{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2018-09-03
前回のコラムでは、ERPパッケージには、標準機能として内部統制を実現することができるパラメータが初めから備わっており、ERPパッケージの導入時にはこれらの機能を適切に利用することが重要である点について説明しました。今回は、SAPやOracle E-Business Suite (以後、「Oracle EBS」と略称)を例として、実際に内部統制を構築していく上でのポイントについて紹介します。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。
ERPパッケージには、内部統制を構築するための数多くの機能、いわゆる「パラメータ」が初めから備わっています。最も分かりやすい例としては、パスワードに係るパラメータが挙げられます。システムの利用にあたっては、認証されたユーザーのみをアクセス可能とすることがセキュリティの上でも重要です。そのためには各人がパスワードを設定し、第三者によるアクセスIDの不正利用を防ぐことが求められます。多くの会社では、自社でパスワードに関するポリシーを規定していますが、ERPパッケージの標準機能では、このようなパスワードポリシーをシステム上で強制設定することが可能です。
例えば、SAPでは下記のパラメータを使って、パスワードの要件を設定することが可能です。
また、Oracle EBSでは下記のプロファイルオプションのパラメータがパスワードの要件設定に用いられます。
ERPパッケージには、上記以外にもさまざまなパラメータが標準機能として用意されており、自社のポリシーに適した値を設定することで、内部統制や業務の効率化を実現することをサポートしています。このような標準機能を適切に利活用することで、ERPパッケージが持つ本来の価値を発揮させることが可能となります。
会社が有する業務内容や内部統制に係る規程・ポリシー従って、適切にパラメータの設定を行うことが重要です。設定したパラメータ値は、システム導入時におけるテストを通して適切であることを忘れずに検証する必要があります。
一度設定されたパラメータ値が、導入後においても変更されずに、継続的に有効になっていることが重要です。そのためには、本番環境におけるパラメータ値の変更を制限する内部統制を整備することが必要です。例えば、本番環境のパラメータ値を直接変更できない設定を導入すること後述します)、開発担当者と運用担当者の職務分離を行うこと、パラメータ値を更新可能なユーザーID(システム管理者などの特権ID等)を適切に管理すること等が必要になります。
また、パラメータの値を定期的にモニタリングし、パラメータの値が本来設定した内容から変更されていないことを定点レビューすることも有効です。
本番環境を直接変更できないようにする標準機能もERPパッケージの多くに搭載されています。例えばSAPであれば、「移送」と「直接変更の禁止」いう機能がこれに該当します。
この機能を用いることで、開発環境で行われたパラメータの値やプログラム等の変更のうち、承認されたもののみを本番環境へ移行することが可能となります(下記図の(1)から(4))。
さらに、本番環境ではプログラムやパラメータを直接変更できなくできる機能を利用し、本番環境における変更はすべて移送の機能を介することで、この仕組みをより強固にすることもできます。(下記図の(5))
その結果、一度設定した本番環境のパラメータの値が不正、または誤って変更されるリスクを低減することが可能です。
私たちは、外部監査人という立場から、多くの会社のパッケージシステムに対し、SAPではACE-S、Oracle EBSではOpticsというPwC独自の監査ツールを利活用して、パラメータ値の設定状況や職務分掌の状況等をレビューしています。
その結果、パッケージ導入時点で十分なパラメータ検討が行われないままシステムの利用を開始しているケース、または実際にパラメータ設定が施されていても、「直接変更の禁止」等、アクセスコントロールが適切でなく、危険な状況でシステムが利用されているケースを数多く見かけます。
導入フェーズでは適切なポリシーに基づいてパラメータ値の設定を行うこと、運用フェーズではパラメータ値が継続して有効に設定されている状態を維持すること、これらを確実に実施することを通して、初めてERPパッケージシステムが持つ本当の価値を引き出すことができます。そのためにも、ERPパッケージシステムを利用されている方々は、自社のシステムのパラメータ活用状況を再確認されてはいかがでしょうか。
なおPwCのツールを活用すれば、現状のERPパッケージシステムの利用状況に潜む課題を効果的に識別し、スムーズな改善対応を図ることが可能です。例えば、OpticsというOracle EBSを対象とするツールを利用すれば、プロファイルオプションの設定状況、職務分掌のコンフリクト等について、可視性の高い一覧形式で把握した上で、優先度の高い課題範囲を見極め、効果的に改善を図ることが可能です。ご興味のある方はぜひご連絡いただければ幸いです。
Oracle EBS:プロファイルオプションの設定状況の表示
Oracle EBS:職務分掌のコンフリクト結果の表示