ERPの導入によって内部統制はどう変化する？システムの選び方は？

内部統制における課題

内部統制は健全なビジネスを営むうえで欠かせない要素です。従業員の不正行為やミスによるリスクを回避でき、社外からの信頼を強化することも可能です。また、金融商品取引法により、上場企業を始めとした一部の企業には内部統制強化が求められています。

しかし、内部統制にはいくつかの問題点も存在します。代表的な問題を見てみましょう。

コストが大きい

適切な内部統制を実施するには業務フローの見直しや改善が欠かせません。さらに、日々の確認・承認作業などにも時間と労力がかかります。単純に人件費などの費用がかかるだけでなく、業務効率を低下させる一因にもなります。

大胆な改革の足かせになる

内部統制を厳格化するほど、思い切った改革はできなくなります。特にビジネス環境の変化が激しい昨今では、この遅れが経営に致命的なダメージを与えるリスクもあるでしょう。

内部統制強化を目的としたERP導入のメリット

上述した問題を避けつつ内部統制を強化する手段として、ERPの導入があります。

そもそもERPは業務を効率化するためのシステムです。たとえば、データを一元化したりアクセス権限を管理したりといった機能が備わっています。

これらの機能は内部統制にも応用できます。データを一元化すれば重複処理などのミスを回避でき、アクセス権限を管理すれば従業員の不正行為を防げるでしょう。そのほか、承認ワークフローの設定やログ管理などの機能があり、データの正確性を保持できます。ERP導入は業務の効率化と内部統制を同時に実現できる方法と言えるでしょう。

内部統制強化を目的としたERPの選び方

内部統制を強化するためにERP導入を検討する場合、適切な製品を選ぶにはどうすればよいのでしょうか。

IT統制要素の機能要件を満たしているか

金融商品取引法では、内部統制におけるIT統制要素としていくつかの機能要件が定められています。つまり、内部統制強化を目的として導入するERPは、いくつかの機能を必ず備えていなければならないということです。具体的には、「外部委託に関する契約の管理」や「システムの運用・管理」といったことを実現できる製品でなければなりません。

こうした機能を持つERPを導入するには、上場企業での導入実績を持つ製品を選びましょう。上場企業は上述した要件を満たすことが不可欠なため、そこでの実績が多いベンダーは信頼性が高いと言えます。また、IT統制要素に網羅的に対応したパッケージ製品を選ぶのも有効です。

自社の業務形態に合致しているか

どれほど機能が充実していても、自社の業務形態に合っていないシステムでは意味がありません。そのため、ERPを選定する際には自社と同じ業種・業態での導入実績が豊富な製品を選びましょう。単に製品の機能・特徴が自社に適しているだけでなく、ベンダーから優れたサポートを受けられることも期待できます。

ただし、同業他社での導入実績があるというだけで安易に導入を決断するのは危険です。なぜなら、同業種でも抱えている問題はまったく異なるかもしれないためです。できるだけ他社での導入事例は詳細に確認しましょう。

ちなみに、同業他社での導入実績がない製品でも、カスタマイズなどにより自社の業務に適合させることは可能です。しかし、その場合は導入コストや利用開始までの期間が長くなる点に注意しましょう。

内部統制強化を目的としたERP運用のポイント

内部統制強化を目的としてERPを運用するには、どのような点に留意すればよいのでしょうか。

導入システムのセキュリティ設定

ERPを導入したら、初めにセキュリティ設定を行いましょう。ERPは統合型システムであるため、権限さえあれば誰でもすべてのシステムにアクセスできてしまいます。このままでは従業員の不正行為や操作ミスにより情報流出などが生じる危険性があるため、すぐに対策を取らなければなりません。

具体的に求められるセキュリティ設定の例を以下に示します。

アクセス権限設定

誰にどこまでのアクセスを許容するのか詳細に設定します。また、IDやパスワードが標準のままだと不正アクセスに利用されるおそれがあるため、適切なものに変更する必要があります。

本番環境と開発環境の分離

ERPパッケージの標準設定次第では、本番環境でいきなりプログラムを変更したり、開発環境でしか使えないツールを本番環境で使えたりします。このままでは本番環境で稼働するプログラムが危険にさらされるため、設定を見直しましょう。

関連セキュリティの強化

ERPにおいて考慮すべきセキュリティは、内部統制強化だけではありません。外部からの攻撃にも備える必要があります。

たとえば、近年発生しているサイバー攻撃の多くはエンドポイントを起点に展開されています。これに備えるには、ERPシステムにアクセスする各種端末でもセキュリティ対策が必要です。

そのほかにも検討すべきセキュリティ対策は数多くあります。内部統制ばかりに気を取られず総合的なセキュリティ対策を施しましょう。

社内教育の実施

ERPは全社的なシステムです。そのおかげで社内での意思疎通や情報共有を円滑化できます。しかし、このメリットは一人の従業員による影響が全社に及ぶというデメリットももたらします。たとえば、一人がデータを誤って削除してしまえば、そのデータを求めている人全員の業務が悪影響を受けるかもしれません。

こうしたリスクを避けるためには、従業員に責任感や倫理観を持たせる必要があります。そこで必要になるのが社員教育です。重要なアクセス権限を持つ幹部などはもちろん、一般社員にも充分な理解を促しましょう。

内部統制強化にERPを活用し、円滑に業務を進めよう！

内部統制強化は重要ですが、コストがかかるなどの問題点もあります。その問題を避けて内部統制を強化するのに有効なのがERPです。 ERPの選定ポイントは以下のとおりです。

• ■IT統制要素の機能要件を満たしているか
• ■自社の業務形態に合致しているか

また、ERPを運用する際には以下の点に留意しましょう。

• ■導入直後のセキュリティ設定
• ■関連セキュリティの強化
• ■社内教育の実施

以上を踏まえて内部統制を強化しましょう。