内部統制とは、社内で不正行為や法律違反が生じないようにルールや仕組みを構築し、それを管理・運用することをいいます。例えば、従業員による顧客情報流出を避けるために、アクセスできる情報を制限したり、USBメモリのような記憶媒体の持ち運びについてルールを定めて対策したり、ということも内部統制の一部です。
また、金融商品取引法が定める制度の一つである「J-SOX法」によって、上場企業とその連結子会社、そして上場を目指す企業には内部統制の強化が求められます。ただ、それ以外の企業であっても、内部統制が甘いと大きな損失が生じる可能性があり、金銭的被害が生じた際の経済的損失はもちろん、社会的信頼の失墜をも招きかねません。内部統制は健全なビジネスを営むうえで欠かせない要素なのです。
内部統制強化における課題
しかし、内部統制強化にはいくつかの問題点も存在します。代表的な問題を見てみましょう。
- ■コストが大きい
- 適切な内部統制を実施するには業務フローの見直しや改善が欠かせません。さらに、日々の確認・承認作業などにも時間と労力がかかります。単純に人件費などの費用がかかるだけでなく、業務効率を低下させる一因にもなります。
- ■大胆な改革の足かせになる
- 内部統制を厳格化するほど、思い切った改革はできなくなります。特にビジネス環境の変化が激しい昨今では、この遅れが経営に致命的なダメージを与えるリスクもあるでしょう。
ERPで実現できる内部統制強化とは
ERPは、業務プロセスの可視化やデータの一元管理、操作履歴の記録などを通じて、内部統制の強化に大きく貢献します。人手による属人的な運用を排除し、不正や誤操作のリスクを軽減する仕組みがあらかじめ備わっている点が特徴です。承認フローの明確化やアクセス権限の細分化も、ERP導入による統制強化の重要な要素となります。
金融業界で求められる内部統制強化とERPの役割
金融業界では、不正防止・取引履歴の信頼性確保・法令遵守が厳しく求められます。ERPは、仕訳や承認フロー、アクセス履歴の記録などにより、透明性の高い業務運用を実現します。J-SOX法対応や監査証跡の自動生成にも対応でき、金融機関における内部統制の基盤として活用されています。
病院など医療機関での内部統制強化とERPの活用
病院やクリニックでは、診療報酬や医療資材の管理に加え、患者情報の保護も極めて重要です。ERPを導入することで、医事会計・物品在庫・職員操作の履歴管理を一元化でき、情報の改ざんや誤処理のリスクを抑えられます。ガバナンスや個人情報保護の観点でも、ERPの活用が進んでいます。ERPの詳しい概要や最新の製品については以下の記事で紹介しています。
内部統制強化を目的とした導入のメリット
上述した問題を避けつつ内部統制を強化する手段として、ERPの導入があります。ERPとは、企業の基幹業務を支援するITシステムが一体となった統合的なソリューションです。基幹業務に関連するデータを一元管理したりアクセス権限をまとめて管理したりといった機能が備わっています。
これらの機能は内部統制にも応用できます。データを一元管理すれば重複処理などのミスを回避でき、アクセス権限を管理すれば従業員の不正行為や情報流出を防げるでしょう。そのほか、承認ワークフローの設定やログ管理などの機能があり、ERP導入は業務の効率化と内部統制を同時に実現できる方法といえます。そのため上場企業やその関連企業、また上場を目指す企業を筆頭に、内部統制目的でERPを導入する企業は少なくありません。
内部統制強化を目的としたERPの選び方
内部統制を強化するためにERP導入を検討する場合、適切な製品を選ぶにはどうすればよいのでしょうか。
IT統制要素の機能要件を満たしているか
金融商品取引法では、内部統制におけるIT統制要素としていくつかの機能要件が定められています。つまり、内部統制強化を目的として導入するERPは、いくつかの機能を必ず備えていなければならないということです。
具体的には、「外部委託に関する契約の管理」や「システムの運用・管理」といったことを実現できる製品でなければなりません。また、特に重視したいのは「財務会計機能」です。決算をする際、粉飾決算などがないように正確な情報を効率的に収集できるERPが望ましいでしょう。
こうした機能を持つERPを導入するには、上場企業での導入実績を持つ製品を選びましょう。上場企業は上述した要件を満たすことが不可欠なため、そこでの実績が多いベンダーは信頼性が高いといえます。
なお、本来ERPは企業の基幹業務を効率化するためのツールであり、内部統制の強化だけを目的としているわけではありません。そのため、ERPのベンダーによっては、内部統制への理解がない場合があります。だからこそ、上場企業への導入実績を持つベンダーが望ましいのです。監査法人や証券会社による監査や指導を受けているベンダーもあるので安心でしょう。
パッケージとして提供されているか
ERPの導入方法には「スクラッチ」「パッケージ」「パッケージのカスタマイズ」の3種類があります。スクラッチは、自社の業務に合わせてERPをゼロから構築していく形式です。一方、パッケージはあらかじめERPとしての機能が揃っています。パッケージのカスタマイズは、自社の業務に合わせてパッケージの一部を改変する形式です。
ERPで内部統制の強化を図る場合は、これらのうちパッケージ形式での導入がおすすめです。なぜなら、内部統制に関する機能も最初から揃っているからです。スクラッチで組み立てると内部統制機能が不十分になることがありますが、パッケージならその心配はありません。
内部統制強化を目的とした運用のポイント
内部統制強化を目的としてERPを運用するには、どのような点に留意すればよいのでしょうか。
導入システムのセキュリティ設定
ERPを導入したら、初めにセキュリティ設定を行いましょう。ERPは統合型システムであるため、権限さえあれば誰でもすべてのシステムにアクセスできてしまいます。このままでは従業員の不正行為や操作ミスにより情報流出が生じる危険性があるため、すぐに対策を取らなければなりません。
具体的に求められるセキュリティ設定の例を以下に示します。
- ■アクセス権限設定
- 誰にどこまでのアクセスを許容するのか詳細に設定します。また、IDやパスワードが標準のままだと不正アクセスに利用されるおそれがあるため変更しましょう。
- ■本番環境と開発環境の分離
- ERPパッケージの標準設定次第では、本番環境でいきなりプログラムを変更したり、開発環境でしか使えないツールを本番環境で使えたりします。このままでは本番環境で稼働するプログラムが危険にさらされるため、設定を見直しましょう。
関連セキュリティの強化
ERPで内部統制が行なえますが、外部からの攻撃にも備える必要があります。たとえば、近年発生しているサイバー攻撃の多くはエンドポイントを起点に展開されています。そのため、ERPシステムにアクセスする各種端末でもセキュリティ対策が必要です。
ほかにも検討すべきセキュリティ対策は数多くあります。内部統制ばかりに気を取られず総合的なセキュリティ対策を施しましょう。
社内教育の実施
ERPは全社的な情報共有を促進する一方で、誤操作による影響範囲も広くなるため、リスクマネジメントが重要です。一人の従業員がデータを誤って削除すれば、そのデータを求めているほかの従業員の業務に影響があるかもしれません。
こうしたリスクを避けるためには、従業員に責任感や倫理観を持たせる必要があります。そこで必要になるのが社員教育です。重要なアクセス権限を持つ幹部などはもちろん、一般社員にも充分な理解を促しましょう。
まとめ
内部統制強化は重要ですが、コストがかかるなどの問題点もあります。その問題を避けて内部統制を図る際に有効なのが、ERPです。
ERPは基幹情報を一元管理してデータを転記するなどの手間を省き、ヒューマンエラーを防止します。さらに、アクセス権限や承認ワークフロー、ログの管理も行えるので、従業員による不正行為を防ぎ、データの正確性を保持することが可能です。こうした機能を搭載したERPは業務効率化だけでなく内部統制にも役立つでしょう。
ERPを導入する際は、上場企業への導入実績があるベンダーを選択し、パッケージソフトだと運用がスムーズになります。ぜひさまざまなERPを比較して、内部統制の強化に活かしましょう。
