ERPパッケージシステムにおける内部統制の構築について

2018-02-09

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

昨今、非常に数多くの企業が、SAPやOracle E-Business Suite (以後、「Oracle EBS」と略称)といった、ERPパッケージシステムを導入しています。多くのERPパッケージシステムでは、標準機能の中にセキュリティを担保する機能やJ-SOX・US-SOXなどで求められている財務報告に係る内部統制を実現できる機能が用意されています。
しかしながら、標準機能であっても、事前にその利用方法について十分な検討が行われない場合、セキュリティ上の問題を引き起こすトリガーとなり、内部統制上の重大な問題につながる可能性があります。
本コラムでは、これまで多くのERPパッケージシステムを外部監査人として評価してきた経験から、ERPパッケージシステムの標準機能の利用に際しての内部統制上の一般的な課題について取り上げたいと思います。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

ERPパッケージシステムの標準機能について

ERPパッケージシステムを導入することにより、会計モジュールを中心に、販売、購買、在庫、人事などのデータがつながり、かつリアルタイムで全社的な情報を管理することが可能になります。そのような目的に向けて、業務仕様の検討やユーザ要求への対応を重ねることに注力するあまり、導入後に必要となる内部統制の検討が十分でないケースがよく見受けられます。

当法人では、ERPパッケージシステムを外部監査人として検証する場合、PwCが開発したツール(例えばSAPであればACE-S、Oracle EBSであればOpticsというツール)を利用することがあります。その結果、ERPパッケージシステムが標準的に搭載している機能の中に、利用企業にとっては想定もしなかった問題が発見されることが多々あります。

ERPパッケージシステムが提供する標準機能について、よく見受けられる内部統制上の問題例

問題点

詳細

ERPパッケージに初期登録されている標準ID(デフォルトID)のパスワードが変更されていない

初期登録された標準ID(デフォルトID)はどのERPパッケージでも同じパスワードが設定されています。また、標準IDにはシステムの特権IDが付与されているケースが多く、もし不正に利用された場合には非常に大きなセキュリティリスクとなる可能性があります。

本番環境でのプログラムの直接作成・変更を可能とする機能

プログラム変更管理を適切に行うためには開発環境と本番環境を分離して、開発・保守業務は開発環境で行うことが求められます。しかし、ERPパッケージの標準設定によっては本番環境で直接開発作業を行うことが可能です。

開発環境で利用するべきツールを本番環境でも利用している

開発環境で利用するべき開発ツールが本番環境でも有効になっているケースがあります。この場合、開発ツールから本来は許可されていないアクセスを行うことが可能となります。

障害対応のためのデバック機能を本番環境で許可している

プログラムをデバック、またはデータを修正する機能が備わっており、思わぬプログラム/データ変更につながる可能性があります。

標準機能は、使い方によっては運用面で非常に大きなメリットがありますが、事前の検討が十分でない場合、リスク要因へと変容します。特に、IT全般統制と言われるERPパッケージシステムの基本を支える重要な機能にかかわる深刻な問題として、本番環境で稼働するプログラム、データの信頼性に対して大きな影響を及ぼすリスクがあります。

なお、これらの機能について、業務部門のエンドユーザ、またはシステム部門であっても熟知していないケースもあります。このような場合、今すぐ大きなリスクには結びつかないと思われるかもしれません。しかしながら、これらの機能の利用有無は、システム制約上、事後的にトラッキングすることが難しく、実際に利用されていないことを証明するのは極めて困難です。

標準機能の一例:システム上の職務分掌(SoD / Segregation of Duties)について

ERPパッケージシステムのプログラム変更管理を適切に実施するためには、開発・保守担当者と運用担当者の担当職務が分離されていることが求められます。またシステム以外の範囲(業務面のプロセス)においても、例えば発注業務と納品担当、受注業務とマスタ登録業務など、職務分掌を整備することで、不正なデータ入力などを予防することが可能となることから、このような内部統制は非常に重要です。

多くのERPパッケージシステムでは、システム上で職務権限を定義し、職務分掌を実現するための便利な標準機能を有しています。しかしながら、このような標準機能が適切な業務上の職務権限に応じて適切に利用できていない場合、本来あるべき内部統制を実現させるための便利な機能が、逆に内部統制にかかわるリスクとなってしまうケースがあります。

ERPパッケージシステムの標準機能を有効に利活用するために

多額のシステム投資を行い、ERPパッケージシステムを導入しても、上述してきたような問題があると、逆に手作業での無駄な管理業務が増大し、想定していた投資対効果も得られなくなる可能性があります。
対応策としては、パラメータなどの機能設定を個々に修正するといった部分策では十分ではなく、ERPパッケージシステムの基本機能を理解した上で、システムを導入した後のフェーズ(運用)を見据えた全体方針(設計思想)を明確に整備し、確実な内部統制の事前構築を図っていく姿勢が重要となります。

導入したシステムが徐々に安定的に運用されていく中で、導入作業に関与した要員がシステム運用業務から離れていき、どのような全体方針(設計思想)で設計されたかのかが分からなくなる事態はよくあります。実際の監査においても、システム上の標準機能をどのような目的で設定しているか、その意図を十分に説明できる要員がすでにいない状況に直面することも稀ではありません。このような事態を避けるためにも、ERPパッケージシステムの導入に際しては、内部統制の構築という観点から、標準機能の利用方法についての確実な事前検討が重要です。

<次回予告>

次回コラムでは、ERPパッケージシステムを用いた内部統制構築のベタープラクティスを紹介します(2018年6月頃を予定)。

主要メンバー

山内 哲也

PwCあらた有限責任監査法人 シニアマネージャー, 東京

Email

最新のシステムプロセスアシュアランス部コラム


関連情報

Contact us

Follow us