日本版SOX法の施行が現実味を帯びるにしたがい、「ITを活用した内部統制システムの構築」に対する関心が高まっている。だが実はSAPは、こうした課題に対するソリューションを既に90年代から用意している。内部統制は、「法令を遵守」しつつ、「主要な業務の効率性を高め」、「財務報告の信頼性を確保する」ための活動だ。そしてこうした、「効率性」、「正確性」、「法令遵守」といったキーワードは、SAPをはじめとするERPがそもそも目指していたものだからだ。

現在、「ERP導入が内部統制実践への特効薬」と言われているが、そもそも同じところを目指しているのだから、当然のことと言えるだろう。たとえば、「SAP ERP」の特徴とも重なるが、昨今クローズアップされるテーマとして「内部統制の文書化」がある。言うまでもないことだが、基幹業務に関してどれほど詳細なドキュメントを整備しても、実際のシステムがそのとおり動かなければ意味はない。しかも、新たな法規制への対応や、会計基準の変更といった外部要因に左右されない、堅牢かつ柔軟なシステムが必要とされる。

こうしたシステムに求められる要素としては、（1）問題の発生を未然に防ぐ仕組みを組み込んでおり、（2）問題が発生したら素早く担当者に通達でき、（3）内部統制のデザインや運用状況を継続的にチェックできる、といった点が挙げられる。

SAP ERPは、こうしたチェック機能やPDCAサイクルを念頭において設計されており、まさに企業の内部統制システムを支える基盤となると考えられる。

業務プロセスと一体化したキメ細かな統制機能を用意

「ITにかかる内部統制」は、一般的に、「全般統制」と「業務処理（アプリケーション）統制」に分けられる。そしてSAP ERPは、この両面に対して、必要な統制機能をあらかじめ備えている。

全般統制の面では、「システムそのものへのユーザーアクセス権限設定と、データ更新履歴のモニタリング」といった基本的な機能はもちろんのこと、開発環境やテスト環境、本番システムといった複数のシステム間のデータコピーに関する手順までも確立している。
具体的には、

• トランザクションの使用状況のモニタリング
• システムに保持される取引履歴や転記日付、時間、ユーザーの管理
• ユーザーアクセス履歴管理
• ユーザーIDへのパスワード設定
• ユーザーIDごとの、登録・変更・照会権限の柔軟な設定
• ログイン権限設定
• ワークフロー設定

といった機能を装備する。さらに、システム内の各プログラムや、パラメータ設定に関する変更履歴も管理できる。これらがパラメータの設定だけで、できるようになっている。

SAPのプログラムの修正に関しては自動管理されており、いつ誰がどのプログラムのどの場所を変更したのか、変更内容と合わせて自動的に記録される。またバージョンアップ時には、記録されているログを使って、新しいプログラムと変更を加えたプログラムを自動比較。同様の修正を自動あるいは半自動で実施する。

また、「ソリューションマネージャ」とよばれるSAPシステム全般の運用をサポートするソリューションンも用意している。一方、「アプリケーション統制」では、入力データ項目の有効性のチェックや、与信限度額といった事前に転記可能な金額の限度を設定。上限を越える場合には、転記を認めない、といった制御が容易に行える。

また、一度確定したデータは勝手に変更できず、変更した場合は、必ず変更履歴が残る仕組みになっている。
業務処理統制の例をいくつか挙げてみよう。

• 入金差額理由：入金予定額と実際の入金額が異なることはよくある。そうした場合に対応してSAP ERPでは、入金差額の理由コードと、コードに対応する勘定科目を定義しておける。入金時に差額があったら、担当者はあらかじめ設定されたコードから理由を選択することで、担当者ごとにまちまちな理由で差額を登録することなく、正しい仕分け明細が生成される。
• 伝票変更：転記済みの会計伝票を変更する際、どの項目まで変更を許可するのか、あらかじめパラメータで設定できる。変更者や時間、変更内容は自動で管理される。パラメータで変更可能といっても、伝票日付や転記日付、勘定科目、記帳金額、部門コードといった、会計上重要な項目は変更不可としている。この場合には、「赤黒対応」することになる。
• マスタ変更：トランザクション処理においてマスタデータを変更することは少なくない。その場合、パラメータによって、どこまでの変更を許可するのか定義できる。これにより、マスタの不用意な変更を防げる。

SAP ERPは、こうしたキメ細かな統制機能を装備している。また細かなだけではなく、ユーザー企業が不要と思われるチェックは外すことが可能で、そうした設定がパラメータ変更のみでできる点が大きな特徴だ。一般的に、IT統制を厳しくするほど、システムのTCOは増加する。追加開発が必要となるからだ。だがSAP ERPには、統制が必要と思われる箇所を見越して統制機能が組み込まれている。そのため、ユーザーが新規に統制の仕組みを考え、開発する必要はほとんどない。

また、新たな法制度への対応や、より革新的な業務プロセスの実装が必要な場合にも、こうした統制機能は維持される。これにより、変化の激しいビジネス環境において、統制に関する機能の構築に割く時間を削減できる。その分を、より集中すべき領域のシステム構築に回せるわけだ。

もちろん、統制を強化しても、データの質に問題があれば元も子もない。この点でも、経理や販売、購買、生産といった基幹業務プロセスが統合されているERPでは、データが正確に、かつ重複なく入力されるため、心配はない。

統制の仕組みづくりに欠かせない「文書化」を支援する

IT統制におけるERPの強みは前述のとおりだが、実はSOX法に対応するには、それだけでは不十分だ。同法では、内部統制の内容を文書化し、テスト、評価することを要求しているからだ。そこでSAPでは、「文書化」のためのツール「MIC」（内部統制管理）を用意した。これは、大手監査法人と共同でCOSOフレームワークに基づいて開発された製品。統制の対象となる組織、プロセスの定義にはじまり、プロセス単位での統制目的やリスクの定義、重要な勘定科目、アプリケーションの定義といった機能を備えている。統制設計の評価とテストや、経営陣によるサインオフもカバーする。単に文書化だけでなく、内部統制プロジェクト全般のプロジェクト管理ツールとして活用できる。SOX法の対象企業を中心にグローバルで100社前後の導入実績がある。

もちろん、その中にはSAPグループも含まれる。ある調査によると、米国企業がSOX法対応に投じたコストを分析すると、「文書化」が全体の50％で、「統制の仕組みの評価、テスト」が40％と言われている。これはSOX法だけでなく、内部統制全般に共通する数字だろう。後者をより効率化するためのツールとしては、「AIS」（監査情報システム）がある。AISは、内部監査人や外部監査人が必要とするレポート機能の総称で、最新のリリースでは、MICと統合されている。このため、MIC上に評価・テスト手順の文書として「AISの利用」と明記し、MICからAISにアクセスして、結果を再びMIC上に入力するといったプロセスも可能だ。

また、SAP ERPの権限管理を強化するツールとして、「Compliance Calibrator（SAPCC）がある。SAP ERPで設定した権限設定が、不正防止の観点から問題ないかどうか、リアルタイムでチェックするものだ。たとえば、伝票の登録権限と承認権限が同一人物に割り振られていれば、不正取引が発生する可能性が高まる。SAP CCは、こうした、「不適切な権限設定」を発見し、管理者や監査人に随時通知する。SAP ERPに登録されている権限項目や情報は膨大だ。人手で管理するのは至難の業だが、こうしたツールを使うことで、間違いを起こしにくい体制や権限設定を、容易に確立できる。他にも、内部告発制度の構築の際に重要となる匿名メールシステムを実現する「SAP 内部通報機能」といったソリューションも用意している。

内部統制を否定的に捉えず企業強化につなげるべし

このように説明してくると、内部統制とは非常にコストがかかり、大変な作業だと捉えられがちだ。確かにそうした一面は否定できない。だが最近になって、米国では内部統制の位置付けについて、企業価値を維持・向上するために必要な「リスクマネジメント」の一要素として捉える動きが一般的になりつつある。日本でも既に一部の企業で、内部統制を土台にERM（ Eneterprise Risk Management）に取り組み始めている。

つまり、財務報告に関連する内部統制上のリスクだけではなく、企業活動全体に関連するリスクを包括的に管理していこうというのだ。SAPは、こうした内部統制を含めた様々なリスク状況を、担当者の役割に応じて提供する仕組みを構築するために、S A P ポータルやSEM（戦略的企業経営）といったソリューションを提供している。

SAPはERPを土台として、基幹業務プロセスに統制の仕組みが組み込まれたソリューションコンポーネントを用意。企業の内部統制システムの構築をサポートする。

（SAPジャパン ソリューション統括本部ソリューションマーケティング本部 ERP ソリューションオーナー 大久保　尚）