ISIDでは、会計基準の国際化、決算早期化、内部統制など、さまざまな課題を抱える経理業務関係者の方々のために、その課題解決の一助となるように、本メールマガジンを発行しております。

すでに監査法人やコンサルティング会社からも色々なメールマガジンが発行されておりますが、弊社のメールマガジンは、抽象的教科書的なものではなく、実務目線での情報提供を基本にします。どうぞお役立てください。

様々なシステムにおいて権限設計は必要不可欠なものとなっています。 権限設計が適切に実施されていないと、不正アクセスによる情報漏えい・情報改ざん、不適切な計上処理による着服・偽造、非効率なアクセス管理によるパフォーマンス低下・サービス低下、監査関連の問題など多方面に影響を及ぼします。特に会計システムでは、一旦情報漏えいや情報改ざんが発生してしまうと、企業への影響は計り知れないものとなってしまいます。 ERPシステムであるSAP権限管理を例にして、権限管理の重要性について考察してみます。

◆権限設計手法
SAP導入でプログラム権限を実装する場合、以下のどちらかの手法にて構築します。

1.下流アプローチ
・プロジェクトの実現化フェーズ後半もしくはテストフェーズにて、権限要件検討を開始
・利用可能なトランザクション（標準プログラム、アドオンプログラム）に基づいてSAPロールを策定
・システム構築後に権限要件を整理・検討し、テストフェーズ以降で実装

SAP導入プロジェクトにおいて、多くの企業様で採用されている実装方法です。

2.上流アプローチ
・プロジェクトの設計フェーズの段階で権限要件検討を開始、ルールの設計＆定義
・実現化フェーズでユーザ割当とリスク分析
・テストフェーズでセキュリティテストと稼働準備

導入プロジェクトの初期段階で、稼働前に効率性や権限リスクの緩和を目的とします。

どちらかのアプローチ手法はSAP導入だけでなく、システム開発全般に採用されているといえます。

◆下流アプローチの弊害
SAP導入の初期段階（設計フェーズ）で権限リスクやコンプライアンス要件を整理・検討はしていません。どちらかといえばSAPロールを構築し、ユーザアクセス権の付与後か、もしくは本番稼働後に権限リスクやコンプライアンス要件を整理し対応しています。 制限すべきプログラムが出来ていない以上、下流アプローチ手法は効果的および効率的のように考えられています。しかしながら、行き過ぎたアクセス権付与によるアクセス障害、職務分掌（SoD）の細分化による矛盾の発生など、稼働後に権限設計の見直しや再設計が多くの場合必要となってしまっているのが現状です。また、稼働後、監査要件へ準拠するため、SAPロールを変更しなくてならないケースも発生しており、最終的に膨大な作業時間が必要となり、非効率なアプローチ方法となってしまっているケースも発生しています。

◆モニタリングの重要性
稼働中のシステムでは、常に権限の見直し作業が発生しています。人事での職掌変更、新入社員・中途採用による新規ユーザID作成、退職によるユーザID削除、組織変更による統廃合、合併・買収によるシステム統合など休む暇がありません。 一歩間違えれば、不正の可能性の増大や企業生産性の低下を招きかねない状況となっています。

SAPでは、SAP Access ControlやSAP GRCソリューションをシステム構築時、展開時、稼働時の各段階に対して活用できます。それにより権限設計要件と職務分掌が適切に管理されているかモニタリングでき、ビジネスコンフリクト（矛盾）の根本的原因特定とリスク改善が可能となっています。

また、ISIDはテスト支援＆SAP分析ソリューションである「PANAYA」の機能を使用して、稼働中のSAPアドオンプログラムの権限分析するサービスを提供しています。プログラムが内在しているリスクを洗出し、改修することにより企業のアクセスガバナンスポリシーを適切に管理できるようにしていきます。

ご興味がある場合は、是非弊社にお問合せください。

◇ 担当：小枝 康二（ISID/コンサルタント）

ページトップ

「仏作って魂入れず」とは、物事は仕上げが最も重要であり、それが欠けたときは作った努力もむだになるということのようです。

経理部門には、「仏作って魂入れず」に該当するようなケースが少なくないように思います。

（その1）J-SOX対応：
リスクを識別してコントロールすれば、大きな間違いや不正は防げるはずですが、企業不正が後を絶ちません。その原因の一つが、「ミニマム・アプローチ」によるJ-SOX対応だと思います。
例えば、
　　(1) 重要拠点に、なるべく海外子会社を選定しないようにする。
　　(2) 対象とする勘定科目には、売上高、売掛金及び棚卸資産だけにする。
などです。
この結果、海外子会社での不正事案が後を絶ちません。
また、経費精算や海外出張旅費に関わる不正がなくなりません。

内部統制制度の本質「魂」を考えず、内部統制監査をクリアすることが目的になっているからではないでしょうか。

（その2）IFRS対応：
IFRSは原則主義だと言われています。原則的な決まり事だけが記載されていて、具体的な要求がありません。特に数値基準が明示されることがほとんどないので、判断に困ると言われています。
そこで、IFRSを任意適用している多くの日本企業は、日本基準の数値基準を、そのまま自社のグループ・アカウンティング・ポリシーに取り入れています。
例えば、
　　(1) リース会計においてIFRSには規定のない、「300万円ルール」を取り入れる。
　　(2) 減損の兆候として、IFRSの要求とは異なる「2期連続赤字」を取り入れる。
などです。
企業によって、売上規模は全く違います。また、成長ステージや成長スピードも全く違います。それぞれの企業の実態は異なるのに、他の会社と同じ、画一的な会計処理になるようにして、改善しようとしないのです。 その結果、経営者や投資家の判断のための、より良い財務情報を提供するチャンスを自ら失っているように見えます。 「原則主義」というのは、原則を理解した上で、企業ごとにベストな会計処理を考えて、企業のビジネスの実態を適切に表現することが、「魂」なのです。

（その3）有価証券報告書：
有価証券報告書は、株主総会開催日よりも前に提出することができます。 しかし、ほとんどの日本企業は、株主総会の翌日など、株主総会終了後に提出しています。有価証券報告書は誰のために作成するのか。 株主総会に出席する株主にとって、非常に有用な資料だと思われますが、株主総会までに見られることなく、金融庁に提出される有価証券報告書は、まさしく「魂」のない資料だと感じます。

ページトップ

このコーナーでは読者のみなさまからのご質問を受け付けています。
以下のメールアドレスまでお気軽にお寄せください。

いただいたご質問にはすべてお答えする予定ですが、お答えするのにお時間がかかる場合がありますので、予めご了解ください。
g-ifrs@group.isid.co.jp 『ISID 経理財務メールマガジン』 事務局