コーポレートガバナンスを支援する包括的なGRCプラットフォーム

グローバリゼーションやデジタルエコノミーが進む中、コーポレート部門が扱うシステムは複雑化しており、人的チェックでは企業リスクを捉えきれない。SAPジャパン株式会社、CFOソリューション推進室　専任部長（公認内部監査人）の関口善昭は、2017年3月8日に開催されたセミナー「SAP Finance Day　デジタルエコノミー時代に求められるファイナンスの展望」の中で、GRC（ガバナンス、リスク、コンプライアンス）について講演し、効率的、効果的に機能し得るガバナンス基盤の仕組み、リスク管理の仕組みを解説した。

性能の良いブレーキがあるからこそ、思い切りチャレンジできる

「攻めの経営」に対し、コーポレート・ガバナンスは「守りの経営」にあたる。新幹線やスポーツカーが高速で走れるのは、加速性能もさることながら、実はブレーキの性能が良いからだ。経営も同じで、「守り」のGRC（ガバナンス、リスク、コンプライアンス）がしっかりしているからこそ、「攻め」の経営で思い切りチャレンジできるのだ。

まずGRCとは何かを確認しよう。

Gはガバナンスの頭文字。「企業統治」と訳されることが多いが、やや違和感がある。「統治」だと、「君臨する」とか「治める」というニュアンスになるが、元々Governは「律する」という意味。「コーポレート・ガバナンス」は、「コンプライアンスを達成しつつ、リソースを有効かつ適切に配分し、予定した利益を創出するように経営者を“律する”」というのが本来の意味だ。

「ITガバナンス」は、現地法人がグループのルールを無視して勝手にシステムを変更したり、作ったりすることがないよう、ITシステムを律することを意味する。「データ・ガバナンス」は、データの定義や計算式等をグループ全体で標準化し、勝手な解釈、運用を許さないようにすること。例えば、本社の売上の定義と、現地法人の売上の定義が違うと、そのデータをいくらリアルタイムで集計しても意味がなくなってしまう。なお、「内部統制」は、経営者が従業員、組織を律するというのが元々の目的なので、経営者には内部統制ではなく、ガバナンスが適用される。

Rはリスクの頭文字。語源はラテン語のRisicare（リジカーレ）で、非常に危険であるというネガティブな意味と、勇気を持って試みる、チャレンジしなければ成果は得られないというポジティブな意味がある。

Cはコンプライアンスの頭文字。「法令順守」と訳されているが、語源はラテン語のCompleo（コンプレオ）で、「神の付託に答える」、「社会的な要請に応える」という意味だ。法令順守はもとより、社会の一員としてなすべきことをなすという、より広い範囲を指している。従って、単に「法律を守っていればよい」という意識ではない。法令は、国民や社会のニーズを反映して作られるが、日本の場合は５～７年を要する。よって、その法令の、立法趣旨や背景を理解して行動する必要がある。

「攻めの経営」と「守りの経営」を支援する情報基盤

ここからは、リスク管理の仕組みについて見ていく。まず、「攻めの経営」と「守りの経営」の両方を俯瞰し、効率的・効果的に推進できるシステムの姿（以下の図を参照）を考えよう。

現状は、ある管理を始めるとなると、それに必要な情報をグループ全体から集めてくる必要がある。テーマが増えると、それに伴って、データ収集の工数が飛躍的に増大し、収拾がつかなくなり、管理が困難となる。例えば、制度連結のために、各グループ会社からデータを集め、次に予算管理のために、各グループ会社から必要なデータを集めてくるという具合だ。

一般的に、IT予算の70％が現状のシステムのメンテナンスに使われており、30％しか新規のIT投資ができていないと言われるが、その理由の一つはここにある。

一方、全てのシステムから、一旦データをインメモリ型データベースのSAP HANAに集結させれば、連結管理、予算管理、不正検知、リスク管理など、必要に応じて必要な明細を参照できる。これにより経営管理を行うEPM(Enterprise Performance Management）ソリューションで「攻めの経営」を担い、不正管理やリスク管理などのGRCソリューションで「守りの経営」を実現できる。

「守りの経営」をつかさどるGRCアプリケーション

SAPは、さまざまなGRCソリューションを提供している。主要なものをいかに紹介する。

SAP Risk Managementは、リスクとリターンが適切なバランスを保っているかをモニタリングするためのアプリケーションだ。「攻めの経営」では、連結純利益やEBITなどのKPIでパフォーマンスを管理するが、「守りの経営」では、KRI (Key Risk Indicator)等でリスク量を計算する。その際、何をリスクとするか、またどのような計算式で計算するかを定義する必要がある。その他に、それぞれのリスクについて、どこまで受け入れられるかという受容レベル、および「受容」、「回避」、「移転」、「低減」などの対応策や、優先順位を決める必要がある。

SAP Fraud Managementは、膨大なトランザクションデータの中から、不正会計や横領などの不正パターンの予兆を検知するものだ。

犯罪学の中では「不正のトライアングル」という理論がよく知られている。これは、不正をしようと思えばできてしまう「機会」、不正をしたいと思う「動機」、不正を行う際に起こる良心の呵責を打ち消す理由付けができる「正当化」の3つが揃うと、不正が発生する確率が高まるというものだ。このうち、「動機」と「正当化」については、個人の心の中の問題なので対策が難しいが、SAPは「機会」に注目することで不正を防止しようとしている。つまり、「機会」をシステムによって徹底的につぶすのだ。

SAP Fraud Managementには、約70種類の不正取引のパターンが登録されている。そして、SAP ERPやその他のシステムに刻々と入ってくるデータを、自動的にこれらのパターンに照らし合わせ、不正の予兆を検知したら管理部門や監査部門等にアラートを出す。必要に応じて支払処理を自動的にブロックすることも可能だ。このように従来のサンプル検査ではなく、全数検査を行うので、この実施計画をグループ内にアナウンスするだけでも抑止効果となる。

SAP Access Controlは、適切な権限を持った人が業務に当たっているかを管理し、不正アクセスを防止するためのアプリケーションだ。J-SOX（内部統制報告制度）でも、公認会計士が必ずチェックするのがアクセス権限で、例えば、発注する権限と受入検収の権限の両方を同じ人が持っていると、不適切な操作が可能となる。SAP Access Controlには、このような、68,000通りを超える不適切な組み合わせが定義され、アクセス権限が適切かどうかを確認できる。

特権ユーザーの管理も可能だ。例えばシステム部門の人は立場上、非常に強力な権限を持っていて、システムトラブルが発生したときでもすぐに調査ができるようになっている。　まさに不正を行おうとすればできてしまう立場にあるといえる。このソリューションを使うと、特権ユーザーによる処理内容は履歴が残り、作業終了時に管理者にその作業履歴の情報が飛ぶようになっている。特権ユーザー管理ソリューションは、特権ユーザーの作業内容を可視化することで、特権ユーザーに不必要な嫌疑がかかるのを防ぐソリューションでもあると言える。

このほか、ERPの中の設定が不適切なものに変更されていないかを自動的にチェックするSAP GRC Process Controlや、内部監査室の事務作業を効率化するSAP Audit Managementなどが存在する。

システムだけでは、不正はなくせない

SAPでは、さまざまなGRCのソリューションをご提供しているが、システムだけでは不正をなくすことはできない。真のGRCを実現するには、究極の選択を迫られた際の心のより処となる「社是・基本理念」の徹底、明確な「ポリシー・制度」、不正が発生しやすい例外処理を減らし、標準化の徹底を実現した「プロセス」、不正の予兆を検知してアラートする仕組み、権限分離のチェックを行う仕組み等々の「システム」の合わせ技で初めて実現できると考えている。

本日の講演が皆さまの会社の攻めと守りの経営の両立を考える上で、何かのご参考になれば望外の喜びである。

2017年3月8日に開催されたSAP Finance Dayの関連記事は こちら をご覧ください。

ご質問はチャットやWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881（受付時間：平日 9:00～18:00