米SOX法をはじめとする内部統制システムの確立には、文書化が大きな位置を占める。財務報告書の数値だけでなく、業務プロセスが手順どおりに実行されているかどうかも、文書で報告する必要があるからだ。だが、企業には膨大な数の業務プロセスがあるため、すべてを文書化するにはかなりの労力を要する。また、組織変更などで業務プロセスが変わった場合の変更管理も煩雑だ。こうした内部統制の文書管理では、ITの活用は不可欠だ。SAPは、2002年に米SOX法が制定された直後から、内部統制文書管理ツール「SAP MIC」（Management of Internal Control：内部統制管理）を提供している。これはCOSOフレームワークに基づいており、単なる文書作成機能だけを提供するものではない。内部統制の対象となる組織や業務プロセスを定義でき、設計の評価や運用のテスト、経営者のサインオフ（宣誓）をカバーする。いわば、内部統制プロジェクト管理ツールと言える。

以下では、実際の内部統制構築プロセスに沿って、MICの機能を紹介する。

複数のレポートを通じて内部統制の進行度合を把握

1. 対象範囲の定義

内部統制進める最初のステップは、その対象範囲の定義だ。実際に統制対象となる組織（グループ会社、事業部等）を階層構造として定義。同時に、内部統制プロジェクトに参画するメンバーを「MICユーザー」として決定する。その際、各ユーザーがMICのどの機能にアクセスできるかについて、権限を設定する必要がある。
通常の内部統制プロジェクトでは、「プロジェクトオーナー」、「組織ユニットオーナー」、「プロセスオーナー」、「統制オーナー」、「テスター」といった役割を設定する。MICでは、こうした役割を「ロール」として用意しているので、ユーザーにそれを割り当てるだけで済む。また、内部統制プロジェクトの業務を漏れなく遂行するには、管理者の指示が担当者に確実に届く仕組みが必要だ。MICの「ワークフロー機能」は、業務が完了する度に実行される。そのためユーザーは、MICにログインした直後に、To-Doリストから自分の作業を確認できる。

2. 統制対象となるプロセスの定義

次に販売や購買、財務、人事といった財務報告書の数値に影響する主要業務プロセスを、階層構造として定義する。MICでは、これを「プロセスカタログ」と呼ぶ。このカタログは、グループ内で展開される業務プロセスの中身を記したテンプレートで、グループ本社で定義することを想定している。それを各グループ会社で共有できるため、複数社が同じプロセスを持つ場合、定義作業を省ける。またここでは、プロセスごとの「統制目標」と、統制を阻害する「リスク」を明確にする必要がある。プロセスが、どの財務諸表項目に影響を与えるかが分かるよう、勘定科目とヒモ付けるのも忘れてはならない。

3. 内部統制の文書化

各プロセスで実施するさまざまな統制内容を、「プロセスステップ」として定義する。その際、この後の「有効性テスト」の対象とするかどうかを指定したり、統制の重要度を決める。また、予防的な統制なのか、もしくは発見的なものかを見極めるなど、統制の属性を登録する。より効率的に文書化を進めるため、ここでは文書のアップロード機能を用意している。あらかじめMICのデータフォーマットに合わせて、MS-Excelで文書を作成しておけば、アップロードプログラムを実行するだけで、MIC上に文書が自動で登録される仕組みだ。

4. 内部統制デザイン（設計）評価

文書化が完了すれば、その設計に問題がないか評価する。統制オーナーは、担当するプロセスステップに問題がないかをチェックし、もし不備があれば、課題の詳細情報や優先度、解決の担当者等のデータをMICに入力する。その情報は、ワークフローを通じて課題オーナーに転送される。オーナーは、解決の期日を決めた後、改善計画を登録する。

5. 統制の運用状況の評価と有効性のテスト

統制オーナーは、ワークフローを通じて、各プロセスに割り当てられたテスターユーザーに指示を出す。テスターは、指示された順序でテストを実施する。その際、テストをより効率的に進めるため、MICと他のSAPアプリケーションとの連携を強化している。たとえば、監査レポートの集合体である「SAP AIS」（監査情報システム）と密に連携している。そのため、AISレポートを確認して統制の有効性をテストする際、テスターはMIC画面から直接AISレポートを呼び出し、結果をMIC上に記述できる。

6. 経営者による報告（サインオフ）

サインオフとは、自分が担当する内部統制の仕組みに問題がないことを宣誓するプロセスだ。MICは、組織レベルと企業（グループ）レベルで、サインオフする仕組みを採用している。つまり、組織で宣誓されないと、企業レベルでサインオフできない。またその際、内部統制の状況を迅速に把握できるよう、約35種類のレポートを搭載している。一例として、ある一定の期間で、統制の状態がどう変化したかのを把握できる「変更分析」レポートがある。
このほか、MICと分析ツール「SAP Analytics」が連携したことで、経営者が統制の状況をより視覚的に把握できる「MICダッシュボード」機能も提供する。

不正取引につながる不正な権限設定を暴く

内部統制において、最も基本的な項目の1つがアクセスコントロールだ。国内でも、ある特定のユーザーに不要なアクセス権限が与えられているために、架空の伝票登録が許可されてしまう事件が相次いでいる。企業のセキュリティレベルを維持する上で、アクセスコントロールの重要性は以前にも増して高まっている。こうした統制の仕組みの維持/運用は、マニュアルで対応できない。mySAP ERP等のSAPアプリケーションでも、膨大な権限項目を用意している。ただし従来、その設定はユーザー企業に委ねられていた。企業システムの規模が大きくなると、管理者は、不正取引につながる恐れのある「正しくない権限設定」を発見しづらくなる。そこで、これらに対応するために開発されたのが、「SAP Compliance Calibrator」（CC）だ。これは、SAPのソフトウェアパートナーである米ヴァーサ・システムズ社が開発したもので、SAPのアプリケーション内で設定した権限が、不正防止の観点から問題がないかを自動的にチェックするものだ。

CCは、SAPアプリケーションのすべてのトランザクションと、関連する権限オブジェクト情報を格納。あらかじめ「あってはならない権限設定のパターン」をライブラリ化している。こうした、「権限のベストプラクティス」を参照すれば、権限設定ルールを効率よく定義できる。CCは、SAPシステムの基盤であるNetWeaverと完全に統合されている。ERPの権限管理設定レベルをチェックする際、これまでは、一度ERPの外にダウンロードした上で分析する必要があった。それがCCの登場により、権限設定の状態をリアルタイムに確認できるので、ダウンロードの手間が省ける。また、導入時にハードを追加しなくていいため、TCOを削減できる。CCでルールを定義した後は、ツールが自動的に権限設定をチェックする。万一、組織変更などでルールに違反した権限が設定されれば、管理者にEメールが届く仕組みになっている。通知を受けた管理者は、CCに含まれる様々なレポート機能を使って、不正の原因を分析する。たとえば、不適切な権限設定がなされているユーザーが何人いるのかや、それらがどれだけの頻度で不正に取引しているのかを、アクセスログレポートから分析できる。

CCは、内部統制構築プロジェクトの「統制の運用状況の評価、有効性のテスト」プロセスを、より効率的にする。さらに「システムへのアクセス管理、権限管理」の統制レベルも、劇的に向上させる。ヴァーサ社が導入企業に実施した調査によると、CC導入以前に比べて、内部・外部監査コストが平均で約30％、アクセスコントロールに関連するリスクの管理にかかる時間が約45％削減されたという。

最新の「mySAP ERP 2005」からは、MICやCCの連携が強化されている。たとえばCCでの分析結果は、MIC上に自動的に記録されるようになった。またCCは、アドオンプログラムやSAP以外のアプリケーションも自動でチェックし、SAPが提唱するESA（Enterprise Service Architecture）ベースのコンプライアンスソリューションだ。

SAPは、先月号で紹介したERPの基本機能に加え、その周辺の内部統制支援ツールも充実させている。これにより、包括的に内部統制確立のサポートを強化している。

（SAPジャパン ソリューション統括本部ソリューションマーケティング本部
ERP ソリューションオーナー 大久保　尚）