ERPで内部統制や監査対応を強化。透明性の高い会計の実現へ

会社内の不正行為は、企業に致命的な打撃をもたらすリスクとなります。企業は、コンプライアンスを遵守してガバナンス(統制)を維持し、内部監査への対応や外部監査への対応(外部統制)の仕組みを確立することが必要になります。日々の適切な経理・会計処理を含め、企業が統制を強化する上で基幹システム(ERP)の観点から求められる機能や要件を解説します。

【企業の課題】大企業が直面するガバナンス、コンプライアンスの維持、内部監査対応

企業が健全な事業活動を続け、成長していく上で欠かせないのが「内部統制」です。内部統制とは、端的にいえばさまざまな業務が適正に行われ、組織が適切にコントロールされた状態を維持するために定められたルールや制度を意味します。企業には、承認漏れや誤発注などのミスもあれば、経理面では横領、ファイナンス面では虚偽報告のようなさまざまなリスクが存在します。内部統制の強化はこれらのリスクを防止するために欠かせません。

日本において内部統制が注目されるようになったのは、2008年より適用が始まったJ-SOX法(内部統制報告制度)がきっかけであり、会社法における大企業(資本金5億円以上または負債200億円以上の株式会社)は、事業年度ごとに公認会計士または監査法人の監査を受けた内部統制報告書を提出することが義務付けられています。
とはいえ、実際に内部統制を機能させるのは容易なことではありません。

デロイト トーマツ グループが2020年12月3日に発表した「企業の不正リスク調査白書Japan Fraud Survey 2020-2022」によると、「過去3年間で不正が発生した」と回答した企業は前回調査(2018年)の46.5%から53.9%に増加しました。

その原因の1つとして同社が指摘しているのが、長引く新型コロナウイルス感染症の影響です。同調査の回答企業のうち68.3%の企業がリモートワークの導入に関連した情報インフラ投資を実行していますが、セキュリティレベルやモニタリングの強化といった情報管理の徹底は49.8%にとどまっているとされ、情報不正のリスクへの対応は十分とは言えない現状を示しています。

また、57.6%の企業がコロナ禍で海外駐在・出張が制約されていると回答しており、対面でのコミュニケーションは日本企業の海外子会社ガバナンスにおいても効果的な手段であったことから、統制環境が脆弱化する懸念があります。

【Biz∫の解決策】アプリケーション統制を強化するための5つの観点

事業を取り巻く環境の変化が激しくなる中で内部統制を改めて見直す必要があり、企業の基幹業務でも同様に、それに対応したシステムが求められます。その存在は不正の防止はもちろん、内部監査へのスムーズな対応にも役立ちます。

NTTデータビズインテグラルが提供するERPパッケージ「Biz∫」およびワークフロー、アプリケーション共通基盤「Biz∫ APF」では、内部統制の中で特に重要な位置を占めるアプリケーション統制に求められる要件に対応する仕組みを設けています。具体的には次の5つの観点から対応していきます。

(1)不正・誤り防止

ワークフローを通して段階的にエントリーチェックを行ったり、Biz∫の外部連携プログラムを活用したりすることで入力時のミスを防ぎます。

(2)エラーの検知

Biz∫に異常データが混入した際に検知してユーザーに警告します。

(3)トレーサビリティの担保

エラーや不正の発生源を追跡できる仕組みを提供します。これらを実現する上で必須となるのがログです。Biz∫でマスタ更新ログやトランザクション(オンライン・バッチ)ログの取得を行うほか、会計伝票から原始証憑へのバックトレースをサポートします。

(4)改ざん防止

格納されたデータへの不正な修正を防止します。承認済伝票の変更履歴をワークフローから取得することでチェック体制を強化します。また、Biz∫におけるシステム間インターフェースの自動化、アプリケーション共通基盤におけるシステムログイン制御など、第三者が入り込めない仕組みによって改ざんを防止します。なおログインは、シングルサインオン(SSO)にも対応することで利便性を向上します。

(5)適切な権限設定

適切な職位・職責に基づいたアクセス権限、入力制限を行います。さまざまなアプリケーションの機能に対して、本当にその機能を必要とする人のみに利用を限定することが内部統制の基本となります。Biz∫では、任意に設定したロールやグループ、役職、組織の組み合わせにより、メニュー単位のアクセス権をきめ細かく設定できます。

ERPでワークフローによる承認フロー確立・可視化と証跡確保を実現し、内部統制強化を促進
Biz∫では、適切な権限設定のほか、標準搭載のワークフローによる承認フロー確立・可視化と証跡確保を実現し、内部統制強化を促進する

上記は通常の業務フローにおける統制強化の機能ですが、もう1つ欠かせない観点が「監査への対応」です。Biz∫を中心とする一連のソリューションは、職務権限や職位に応じた実行可能な処理設定(メニュー設定・処理機能実行可否)、財務報告の信頼性を確認するための支援機能(システム設定の検証を支援する機能、統計機能、ログ統合管理機能、文書管理機能など)を提供し、内部監査に対応する業務を効率化する各種機能を備えています。

IT統制に求められる要件の例
IT統制に求められる要件の例。Biz∫ではログの取得などの作業を省力化、あるいは標準化して提供することで、運用負荷の軽減を支援する。

内部統制対応を考慮したセキュリティ機能を実装

アプリケーション統制を効かせるためには、セキュリティ機能がもう1つの重要なポイントとなります。Biz∫はID/パスワードのポリシー設定といった基本的な機能に加え、次の2つの機能を提供しています。

  • 監査証跡の記録
    ワークフローと連携することで伝票入力後の承認履歴を取得し確認できます。各アプリケーション機能についても、オンライン業務の実行結果ログやエラーログ、バッチ業務の実行開始情報と実行結果をファイルに記録。万一、不正アクセスが発生した際にもこれらのログを検証することで迅速な状況確認を行えます。
  • 参照権・更新権コントロール
    システムに記録されるデータの参照や修正は、職務に照らして必要最小限に限定されている必要があります。Biz∫では、各種伝票に対して情報の照会可否を制御する「参照権」および、登録/更新/削除可否を制御する「更新権」をユーザーや部門ごとに制限することが可能です。

不正検知ソリューションとの連携によるリスクの早期発見

なお、Biz∫では、さらなる内部統制強化のために、AI(人工知能)を用いたソリューションとの連携によって、不正を自動的に検知できる仕組みを構築できます。デロイトトーマツグループのデロイト トーマツ リスクサービス社が提供する不正検知サービス「Risk Analytics on Cloud」と連携し、Biz∫の試算表データや販売データ、購買データなどを、同サービスに読み込ませて分析・可視化することで、効果的かつ効率的にリスクの兆候を把握できるようになります。多数の子会社や事業を抱える企業の経営企画部門や経理部門では監査業務の大きな省力化が期待できます。

以上のように、Biz∫は内部統制にまつわる課題を包括的に解決し、コロナ禍によって社会や市場が急速に変化していく中で、健全な事業活動を実現します。