ERP導入・刷新に伴う内部統制評価および整備

2025年の崖およびSAP2027年問題を背景として、企業のシステム導入・刷新は加速しています。

昨今、企業のシステム導入・刷新を取り巻く環境は、2つのポイントをきっかけとして大きく加速しています。

1つは、2018年 経済産業省DXレポートで「2025年の崖」というキーワード^※1を用いて、DXを実現できない要因として、企業の既存システムはブラックボックス状態であることを指摘しています。また、レポートでは、事業部ごとにシステムが構築されていること、全社横断的なデータ活用ができないこと、過剰なカスタマイズがされていることを課題として挙げています。これらの課題を克服できないと、DXが実現できないだけではなく、日本として最大12兆円/年（現在の約3倍）の経済損失を生じる可能性があることも公表しています。また、経済産業省は、2025年までにシステム刷新を集中的に推進する必要があるとして、既存システム刷新に向けた取り組みを促しています。

※1: DXレポートからITシステム「2025年の崖」の克服とDXの本格的な展開（meti.go.jp）

2つは、SAP2027年問題によるERP導入・リプレイスの検討です。SAP ERP（ECC6.0）の保守期限が2027年12月^※2と迫っており、多くの企業は、S/4HANAへの移行や導入、他社システムへの切り替え、標準サポートなしのまま運用するかという大きな岐路に立っています。

(※2: 2030年末までは追加対応可能)

2つの背景を踏まえ、多くの企業では、既存ERPの継続として、DX実現に向けた1つのステップとして、データドリブン経営実現として、など多岐にわたる目的を図るために、ERP導入・刷新プロジェクトが立ち上がっていることと推測します。

ERP導入・刷新プロジェクトの推進体制のポイント

まず、ERP導入・刷新プロジェクト体制のポイントを見ていきます。下記図1のERP導入・刷新プロジェクトの推進体制（一例）の左は、一般的な推進体制です。こちらの体制では、内部統制についてはほとんど議論されずにシステムが構築され、ERP稼働後に内部統制の議論を開始せざるを得ないケースとなります。

一方、右図は、内部統制対応チームを組成することで、内部統制対応チームが横ぐしで業務およびシステムチームに対して内部統制の視点（要件）を連携する体制です。ここでの体制のポイントとしては、内部統制を理解している担当者は誰かという場当たり的な人選ではなく、第2ライン（経営企画・経理・人事・調達部門等）や第3ライン（内部監査部門）からそれぞれ担当者を適切にプロジェクトに巻き込むことで、内部統制の有効性・効率性などの内部統制の要件を反映させることが必要と考えます。

次に、第2ライン・第3ラインがプロジェクトに関与するタイミングを見ていきます。各フェーズで第2ライン・第3ラインからインプットする情報は多岐にわたります。例えば、システム構想策定フェーズでは、第2ラインからは管理できていない業務領域や業務としての課題感をインプットすることで、ERPへのFitが難しい領域への要件をプロジェクトへ連携することができ、また、第3ラインからは過去監査での発見事項をインプットすることで、監査目線での要件をプロジェクトへの連携ができるため、要件定義に向け非常に有効な情報となります。

ERP導入・刷新プロジェクトに潜む内部統制対応のピットフォールおよびインシデント事例

昨今のERP導入では、Fit to Standardを重視しているため、内部統制への対応難易度があがっています。そのため、ERP運用後にインシデントが発生しないようにポイントを明確に把握し、プロジェクトを進めることが必要です。ここでは、ERP導入・刷新プロジェクトに潜む内部統制対応のピットフォールとして、大きく4つ挙げています。例えば、標準化されないプロセスが存在してしまうピットフォールでは、ERPを導入したにもかかわらず、グループ間で業務プロセスが標準化されないケース、プロセスの標準化に抜け漏れがありシステム稼働後に自動でレポートが出力できないケースや取引先へ二重請求してしまったり、二重支払を行ってしまうケースがあります。　　

また、内部統制の形骸化のピットフォールでは、承認者に処理が集中し申請内容を確認できないケースがあるという情報を把握していたにもかかわらず、新たな内部統制対応として要件に反映せず既存のまま運用してしまい、結果的に不正申請を見抜けないケースが見られます。

ERP導入・刷新プロジェクトの各フェーズで押さえておくべき内部統制の論点（一例）

では、どのようにピットフォールやインシデントを防ぎ、低減していくべきでしょうか。ここでは、ERP導入・刷新プロジェクトの各フェーズで押さえておくべき内部統制の論点を見ていきます。内部統制の論点は、システム構想立案から本番移行まですべてのフェーズに跨ります。例えば、システム構想策定や要件定義のフェーズでは、内部統制の要件を業務・システムに連携できなかったため、後々、不正やオペレーションミスが多発する可能性があります。そのため、内部統制対応では、業務・システムの要件検討と並行して、内部統制の有効性を評価し脆弱な内部統制を整理し対応策を検討することが第一歩となります。また、基本設計フェーズからは、ERP権限設定やセキュリティ対策へと移っていきます。プロジェクト中に、充分に権限を検討していなかったり、過去インシデントのケースを要件として考慮しなかったためERPの権限が正しく設定できていない可能性があります。そのため、権限設定やセキュリティについても、プロジェクトでは並行して確認していくことが必要となります。

ERP導入・刷新プロジェクトのステージは企業ごとに異なっておりますが、ERP運用後にインシデントが発生してしまうことを防ぐために、システム構想策定フェーズから内部統制対応に着手することが重要です。

ERP導入・刷新プロジェクトの内部統制対応に向けて、システムおよび内部統制の両方で豊富な経験を有する専門家が幅広いサービスを提供します

デロイト トーマツ グループでは、ERP導入・刷新の各フェーズで迅速かつ効率的に内部統制対応を支援します。例えば、弊社ではERP導入・刷新におけるリスクシナリオ・標準機能を含めた内部統制例を整理したツールを保有しており、システム構想の段階から既存システムの内部統制の充分性や効率性の診断を効果的に進めることができます。また、貴社のニーズに合わせて、ERP導入・刷新に関連した以下の支援も可能です。

• 改訂J-SOX基準対応における助言/提言
• データを活用した内部監査/内部統制高度化支援
• 財務報告リスクに対応するサイバーセキュリティ内部統制の構築・評価
• Third-party Risk Management^※

※（補足）Third-party Risk Managementとは、委託先等によりもたらされるリスクを特定・低減し管理すること