SAP 内部統制トレーニングコース

　こんにちは、丸山満彦です。Enterprise Resource Planning（ERP)ソフトのSAPジャパン社が日本で内部統制のセミナーを開始したようです。内部統制の監査がもし始まるとするのであれば、ERPソフトの設定が監査上も重要となりそうですね。

　
　まず、特定の企業の宣伝をするつもりはまったく無いし、このセミナー自体が良いセミナーかどうかは知りませんが、リリース文書に今後の内部統制監査をする際の重要なポイントが書かれているので紹介します。
　
■SAPジャパン、内部統制に関する新たなトレーニングコースの提供を開始
・日経のページのほうが断然読みやすい
　
＝＝＝＝＝
従来よりＳＡＰのＥＲＰシステムは、ＥＲＰが本来持つ機能である、権限の管理機能やワークフローなど内部統制に関連する機能を数多く搭載しているため、各担当者が内部統制に関する正しい知識を有することでより効果的にシステムの構築や運用を行うことができます。さらに、米国企業改革法（ＳＯＸ法）に対応したソリューション「ＳＡＰ　内部統制管理」により、主要業務プロセスに関する管理状況のモニタリング機能、内部統制文書の管理に携わる担当者間のコミュニケーションを促進するワークフロー機能、内部統制管理に対するＣＦＯの承認機能の導入も実現します。
＝＝＝＝＝

　まさに、この通りで、SAP（SAP以外もですが・・・）はERPが本来持つ機能である、権限の管理機能やワークフローなど内部統制に関連する機能が搭載されています。
　問題は、導入企業とその導入コンサル会社がそれを知らずに導入してしまっているということです。ITの内部統制は、

①　業務プロセス（例えば、販売プロセス、購買プロセス、原価計算プロセス・・・）に組み込まれれるべきITの内部統制（例えば、販売入力をできる人を限定したり、販売入力を権限者が承認しなければ、販売が確定しないといった機能や、予算と実績比較による販売の）と

②　コンピュータ全般内部統制（例えば、SAPの特権権限を持つIDの限定など）

にわけることができます。

　業務プロセスにコンピュータ化された内部統制が正しく導入されていなければ、業務プロセスに内部統制をアドオンで組み込むか、ソフトウェアや設定の変更をする必要があります。業務プロセスの構築の段階から必要となるITの内部統制を組み込むことが重要です。

　ERPだけでなく、作りこみのソフトウェアも同じで、要件定義の段階で必要となる内部統制を組み込まなくてはなりません。

　ソフトウェア開発者や導入者が正しく内部統制を理解することが必要となりますね。

　セキュリティも同じですね。要件定義の段階で適切なセキュリティ要件を定義しておかなければならない。（ちなみに、財務報告の内部統制においても、セキュリティ（特にアクセス管理）は重要となりますね。）

---

このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。