会員番号1779 山本 全
1.テーマ :「ツールが無くてもここまでできるSAP ERP内部統制監査」
2.講 師 :三洋電機株式会社 品質・業務推進センター IT統制推進部
浦上豊蔵 氏、梅谷正樹 氏、下田あずさ 氏、木ノ原真由美 氏、中川昭仁 氏
3.開催日時:2015年9月18日(金) 18:30~20:30
4.開催場所:大阪大学中之島センター 7階 講義室702
5.講演概要
(1) 三洋電機㈱でのシステム監査の歴史
1987~1990年頃をシステム監査黎明期としており、他社に比べ早くから取組みを開始。以降中断時期を挟み、システム監査を再開したのは1999年からで、拡大契機となったのは2007年のJ-SOX対応。2000年問題を機に海外子会社に標準システムとして導入したSAPシステムは、「J-SOX以前に導入されたため内部統制が十分に考慮されていない」という課題があった。 さらに、国内事業所でのSAP導入拠点が少なく、SAP監査に対する知見が監査人に全くない状況であった。そのような経緯からSAP監査技法の確立と内部統制の高位平準化が、システム監査部門にとって大きなテーマとなっている。
(2) SAP監査のグローバル傾向
アプリケーションそのものの機能について、ERPであっても自動化統制(正当性、網羅性、正確性)は要求される。パッケージ特有の内部処理ブラックボックス化という現実をふまえ、①ERP導入時に想定したデザイン通りに利用するような統制があるか ②ブラックボックスの前後IN/OUTで正当性、網羅性、正確性が保たれているか ③不適切なプログラム変更が行われていないか、を主要な評価視点とする。SAPでは標準プログラムの改修やDBテーブルの変更は「モディフィケーション」と呼ばれており、これを行うことはERP適用メリット自体を否定することとなるため「原則行わない」が一般認識である。モディフィケーションを行わない限りはSAP標準機能で統制が保証されていると見なすのが海外監査法人における一般的な考えで、自動化統制の評価に重きを置かない傾向があることが、これまでの海外拠点の外部監査支援を行う中で判った。
一方、不備指摘事項として主に外部監査で取り上げられたのは
① 職務分掌の逸脱
初期導入時/組織再編時に職務を十分に考慮せず,必要の無い権限を付与
② 高権限の限定付与の未実施
高権限の過剰な付与や,高権限操作者に対するモニタリングの未実施といったアクセス権限管理に関わるものがほとんどであった。
(3) 職務分掌の評価(職務の分離と実行権限の付与)
SAPには業務処理に結びつく「トランザクション」と呼ばれる機能単位が6万個以上存在する。その中から統制に関わる重要トランザクションを特定して権限付与の妥当性を評価する必要がある。それが十分でなかったことが前項に述べた不備指摘につながっている。重要トランザクションの例は下記の通り。
・マスターデータ(取引先・品目・勘定科目)の登録・更新
・伝票(受注・出荷・発注・検収・請求・会計等)の登録・更新
・与信限度額の変更
・ユーザID情報の登録・変更
最近の傾向として「不正防止」観点が重要視されており、「衝突する特定トランザクションの付与を禁止し、不正の機会を抑止」することをねらいとした取組みを行っている。
一般的な不正リスクシナリオ(架空受注,出荷/架空債権計上,入金による横領等)を想定し、それを防止できる職務分掌(SOD)ルールを考え、衝突回避すべきトランザクションの組合せを定義するという作業を行った。これを元に個々のSAPシステムの運用ルールを照合し整備状況を確認している。また実際のコントロール運用として、トランザクションに紐づくSAP内の定義データに対する検査を行っている。
① ロールのSODチェック
ロール/トランザクション表から、衝突するトランザクションのパターンを持つロールを検出する
② ユーザのSODチェック
ユーザ/トランザクション表を作成し、衝突するトランザクションのパターンを持つユーザを検出する2種類のチェックを実施するために独自のツールを作成しており、同様の機能を持った市販の高額ツールに代替できる効果を創出している。
(4) SAP標準機能を活用した監査手法
ここでは主にSAPにおける高権限IDの管理に焦点をあて、予め備わっている標準機能を活用工夫することで十分なコントロールを実装できること、そして監査にも利用できることをデモを織り交ぜて紹介があった。
高権限IDを①オールマイティ(SAP*等) ②アプリ用の重要なパラメータ等設定ID ③IDの登録・修正・削除が可能なIDと定義している。①については「特に強権なビルトインIDは人による使用がなされていないこと」、またその他の①と②③共通観点では「実行可能IDの存在・付与が限定されていること」が管理ポイントとなる。そしてこれらの条件抽出・棚卸は標準機能を活用することで十分実用的な運用とその検証が可能ということである。
また高権限以外の観点で重要なアクセス権限管理ポイント「不要ユーザ(退職者等)の抽出」「プロファイルパラメータによるセキュリティ設定状況」についても標準機能の活用で容易に確認可能であることも解説された。
(5) 内部統制レベルアップへの取り組み
SAP内部統制を維持するために、システム環境面、教育面での取り組みを継続して行っている。
システム環境面においては①SAP社が提供している仮想企業環境“IDES”をPCサーバー上に構築し、機能検証に役立てていること ②本番環境に対する監査人用ロールとしてSAP_ALL_DISPLAYを新バージョンの環境でも利用できるようにし、監査作業が業務に影響しないような工夫がされている。
次に教育面においては、監査人および被監査部門向けにSAPの“概要”“ITGC”“ITAC”で構成された「内部統制基礎講座」研修が用意されている。実務場面ではそれに対応する形でSAP「自己点検支援ツール(かんたん!チェックシート)」「ITGC監査マニュアル」「ITAC監査マニュアル」が作られている。
また、SAP不正リスク監査にスコープした社内研修コースも別途用意されている。
6.所感
自分自身被監査部門の立場でSOX対応を8年間続けているが、パッケージか否かに関わらず「アプリ仕様そのもの」を主だって評価する段階は過ぎ、「ITと人をつなぐ接点が適正管理されているか」がより重要な評価視点になっていると実感している。その意味でも今回の発表の背景にある課題認識は十分共感できるものであった。
SAPという「自社の手の内に無い」しくみに対し、権限コントロールに責任が持てるよう社内監査部門の立場で徹底的に創意工夫されていることが良く理解できた。パッケージといえどもコントロールするにはそのしくみを深く理解する必要があり、その労を惜しまず地道な取組みを続けられたことが成果に結びついているのだと考える。本日は実機デモも交え、実務者視点からも大変有意義な講演を頂戴しました。
以上