内部統制の重要性が増していることから、SAPの内部統制整備を検討している事業者は多いのではないでしょうか。内部統制により企業のガバナンスを強化することで、健全な企業経営に繋げることができます。そこで本記事では、SAPに内部統制が求められている理由やその重要性、SAPおすすめの内部統制サービスについてご紹介します。
SAPで内部統制が求められる理由とは
企業が健全な成長と発展を遂げるためには内部統制の整備が不可欠です。整備された内部統制は業務の効率化や収益性の改善に寄与するのはもちろん、企業の社会的信用や企業価値の向上に欠かせない取り組みといえます。そして、内部統制の整備は組織の運営だけでなく、社内システムの運用においても同様に重要な経営課題です。
とくに基幹業務を統合管理するERPシステムの内部統制は、優先的に取り組むべき課題といえるでしょう。なかでもERPシステムにSAP社の「SAP ERP」を採用している企業は、内部統制の整備が喫緊の経営課題となっています。なぜ「SAP ERP」を利用している企業にとって内部統制の整備が急務となるのでしょうか。ここからは、その理由について順を追って解説していきます。
2027年問題
SAPユーザーに内部統制が求められる理由のひとつが「2027年問題」です。SAP社はERPシステムのリーディングカンパニーであり、国内企業の多くが「SAP ERP」を統合基幹システムに採用しています。SAP社は1973年に世界初のERPシステム「R/1」をリリースし、それ以降「R/2」「R/3」「SAP ERP」「SAP HANA」とバージョンアップを繰り返してきました。現在は最新版として「SAP S/4HANA」がリリースされてるものの、依然として「SAP ERP」を利用している企業が多く、その数はおよそ2,000社以上といわれています。
そんなSAPの ERPパッケージ「SAP ERP 6.0」のメインストリームサポートが2027年をもって終了するというのが「2027年問題」です。メインストリームサポートが終了すると、不具合を修正するパッチプログラムの提供や問題への対応といったサポートを受けられません。したがって、「SAP ERP」を利用している企業は、2027年までに現行の「SAP S/4HANA」へと移行する必要があります。そして、ERPシステムをリプレイスする際はデータ移行や管理における明確なルールを策定し、遵守する仕組みを統制するデータガバナンスが必要です。
データガバナンスとは、簡単に言えば組織内におけるデータ管理を統制する仕組みを指します。「SAP ERP」から「SAP S/4HANA」へと移行する際は、基幹情報をどこに集約し、どのような形式と順番で移行するのかといった明確なルールやセキュリティポリシーが必要です。このルールやポリシーを欠いてしまえば、さまざまなデータが組織内に散在し、セキュリティと情報の検索性が著しく低下します。このような理由から「SAP ERP」を採用している企業は、システム運用における内部統制の整備が急務となっているのです。
J-SOX法の影響
SAPユーザーに内部統制が求められるもうひとつの理由が「J-SOX法」の影響です。2001年に米国の総合エネルギー企業「Enron社」や大手通信事業者の「WorldCom社」の不正会計事件が相次いで起こり、世界中で大きな話題となりました。こうした事件をきっかけとして企業の内部統制の重要性が再認識され、2002年に米国で「SOX法」が制定されます。その流れを受けて日本でも2006年に「J-SOX法」が成立し、2008年4月より施行されました。
J-SOX法とは、日本版のSOX法を意味する通称であり、正式名称は「内部統制報告制度」と呼ばれます。J-SOX法は財務報告における信頼性の確保を目的として、すべての上場企業に対して財務諸表と共に「内部統制監査報告書」と「内部統制報告書」の公開が義務付けられる制度です。非上場企業であっても、上場企業の連結対象となっている場合は対象となることがあります。また会社法における大会社も内部統制の構築が義務付けられています。
内部統制とは「財務報告の信頼性」「事業活動にかかる法令等の順守」「資産の保全」「業務の有効性・効率性」を主目的とした取り組みであり、ITインフラやITシステムの運用・管理も含まれます。ERPシステムに関しては、情報漏洩インシデントやセキュリティリスクに対する管理が徹底されている状態でなければなりません。たとえば、ユーザー管理やセキュリティ監査ログ、権限設定における職務分掌などの内部統制が必要です。
SAPで実施すべき内部統制のポイント
ここからは、SAPで実施すべき内部統制のポイントについて見ていきましょう。
SAPのクラウド移行
近年、クラウドファーストの流れが加速しており、多くの企業がシステム環境をオンプレミスからクラウドへと移行しています。とくにSAPユーザーは2027年問題の影響もあり、「SAP ERP」から「SAP S/4HANA」へと移行する際に、システムをクラウドへリプレイスする企業が多い傾向にあります。
「SAP S/4HANA」は、オンプレミス版とクラウド版のサービス形態があり、さらにハイブリッド環境の構築にも適しているERPシステムです。そのため、自社の企業規模や事業形態に合わせて、柔軟なシステム環境を構築できる点がメリットといえます。しかし、柔軟なシステム環境を構築できるということは、裏を返せばそれだけ多くの選択肢が存在することを意味するため、運用体制を最適化する内部統制の整備が欠かせません。
たとえば、アクセス権限設定やセキュリティポリシーの策定、機密データの安全管理措置など、運用・管理におけるルールの策定と、それを遵守する体制と仕組みが必要となるのです。とくに複数のユーザーがリソースを共有するマルチテナント型のクラウドプラットフォーム上にSAP環境を構築する際は、クラウド特有のリスクを理解した上での内部統制が不可欠といえます。
GRCの整備
ERPシステムは財務・会計・人事・生産・販売など、企業の基幹業務を一元管理し、部門を跨いだ業務連携や情報共有を可能にするソリューションです。しかし、そこには決して漏洩してはならない機密情報が保管されており、サイバー攻撃からの保護はもちろん、従業員の誤操作や情報の持ち出しといったインシデントを防ぐ仕組みと環境を構築しなくてはなりません。
そこで重要となるのが「GRC」の整備です。GRCとは「Governance・Risk・Compliance」の略称で、経営体制の統合的なリスクマネジメント手法を指します。企業倫理や経営方針を統制する「ガバナンス(Governance)」、事業活動のあらゆる危機を想定する「リスク(Risk)」、法令やルールを遵守する「コンプライアンス(Compliance)」の3要素を首尾一貫させ、効率的にマネジメントしていく概念です。
ERPシステムの運用効率を最大化し、事業リスクを最小化するためには、GRCを強化し、さまざまな脅威を可視化する体制を整備しなくてはなりません。近年ではGRCの重要性が高まっていることもあり、SAP社でも内部統制や内部監査、データ保護や国際取引管理の効率化、アクセスのガバナンスなどを目的とした「SAP GRC」をリリースしています。GRCの整備は内部統制の最適化に寄与し、企業としての健全な成長と発展につながるでしょう。
リアルテックジャパンのGRCサービスでガバナンス強化
「SAP S/4HANA」への移行を検討している、あるいはクラウド環境へのリプレイスを思索している企業におすすめしたいのが、リアルテックジャパンが提供する「REALTECH GRCセキュリティスターターパック」です。同社はSAP関連のソフトウェアプロバイダとして、さまざまなサービスやソリューションを提供しています。「REALTECH GRCセキュリティスターターパック」は、SAP社のGRCツール「SAP Access Control」の導入と運用を支援するサービスです。
「SAP Access Control」は「SAP S/4HANA」への移行を検討している企業にとって、内部統制を最適化するために欠かせないソリューションといえます。たとえば、職務分掌やルールセットの定義、アクセス権限設定の管理と自動化など、GRC強化と内部統制の整備に欠かせない要件をサポートします。「REALTECH GRCセキュリティスターターパック」についての詳細は下記URLをご覧ください。
まとめ
企業の成長と発展にコーポレートガバナンスが必要なように、ERPシステムの運用においてもルールを統制する仕組みが不可欠です。とくに2027年にメインストリームサポートが終了する「SAP ERP」から「SAP S/4HANA」への移行を検討している企業にとって、データの移行と管理に関する内部統制の整備は必須といえるでしょう。SAP環境を最適化するためにもリアルテックジャパンのサービスを利用してみてはいかがでしょうか。
