内部情報の流出や不正取り引きなどの内部不正は、企業の社会的信用にも打撃を与え、最悪の場合、事業継続すら困難にする恐れがあります。企業活動の長期安定化のためには、このような内部不正を事前に排除し、健全な経営環境を維持することが欠かせません。そこで本記事では、内部不正のリスクや取るべき対策について詳しく解説します。
内部不正は企業ガバナンスにとって大きなリスクとなる
そもそも企業における内部不正とは、具体的にどのような行為を指すのでしょうか。内部不正という言葉を聞いて真っ先に思い浮かぶのは、従業員や委託先などが関係する「社内の機密情報の漏えい」や、「金銭の横領」などかもしれません。しかし、実際には内部不正の種類はさらに幅広く、セクハラやパワハラ、モラハラなどの「ハラスメント」、Twitterなど「SNSにおける誹謗中傷の書き込み」、違法残業や賃金未払いなどのような「会社側の労務管理違反」なども含まれます。
内部不正はガバナンスリスクにつながる
上記のような内部不正は、いずれも組織のガバナンスを毀損する行為です。内部不正はその種類に応じた直接的な損害だけでなく、世間に発覚した場合、企業の社会的信用の低下を招く恐れがあります。そして現代の情報化社会において、一度付いてしまった悪いイメージを回復するのは容易なことではありません。そのため、もし組織に内部不正が生じやすい環境要因があるとしたら早急に是正する必要があります。ビッグデータの活用やクラウドシステムの普及によって社会全体の変革が進みつつある現在、組織の内外を問わず潜在するセキュリティリスクへ適切に備えることが求められています。
内部不正のためのガバナンス対策
組織の内部不正を未然に防いだり、早期に発見したりするためのガバナンス対策としてはどのようなものが挙げられるでしょうか。以下では、「内部統制ルールの整備」「内部統制リソースの充足」「ITツールの導入」という3つの観点からガバナンス対策について説明します。
内部統制ルール整備の徹底
内部不正を防ぐガバナンス対策として第一に挙げられるのは、内部統制ルールの整備を徹底することです。というのも、内部不正が起きやすい原因として、自社で作成した内部統制ルール自体がそもそも優れたものでない可能性が考えられます。
内部統制ルールとしては、「業務に関する統制」や「ITに関する統制」などがありますが、いずれの場合も細かく設計することが重要です。特に昨今は、社会情勢の変化が激しく、それに合わせて業務環境も流動的となっているため、その時々の情勢に合わせてルールも適宜チューニングすることが求められます。
内部統制ルールの中でもとりわけ核心となるのは、それぞれの部署や役職、担当者ごとの権限、業務範囲、責任などを明確にした「職務分掌の規定」です。これはたとえば、社内情報へのアクセス権限などにも関わります。
内部統制ルールを社員に遵守させるには、社内教育などを通した意識改革も重要ですが、同時にシステム導入などによる技術的なアプローチも欠かせません。たとえば自身の権限を超えた情報へのアクセスを防ぐには、社員個人の良心に委ねるだけでなく、役職ごとに社内情報へのアクセス制限をシステムで設定するなどの措置が必要です。
内部統制リソースの充足
内部不正を防ぐための第二のガバナンス対策は、内部統制リソースを充足させることです。内部統制のルール整備が遅れている企業の場合、内部監査に必要なノウハウや人材がそもそも不足しているケースも少なくありません。
自社内にそうしたノウハウが蓄積されていない場合、内部統制や内部監査に必要な知識を体系的に学ぶのは難しいという問題があります。また、経営者としても、内部監査室は直接的に利益を生む部署ではないため、人材の補充を後回しにしやすいのが実情でしょう。
このような企業が取るべきひとつの手段として、内部監査業務の一部ないしは大部分を専門の業者にアウトソーシングすることが考えられます。たとえば、専門性の高いIT分野の内部統制だけ、あるいはガバナンスが効かせづらい海外拠点だけ専門業者に委託するといったケースでも、現場の担当者が背負っている負担は大きく減るでしょう。自社に内部統制のためのリソースがない場合、アウトソーシングは非常に有力な選択肢となります。
IT導入による内部統制強化
内部不正を防ぐための第三のガバナンス対策は、ITツールを導入することです。上記でも既に触れたように、内部統制ルールを社員に遵守させる上では、ITツールの活用も欠かせません。
たとえば、ERPを導入していない企業は、ERPを導入することが何よりも先決でしょう。ERPとは「統合基幹業務システム」のことで、全ての業務アプリケーションを統合し、あらゆる情報をひとつのデータベースで一元管理するためのシステムです。業務システムやデータがばらばらに散在している状態では、内部統制の維持はままなりません。しかし、ERPを導入すれば、ひとつの管理コンソールでシステム全体の管理ができるため、内部統制が非常にしやすくなるのです。
ERPベンダーの最大手SAPではガバナンス強化のためのGRC製品を豊富に揃えています。例えば、アクセス違反の検知に特化した「SAP GRC Access Control(AC)」とSAP及びNon-SAPシステムのユーザID・ロールを統合管理する「SAP Identity Management(IdM)」を組み合わせることで、様々なシステムのアクセス権を統合管理できるようになり、ガバナンス強化を実現します。未導入企業がERPを選定する場合、内部統制まで十分に考慮しているERPシステムの中から、自社に合ったものを選ぶことが重要です。
リアルテックのGRCソリューションでERPのガバナンス強化を実現
前項でご紹介したように、ERPの導入は企業の内部統制を高めることに寄与します。そして、ERPのガバナンス機能は、リアルテックジャパンの2つのGRCソリューションを活用することでさらに強化可能です。GRCとは、「Governance Risk Compliance」の略称で、ガバナンスリスクを総合的に管理する手法を意味します。リアルテックジャパンはSAPの専門テクニカルコンサルティング企業として、SAPのGRCに関する以下のサービスを提供しています。
- SAP GRC Access Control(SAP GRC-AC)
- SAP Identity Management(SAP IdM)
SAP GRC-ACは、職務分掌に即した厳密なアクセス管理を可能にするITツールです。大きく分けて、「アクセスリスクの管理」「アクセス申請の管理」「ロールの管理」「定期アクセスレビューの管理」「緊急アクセス管理」の5つの機能領域を有しています。SAP GRC-ACを導入することで、ユーザーは特権IDも含む、ユーザーアクセスの適切な管理が可能になります。
SAP IdMは、複数のSAPや非SAPシステムでばらばらに管理されているID、パスワード、権限ロールなどの情報を統合管理するためのパッケージです。SAP IdMでは異機種環境における「ユーザーIDの登録」「権限の割り当て」「ID無効化」などの自動化ができます。また、「アクセス権の申請」や「パスワードリセット」などのセルフサービス機能を搭載しているのも特徴です。
SAP GRC-AC とSAP IdMはシステムを連携させることが可能で、それぞれ固有の機能を相互に活かしつつ、さらにセキュアな体制を構築できます。既存のIAM基盤の統合・移行・機能拡張の実施において、特にID基盤の移行はセキュリティリスクが高い作業ですが、リアルテックジャパンのGRCソリューションを導入することで、これらの作業も安全に実行できます。
まとめ
情報漏えいなどに代表される内部不正は、組織のガバナンスを毀損し、企業に大きな損害を与えるリスクを持っています。内部不正を防ぐために重要となるガバナンス対策としては、「内部統制ルールの整備」「内部統制リソースの充足」「ITツールの導入」などが挙げられます。
ITツールの具体的なおすすめサービスとしては、リアルテックジャパンが提供する「SAP GRC Access Control」や「SAP Identity Management」などが挙げられます。これらのGRCソリューションを導入することで、企業は職務分掌に即したコンプライアンスの遵守を促進できます。
この記事に関するサービスのご紹介
導入/移行(プロフェッショナル)サービス
プロフェッショナルサービスでは主にSAPシステムの導入や移行、それに伴うテクニカルな支援を行います。ERPやS/4 HANA、SolManといった様々なSAP製品の新規導入、クラウドを含む様々なプラットフォームへのSAPシステムの最適な移行、保守切れに伴うバージョンアップ・パッチ適用等の作業だけでなく、パラメータ設計、パフォーマンスチューニング、導入・移行計画支援等についても対応いたします。
詳細はこちら
