どうしてSAPの内部監査はアドバイザーになれたのか?~SAPグループ内部監査システム刷新事例~

作成者:中野 浩志投稿日:2014年5月1日

  • このエントリーをはてなブックマークに追加

Businessmen and Businesswomen In a Meetingこんにちは、SAPジャパンの中野です。前回のブログでは、SAPが自社で利用しているデータウェアハウス、CRM、そしてERPもインメモリーデータベースであるSAP HANAにマイグレーションし、どのような業務効果をあげたのか、書かせていただきました(前回の記事。そして今年、2014年2月に、さらに内部監査システムがSAP HANA上に構築されたSAP Fraud ManagementおよびSAP Audit Managementというアプリケーションで本稼働しました。

SAPグループはグローバル化及び企業規模を拡大するにあたって、内部監査業務について、あるべき姿を追い求めながら試行錯誤してきました。不正は取引の停止、反則金の支払いなどによる経済的なダメージはもちろんのこと、エンロン事件からもわかるとおり、企業ブランド・信用を奈落の底に落とし、市場から一発退場を宣告されることもあるからです。

この新システムを導入するプロジェクトを構想した1年半前のことを「複雑で能率の悪い監査プロセスとそのシステムは、どの監査部員に聞いても『限界』と答える状況にあった」とSAP本社所属の内部監査担当、アレキサンダー・ロッドは言います。

今回のブログ記事では、SAPは「なぜ内部監査システムを見直す必要があったのか?」、「なぜ、導入済の他社製パッケージを止め、SAP Fraud Managementを導入しなおしたのか?」について、業務ユーザーとしてプロジェクトに参画したSAPの内部監査業務に従事する二人へのインタビューを通して、ご紹介したいと思います。

Picture1

図1

具体的な内容に入る前に、今回のプロジェクトの概要をご紹介しましょう。

背景と目的:近年、SAPはアフリカ諸国、中国・東南アジアなど新興国に新たに事業進出するなど、グローバル化による事業拡大を続けてきた。それに伴って監査で目を光らせる事業や業務は増える一方にも関わらず、経営層からは定常的な内部監査業務(いわゆる不正調査など)だけではなく、経営幹部への企業買収や新興国進出の際の戦略的な助言業務の提供に対する期待や要請が強くなっていた。

さらに、経営層からは、内部監査担当の増員をせずにそういった付加価値の高い助言業務を提供するように要請されていたが、当時採用していた他社製内部監査(不正検出)パッケージでは、内部監査業務の効率をこれ以上あげることは限界だった(詳細はQ&Aセクションにて記述)。

実施期間:SAP HANAによる新システムの構想自体は1年半前にスタート。システム導入プロジェクト自体は約5カ月、CFOのスポンサーシップの元、監査部門と社内IT部門により遂行され、2014年2月に本番運用を開始した。

適用範囲:SAPグループが展開する120カ国の拠点および、173超の法人に対する内部監査業務に適用。それらの購買業務、販売業務、人事業務、ソフトウェア開発業務などソフトウェア企業として一般的に不正が起こりやすい業務から順に、IIA内部監査人協会の規定に沿って、適用範囲を拡大中。

導入効果:以下のQ/Aセクションで詳細を記載

 Q1:なぜ、SAPは内部監査システムを見直したのか?

A見直しの構想をした当時は、内部監査業務プロセスとシステムに限界が来ていて、「なんとか変えなければ」という思いが、監査部員全体にあったと感じている。経営幹部からは、関係各所や旧監査システムから上がってくる不正の疑いがある事象に対して、適切に取引データを分析し、当事者のインタビューを行い、その報告書類を内部監査プロセスに準拠した形で行うことは当然求められていたが、それに加えて、高度な戦略的助言業務を経営幹部に行うことを求められることが多くなった。たとえば、近年M&AでSAPが買収したとある企業が、中国において現地企業とのジョイントベンチャーを保有しており、その企業も継続保有するかどうか判断するためのデューデリジェンスの基準作成と、それに応じたデューデリジェンスを私たちが担当した。また、とあるアフリカの国に新規に進出する際の市場調査報告も私たち監査部から、経営幹部に行うなどしている。

その状況の中で、不正監視業務では、手間暇のかかる仕組みを回していた。具体的には、ERPから、対象となるデータをファイルにダウンロードして、USBメモリ―スティックで他社製パッケージがインストールされているノートパソコンにコピーし、その都度、不正検出ロジックをツールの独自言語で記述し、夜間バッチを実行して、翌朝疑わしい事象がないか確認するという大変面倒で、労力がかかることをしないといけなかった。

私たち、監査担当は並行して非常に多くの案件を抱えており、時間がないため、このような手間暇がかかるシステムでは、体力的にも「場当たり的な調査」が精いっぱいだった。そこで、業務システム(SAP ERP)とリアルタイムに連携することで作業負荷を軽減し、明らかになった不正パターンを埋め込んで継続的に成長させることができ、効率化できるシステムへの刷新が不可欠であるということが監査部員の総意であった。

Q:SAP HANA上で動くSAP Fraud Managementはどのような業務効果をもたらしたのか?

A今回、業務トランザクションデータはSAP ERPのSAP HANAデータベースからSAP Fraud ManagementSAP HANAにリアルタイムにデータが同期され、リアルタイムで不正パターンの検出・アラートの出来る仕組みが運用開始した。

社外秘事項であるため、具体的に記述することはできないが、旅費精査のごまかしや架空請求・支払などの「資産の不正流用」、取引先への契約見返り要求・利益相反などの「汚職」、架空売上計上などの「財務諸表不正」を検知・アラートする仕組みであると考えていただいて問題ない。

この新システムでは、他社パッケージ時代は事実上困難であった、たとえばSAPグループで登録がある膨大なトランザクションデータを自動的かつリアルタイムにチェックをかけるということが可能になった。しかもサンプリングではなく、SAPグループの全データに対して可能だ。また、不正パターンはSAP HANAのスクリプトとして日々、蓄積して行くことで、精度も上がり、作業負荷は減るという好循環に入って行くことができる。つまり、システムを成長させることができる仕組みになっている。

また、SAP HANAのインメモリーデータベースとしての高速性を活かし、瞬時に全データに不正シミュレーションを回すことができるようになったのも大きい。不正検出パターンを回すと、システム稼働直後の数週間や新パターン追加直後は特に、その精度の低さから、多くの誤検知結果や優先度として高くない取引を多数検出してしまう。これは、どのような監査システムでもそうなので、仕方がないことだが、その代り、不正パターンのロジックやパラメーターを変更して、誤検知が少なくなるように調整をする、つまり、何度もその場でパラメーターを変更してシミュレーションできるということが、システム定着化の中で最も大事なことだと言える。今回運用を開始したシステムではSAP HANAのおかげで、その場その場で膨大なデータであっても瞬時にシミュレーションすることが可能になり、システムの定着化に大きく貢献している。以前の他社パッケージでは、データが膨大になると、夜間バッチを実行して、翌朝結果を見るということをしていた。これではシミュレーションとはいえず、業務に負荷がかかる原因だった。

さらに強調したいのは、この新システムでは、リアルタイムで監査できるので、もし仮に購買・支払処理で不正パターンを検出した場合、SAP ERPのその支払トランザクションをシステム的にブロック、つまり、監査が終わるまで止めることも可能だ。これができるということは、SAPは「事後対処的」な監査に加えて、「予防・抑止」的な監査もできるように、レベルアップしたと言えるのではないかと考えている。

事後対処的な監査業務がなくなることはないが、予防・抑止的な監査が1件でも多くできることは、経済的なダメージの回避(不正先に支払ってしまったら、もうお金がSAPに戻ってくることはないだろう)という観点からも大きい。また、監査をしていると意図せずして、不正に近い取引になってしまったケースなどもあり、こういったものを予防してあげることは、監査業務としても、あるべき姿ではないか。また、ここまでの仕組みが出来ると「不正はみつかる」と思わせることができ、これが牽制効果として働き、不正リスクを大きく引き下げる効果があると考えている。

Q:新システムを導入するにあたって最も重視した点は?

Aそれは、なんと言ってもユーザビリティだ。そのために、使いやすいユーザーインタフェースをもったSAP Fraud ManagementのサブコンポーネントであるSAP Audit Managementを合わせて、導入している。これは図2にあるようなHTML5の技術を採用した監査用アプリケーションで、SAP Fraud Managementで検出された監査調査案件の通知から、監査文書の管理、案件の進捗共有や報告ができるものだ。

Picture2

図2

ユーザビリティというと小さいことのように聞こえるが、今回、新システム導入にあたって、我々ユーザーがもっとも重視し、執拗にシステム導入チームに改善を求めたポイントだった。

SAPではIIA内部監査人協会の規定に準拠するため、その案件調査の必要プロセスをフェーズとその各作業ステップで構成している。監査業務担当はこのステップに定義された作業を一つ一つ行い、その作業ログや議事録をステップに紐つけて残していき、すべてのステップが完了したら、次のフェーズに進んで良いか、実施した作業内容とともに、上長に承認を求めた上で進めるというやり方で業務を行う必要がある。

旧システムでは、このフェーズや作業ステップは巨大なツリー上に表示され、ユーザーは作業を行うごとに、作業を検索→作業ステータスや詳細を記述→添付文書ポップアップを表示→該当ファイルを選択という煩雑な処理を強いられていた。添付文書の命名規約が間違っていた場合は、削除して最初からやり直すという始末だ。前述の通り私のような監査担当は、大小様々な調査案件を何件も平行して抱えているため、ユーザーとして言わせてもらえば、この旧システムは「複雑で能率を落とす」システムだったと言わざるを得ない。

一方、その点において、今回新システム導入にあわせて導入したSAP Audit Managementにはとても満足している。このアプリケーションを使えば、監査で作成した議事録などの文書を、ドラッグアンドドロップで該当する監査案件の上にアイコンを落とせば、自動的に該当監査案件に紐ついて管理することができる。ポップアップを開いて…、などという煩雑な操作はなく、直感的な操作が可能だ(図3参照)。

Picture3

図3

また、SAP HANAのテキスト検索機能が裏で動き、添付したファイルの中身も含めて、全文検索が高速にできるようになったので、検索しやすいようにつけていて命名規約などももはや不要で、それを間違えて操作しなおすなどということもなくなった(図4参照)。監査はとても多くのデータや文書を扱うため、こういったことが圧倒的に作業の効率化を生んでいるのは間違いない。

Picture4

図4

余談だが、SAP HANAの検索機能が高速なので、抽出条件を絞らず、全件検索をすることもできるようになった。これは個人的な経験だが、私が先日作った議事録を読み返そうと監査対象の人物名で検索を行ったところ、その人物は私の前任者から6年前に同じくインタビューを受けていたことを、全件検索でヒットした議事録から発見したことがあった。結果として、この6年前の議事録がこの調査案件を大きく前進させた。これは高速に検索できるシステムだからこそ、起きたことだと思う。

最後に、同じユーザーインターフェースがiPadで操作できることも我々の作業が効率化されていると実感する瞬間だ。監査インタビューで記述したホワイトボードの情報は、いちいち議事録に起こさずとも、iPadで写真をとって、それをそのまま、SAP Audit Managementで紐つけて保存すれば完了だ。議事録としてWordに起こしなおして、添付するなどということをしなくて済むようになった。

上述したようにシステムのユーザビリティをあげることを繰り返し、システム導入部門に要望したわけだが、これらが実現したおかげで、このシステムを使おうという機運が監査部門内で高まっているし、新システム稼働につきものである定着化の課題についても問題はなさそうである。

Q:新システムの投資対効果は出たのか?

A 本稼働して日が浅いこともあり、投資対効果を論じるのは少し早いかもしれないが、投資対効果は確実にでると考えている。なぜなら、上述の通り、監査を行うにあたってのデータ準備から始まって、実際の監査結果報告を行うまでのプロセスにおいて、新システムは監査担当業務の効率化に大きく寄与していることが明白だからだ。

具体的に説明しよう。新システムでは、監査調査案件1件あたり、データ準備や報告作業において1.5人日ほど短縮できていると実感がある。SAPの監査担当は63名おり、年間平均して8案件ほど調査にあたり、その人件費は20万円ほどであるとすると、1億5千万円/年の費用削減ができていることになる。

また、監査の世界では、企業で起きている不正のうち、内部監査により発見できているのは全体の1%にすぎないと言われている。今回、効率化することによって生まれた時間を使って、2%、3%に引き上げる努力をすること、そして「サンプリング」でなく「全件」を網羅的・継続的にモニタリングする仕組みを作ることによる牽制効果により防ぐことができる「不正被害による支出・コスト」の抑制分を、投資対効果として算入すればさらにその投資対効果は高いということができると考えている。

まとめ:

私がSAPジャパンに入社した16年前、SAPはERPアプリケーションを販売するドイツ企業でした。しかし、皆様が勤められている企業と同じように、徐々に取り扱い商品・サービスを拡大し、新興国に進出し、相互補完できるM&A企業買収を経験するなどを経て、現在は多人種・多国籍のグローバル企業になりました。

こういった背景の中、監査体制は「地域別」から「業務領域別」に担当責任者を置く体制に変更する決断をし、監査は購買、販売、など担当の業務領域における取引を拠点横断、つまりグローバルに監視することにしました。これは、地域別だと、監査担当はその地域で行われているすべての業務領域について、専門的な業務知識を身に着けないと、不正を見抜けないことを意味しますが、すべての専門的な業務知識を身に着けるというのは事実上、不可能だと判断したという背景があります。しかし、業務領域別になればなるで、拠点横断ですべての取引を監視することになり、その量は膨大になり、場当たり的に旧システムで手作業をしながら行う仕組みでは限界が来るのは自然のことでした。

読者の皆様の企業もSAPと同じく、グローバル化やM&Aで業容・取引量を拡大されているかと推察します。その時に、SAPが採用していた旧システムのような仕組みを採用されているならば、日に日に不正リスクの発見確率は1%から0.7%、0.5%と落ちている状態である可能性があります。もし、そうであれば、SAPが採用していた旧システムのような仕組みから切り替え、リアルタイム予防、抑止につながる仕組みの構築の必要性はないでしょうか?

不明点やお問い合わせなどございましたら、ご連絡ください。SAPでは本格的なSAP Fraud Management powered by SAP HANAの導入の前に、Proof of Conceptというお客様データを使った実機検証のサービスをご提供し、実際に不正リスク発見のトライアルをさせていただいたこともございます。本格的に導入する前に、期待効果を確認することも可能ですので、お問い合わせいただければと思います。

ヒアリングメンバーのプロフィール

【話し手】
■    アレキサンダー・ロッド(Alexander Rodde)
SAP本社所属、中国在勤の内部監査担当。営業・サービス領域を主な専門領域とし、SAP ChinaとSAP Koreaの監査責任者でもある。

■    フィリップ・クラーマン(Phillip Klarmann)
SAP本社所属、ドイツ在勤の内部監査担当。弁護士でもある

【聞き手】

■吉田 祐馬
吉田 祐馬

SAPサービス事業本部に所属。SAPに16年在席し、販売管理コンサルタント、CRMコンサルタントを経て、現在は、コンサルティングサービスの事業開発を担当。

 
■    中野 浩志
untitledSAPプラットフォーム事業本部に所属。SAP16年在席し、財務会計/財務資金管理コンサルタントなどを経て現在はAnalyticsのCoEを担当。
(米国公認会計士、公認内部監査人、公認情報システム監査人、公認不正検査士)

 

ご質問はチャットWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881(受付時間:平日 9:00~18:00)

  • このエントリーをはてなブックマークに追加

連記事

SAPからのご案内

着記事お知らせメール登録

ブログ記事の情報をメール配信しています。

以下にご指定のメールアドレスを入力し「登録する」ボタンをクリックすると、確認メールが送信されます。そのメールに記載されているURLをクリックすることで登録が確定されます。また、登録の解除も以下からお願いします。


メールアドレス