ERPによる内部統制で危機管理力を強化する：強い中堅企業のIT化シナリオ（1/3 ページ）

[鍋野敬一郎，ITmedia]

オンラインムック強い中堅企業のIT化シナリオ。

鍋野敬一郎

　前回にも少し触れたが「内部統制」強化は大手企業のみならず、中堅企業にとっても避けられない重要課題になっている。むしろ大手企業よりも、コストや要員を割けない中堅企業の方がより深刻だといえよう。

早く、安く、確実に

　企業が内部統制を強化するためのポイントは、いかに「早く、安く、確実に」乗り切る手段を見つけるかにある。もし強化できずに、企業内の不正や不祥事を把握できなければ、結果として企業ブランドに傷が付くだけでなく、上場企業ならば上場廃止や倒産にまで追い込まれる危険もある。米国では、企業のSOX法対応のコストが実に数億円以上にも上り、対応作業も膨大なものであったといわれている。

　また、内容的には文書化作業において、監査側から欠陥や不備を指摘されるケースが大半を占めているという報告もあり、重要課題であることが分かる。

　全体として、多くの中堅企業で全社的なIT化が遅れており、SOX法対応を監査された場合に不備を指摘されるリスクも高い。だが、中堅企業は大企業よりもよりコスト意識を持って投資する必要がある。さまざまなITベンダーに「われわれのソリューションは内部統制対応なので導入必須です」と煽られたとしても、その言葉を鵜呑みにしてはいけない。

内部統制に有効なIT適用方法

　一般に、内部統制の強化に最も有効なITツールはERPであるといわれている。その理由について簡単に説明してみる。

　内部統制を強化する目的は「企業の財務報告の信頼性を保証する」ことに尽きる。財務報告書は日々の会計処理を適切に行い、総勘定元帳に記帳することから始まる。統制すべき範囲を決める際、ベースになるのが勘定科目における質と量をとらえることである。売り上げや原価を含めた売掛金や買掛金に直接関連する科目や、その金額の大きさ（比率）などから、統制すべき範囲を決めていくわけだ。

　こうした財務会計処理は、一般に企業の基幹となる会計システムやERPを使用してデータを収集している。ここで問題になるのが、こうした会計処理を統制するための環境と業務処理フローが適切であるかどうかである。

ITによる統制とは？

　ITによる統制には2種類ある。1つは、セキュリティ、電子メール、ストレージ管理など、主にインフラにかかわる「全般統制」と呼ばれるもの。もう1つは、営業活動に不正がなく、一連の業務プロセスを管理する「業務処理統制」である。

　ERPシステムは、パッケージシステムとしてそのインフラやセキュリティ、きめ細かい権限およびログ管理機能といった標準化されたインフラの上に開発されたアプリケーションである。内部統制で求めているアプリケーションコントロール機能を備えることで、全般統制にも対応している。さらに、財務会計を中心に販売や購買管理が連動していることで、業務処理統制が行えるようになっている。これにより、全般統制と業務処理統制の両方を実現しているのである。

　だが、すべてのERPが対応できている訳ではないため、ベンダーごとに機能を確認する必要がある。また、会計のみ、販売のみといったように部分的な導入では、事前に描いたようなイメージで内部統制を実現することは難しい。

　このように、ERPは企業が内部統制を強化する際に有効なITツールといわれ、特にSAPなど大手外資系ベンダーの製品を欧米の大手企業の多くが採用している。また、国産のERPでも、内部統制対応機能を強化しているGRANDITをはじめ、さまざまな選択肢が登場してきている。

全般統制と業務処理統制