IT業務処理統制の支援ソリューションに求められる機能は？：「内部統制」に振り回されない賢いログ活用とは（2/2 ページ）

[増田克善，ITmedia]

ERP本来の機能の活用が統制不備を防ぐ

　ただ、実際のERPの導入シーンを見ると、標準機能のみでの導入は少ない。会計と販売管理など、部分的なモジュールを導入するケースも多い。ERPに各種の異種システムがつながっているため、ERPが持つ統制機能を直接活かせる業務領域も限定される。

　あるいは、日本企業は従業員のモラルや信頼感をベースに業務の利便性を重視して、パラメーターで統制レベルを緩く設定するなど、ERPの統制機能をあえて使っていない場合もある。

　また、業務プロセスの固有性から、アドオン開発によってERPの本来の姿に手を加えている場合もあるだろう。この場合は、業務処理統制上のERPの機能が働かず、リスクが内在することにもなる。

　マスターデータの管理においても業務処理統制上の問題がある場合もある。本来、ERPのマスター管理では、例えばマスター登録された製品の割引率を変更する場合、一定の承認プロセスを経て、変更履歴も確実に残せる機能がある。

　ところが、業務の迅速性や自由度を上げるために、変更権限があいまいな状態であったり、承認プロセスを経ないために変更履歴が残らないような使い方になっているケースがある。これでは、実施基準案の具体例にあるマスターデータの正確性の確保が保たれていないことになる。例外処理の修正と再処理でも同様に、承認プロセスと履歴が確保されていないこともある。

　このように、IT業務処理統制に有効であるERPだが、円滑な運用を重視したために、ERPで業務処理を統制していても効果が半減してしまう、あるいは不備を指摘される結果になりかねない。すでにERPを導入している場合は、現行システムの処理プロセスなどを見直す必要があるし、導入を検討している企業は業務処理統制の確保の視点で構築することが重要になる。

　一方、ERPパッケージのモジュールを部分的に導入しているケースや会計システム／販売システム／購買システムなどを個別に導入している場合などでは、ワークフローツールによって手作業やシステム化された業務処理を含めた一貫性のある業務フローを容易に構築することができる。

　ワークフローツールは業務プロセスにフォーカスしているため、業務フローの設計もGUIにより簡単に行えるようになっている。これにより、手作業や複数のシステムを別々に利用した業務に対して、承認フローを追加し統制機能を組込むことが可能になる。

IT統制の要となる認証とアクセス制御

　業務システムにおける認証とアクセス制御は、IT全般統制にかかわる要素でもあるが、IT業務処理統制上も重要なポイントになる。業務システムが正しく利用されていることを保障するためのアクセス管理には、アクセス権を定義し、実際のアクセスを制御するという2つの要素がある。

　それらにおいて考慮すべきポイントは、まず役割ベース（ロールベース）のアクセス制御がある。システムへのアクセス権をユーザーIDに対して与える代わりに、「A部長」あるいは「B課」といった具合に、利用者や部門などの業務上の役割に対してアクセス権を与え、アクセス制御を行うことが求められる。

　また、軽く前述したが、「職務分掌」も監査における重要な概念の1つだ。ある業務プロセスを特定の人のみが担当していると、不正の防止は困難になる。業務の遂行に当たって、プロセスおよびチェックをいくつかの権限に分けることにより不正を発生しにくくするという考えに基づいたものだ。

　例えば、経費の精算という業務では「経費の申請をする人」「申請を承認する人」「実際に出金を行う人」を分ける。つまり、申請、承認、実行の3つの権限を分けることにより不正を防ぐ必要がある。

　こうした認証やアクセス制御の考え方は、業務システムにおけるアクセス管理やワークフローツールによるプロセス管理などで実現していく必要があるだろう。

本記事は、ITセレクト2007年1月号「内部統制ソリューション最新事情」を再構成したものです。