アドバイザリー
連載 「統制活動の効率化(合理化 / 最適化 / 再設計)」

第4回 統制活動の再設計

新日本有限責任監査法人 ITリスクアドバイザリー部
長尾 大輔
2012.06.13
1つ前の記事に戻る

今回は、統制活動の効率性を高めるための3つの主要なアプローチのうち、「再設計」について説明します。

1. はじめに

主要な統制が最適化されると、次は、各統制がどこで、どのように運用されているかを把握し、統制活動の全体構造を見直す段階に入ります。この見直しが統制活動の再設計です。統制活動の再設計に対し、以下の3つの方法で標準化を図る企業が増えています。

  • (1)シェアードサービスの導入
  • (2)ERPプラットフォームへの移行
  • (3)ユーザー認証管理プロセスの標準化にかかる技術の導入

2. 統制活動の再設計に伴う標準化のための3つの方法

(1) シェアードサービスの導入

シェアードサービスとは、複数の組織で共通に実施されている業務について、個々の組織から切り離して集中・統合して別組織として独立させ、複数の組織で共有してサービス提供を受けることにより、経営の効率化を目指す手法を指します。

複数の組織で共通的に実施されている業務には、間接部門に属するものが多く、財務、経理、調達、人事給与などのプロセスは、一般にシェアードサービスの対象です。シェードサービスを実現するため、複数の組織で実施されている業務や統制活動の見直しを行い、共通化させることが必要になります。

しかし、各組織は、個別の文化に基づいてリスクを認識し、それに対応して異なる統制活動を確立しています。このため、大局的な観点から実施される統制活動の見直しに対して抵抗感を持つことが多く、業務改革がうまく進まないことも多々あります。結果、業務や統制活動の共通化が十分に進まないまま、シェアードサービスを導入し、事前に想定していた経営効率化が実現できないケースもあります。

(2) ERPプラットフォームへの移行

ERP(Enterprise Resource Planning)は、統合業務パッケージとも呼ばれます。会計、販売管理、在庫管理、生産管理といった通常、企業が必要とする基幹業務をサポートするパッケージソフトです。自ら基幹業務システムを開発する場合は、自社の基幹業務にあわせて、システム作り上げるのに対して、ERPを導入する場合は、既成の基幹業務を導入するイメージです。

企業がERPを導入する理由の一つは、システム構築に関わるコスト/時間を節約することです。この特性を最大限に生かすには、ERPパッケージが想定する基幹業務にあわせ、これまでの業務や統制活動を変更していく必要があります。

しかし、多くの企業は、独自のやり方を重視する傾向にあり、必ずしも既存の業務/統制活動の変更に対して積極的ではありません。結果、業務や統制活動の変更ではなく、ERPパッケージのカスタマイズという形で対応することになります。カスタマイズのレベルが大きくなると、ERPパッケージの導入によるメリットであるシステム構築に関わるコスト/時間を節約が実現できない可能性があります。

(3) ユーザー認証管理プロセスの標準化にかかる技術の導入

ユーザー認証管理プロセスが、アプリケーション毎に異なっている場合、これを統合することにより、管理活動を効率化する余地が生まれます。 組織内のユーザー認証管理プロセスを共通化し、シングルサインオン(注)などの技術を利用することで、複数のアプリケーションで実施していた権限制御テーブルのメンテナンスを一括して実施することが可能となります。これによりユーザー認証管理プロセスの管理活動を効率化することができます。

  • (注)一度の認証処理によって複数のアプリケーションが利用可能になる認証機能。シングルサインオンを導入した環境において、ユーザーは共通のIDとパスワードによって全てのアプリケーションの機能を使用することができる。

各アプリケーションで設定されている管理プロセスそのものの変更や共通化には(1)(2)と同様、各アプリケーションのユーザーや保守担当者は、これまでの業務を変更することに抵抗感を感じることが多く、共通化が進まないケースがあります。

3. 全体最適に対する関係者の合意形成

統制活動の再設計の基本は、全社的に統制の枠組みを再検討であり、全体最適を目指します。しかし、全体最適を目的とした取組は、個々の関係者のニーズと一致するとは限りません。

通常、組織は、各々の守備範囲のもとで最適化を図ろうとします。これは統制活動についても当てはまります。全体最適を目指しながら統制活動を再設計しようとすると、各組織単体にとって最適となるよう修正を求められます。この修正が大幅な場合、関係者の合意形成ができない可能性があります。

統制活動の再設計に関わる関係者の合意形成に関する秘策はありません。しかし比較的円滑に再設計が進むケースには共通点があります。それは統制活動の再設計に関わる目的・理念が明確で、関係者間で十分に共有されているということです。このような場合、各関係者は、統制活動の再設計が、自身が所属する会社・部門といった組織の利害に抵触する場合であっても、設定された目的・理念に向かって協調していく傾向にあります。目的・理念の明確化・共有化は、統制活動の再設計を円滑に進めるための十分条件とは言えませんが、絶対に必要な条件と言えます。

4. おわりに

統制活動を見直す過程で、これを一つの機会と捉え、ビジネス上の付加価値に注目する動きがあります。その一つが情報セキュリティ改善プログラムです。


次回は、統制活動の改善と情報セキュリティの関係について解説します。


連載 「統制活動の効率化(合理化 / 最適化 / 再設計)」




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?