ビジネスには常にリスクが伴う。しかし、どのようにリスク管理をしたらいいのか把握しているマネージャーは、予想外の損失や業務、財務、戦略上のリスク(不正行為を含む)を賢明に回避できる。
事業リスクをテクノロジーで管理するには、特定のビジネスが直面するリスクをまず把握し、ITによるサポート方法を見極めなければならない。こうすることで、事業リスクとITシステムとの関連性が把握できる。
ビジネスにおけるリスクはeコマース環境での業務が原因の一つかもしれない。そうだとすると、ITがどのようにウェブポータルをサポートしているのか把握する必要がある。オンラインでカタログを見たり、商品を注文したり、あるいは後で又そのサイトにログインして注文状況を確認する際に、ポータルはバックエンド・システムと業務データにどのように結び付けているのだろうか?
また、複数の事業体がIFSアプリケーションのような一流ERPシステムをいくつか起動させているとする。その場合、メキシコの事業部では地元のアプリケーションを起動している為、為替にそって修正したデータをスプレッドシートにして転送している。このようなデータ転送やデータ修正に含まれる手動のプロセスは、ビジネスを危険にさらしていると言える。しかし、このような危険はERPシステムに内蔵されているセキュリティー機能によって緩和することができる。
つまり、テクノロジーはリスクを回避するように設計されている一方で、ビジネス上の利益を上げるように設定、使用されなければならない。
ERPシステムをうまく利用すると、法的要件と会計規則の遵守だけでなく、不正行為も回避することができる。またERPアプリケーションとユーザー許可設定により盗用も避けられる。ERPシステムの安全防止装置を利用することで監査時の時間を削減することも可能である。ERPアプリケーションがきちんと設定されると、あらゆる不正行為や企業側のミスから会社を守ることができる。次にあげるERPシステムを使った3つの実践手法を取り入れることで会社の有用資産を守ることが可能となる。
1.トップダウン型リスク・アプローチを使用。
ビジネスにおけるリスク管理ではトップダウン型リスク・アプローチが必須とされている。上層部での管理は競走上の優位性を生み出すことに注目しすぎて、法的遵守に費やす余分なコストを見落としていることが多い。サーベンス・オクスリー法(米国企業改革法)やHIPAA(1966年に設立した米国の医療保険情報の利用可能性と責任に関する法律)などにより、業務に関わる方針のいくつかを取り入れることで利益を得ることができる。また、データの安全保護やリスク回避ガイドラインに沿って、管理上のミスや不正行為による財務的損失の危険を減らすことさえできる。これらのガイドラインに遵守するための手順は会社、ビジネスモデルにより異なるが、どの会社も優れた財務報告書、データの安全保護、プライバシー、住宅情報などのような基本情報に注意し、これらの情報が正確な財務報告を確保することにどのような影響を与えるか留意しなければならない。
このトップダウン型リスク・アプローチでは、何がビジネスにとって重要か見極めなければならない。製造業では会計、給与、健康保険情報、施設資源、在庫などのようなデータが重要とされている。それにひきかえ専門的なサービス環境ではずっと単純に構成されていて、カスタマーサービス、給与データなどのような情報、そして実際の資産としては電話、賃貸オフィス空間ぐらいが重要とされている。
もちろん、重要とされる情報は、ビジネスプロセスや会社にどのリソースが出入するかというメカニズムによって異なる。ビジネスプロセスが異なる時は異なるリスクを回避するようにする。高価な製品(例:工業設備など)を少数の顧客に販売している会社が直面するリスクは、数十万ものアイテムを大量の顧客に販売している会社とはかなり違う。
高価な製品で少ない顧客に対応している会社では、許可された人のみが新規顧客を会計システムに設定できるようにし、支払条件、信用限度、その他の制御がきちんと設定されているか注意しなければならない。
しかし、既に顧客数が多く、小売単価の低い商品を販売している会社にとって顧客を増やすことは重要ではなく、ビジネスの流れや取扱量、取引相手との関係を把握することが重要とされている。ERPシステムは新規顧客を設定するためのプロセスを正式化する優れたツールであり、システムに供給業者との関係を設定することも可能である。
意外なことにERPパッケージを持つ会社の多くは、公表している以上にマイクロソフト社のエクセルを使ってあらゆる制御を回避している。企業向けアプリケーションでないエクセルやその他ツールを監視なしで使用することは、合併買収時とその後に問題となるかもしれない。合併の場合であれば、買収した会社のITツールとプロセスの質によって既存のシステムへの統合を決めなければならない。しかし少なくともしばらくの間は、買収した会社のシステムから新しい親会社に情報を移動させる第一の手段は、危険を伴うスプレッドシートになってしまうだろう。
合併買収がなくても、ビジネスではHyperionなどのような社外ツールを定期的なレポート機能の一部として使用することも可能である。企業向けアプリケーションの社外ツールを使用する時は二つ以上の単独システム間でデータが流れる際にどのようにしてビジネスプロセスの完全性と正確さを確保できるのか確認する必要がある。その場しのぎでエクセルなどのようなツール(内蔵制御があまりないツール)を使用すると、データの一貫性が保ちにくくなってしまう。ERPシステム以外にデータを転換することを減らすと、不正行為が回避されるだけでなく、監査前にプロセスを合理化することができる。
2.アプリケーション内のユーザー・コントロールを利用。
企業がERPシステムにある情報の80%を維持し、その場しのぎのツールでリスクを最小限にしているとしても、ERPシステムの機能やリスク管理のシステム設定法に馴染みがあるわけではない。ERPシステムの機能はリスク管理が事業計画の主な目的ではないため、導入の際に見落とされることが多い上、企業側も監査や不正行為を予測していないことがほとんどだ。リスク管理は他の機能より目立たないため、プロジェクト・マネージャーとコンサルタントが、ERP計画や導入の際に次にあげる主な3つのリスク管理事項を考慮するように促すことが重要である。
i) 役割ベースのセキュリティーで誤りや不正行為を回避。これは誰もが把握しているERPの特徴ではない。しかし、リスクを回避するには、適した人が適した業務を担当し、誤った業務に従事することを回避しなければならない。一般に、これには力の分離が必要とされ、ビジネス・サイクル内(サイクルがorders-to-cash、purchase-to-payであるに関わらず)の全ての業務を一人だけで担当することを避けている。例えば一人で仕入先の設定、その仕入先の発注書の作成、製品の購入、小切手の送付ができるのであれば、その人のいとこが突然、仕入先となりすまさないという保証はあるだろうか。もし、そのいとこも在庫記録にアクセスできるとしたら、架空の仕入先から製品を受け取っていないという事実を隠すため、在庫調整をすることができる。実地棚卸では、それを見つけ出すことはできないため、会社がその架空の製品分を支払わなくてはいけなくなり、その在庫の不一致が発見される前に、誰かが在庫を調整し直すこともできる。企業向けアプリケーションの中には、役割ベースのセキュリティーでリスクを見極め、取り除くものがある(図1を参照)。
図1. 役割の分離(IFS North Americaより提供)
役割ベースのセキュリティーを実行するために、必要な機能全てを分離しようと試みた会社でさえ、いまだに財務担当の職員を雇い、売掛金勘定、買掛金勘定、総勘定元帳などあらゆる業務をさせている。財務業務の分離と役割ベースのセキュリティーのために設計されたERPシステムを主に使用しているにも関わらず、複数の業務を一人が担当することは財務業務の分離という規則に違反している。更に複数の財務業務を他のポジションに分けている企業さえあるのが現状だ。
リスクを回避する為に業務をきちんと分離するには、どの業務を分離するのか明確にしなければいけないので、会社の鍵となる景気循環の分析が必要となる。これは思ったほど単純なものではない。中小企業の部署では異なる業務を担当している3人がお互いのバックアップでもあることがよくある。休暇や病気で欠勤した場合、残りの社員がシステム管理者からサポートを受けながら、休みの社員の業務を引き受けることが多い。そして出勤した際は、システムの許可を削除するようなプロセスなどは必要ないのがほとんどだ。このようにユーザー許可の割り当てや管理が必要なくなれば、やがて役割ベースのセキュリティーはなくなってしまうだろう。
役割ベースのセキュリティーは、アプリケーションの中に構築されるべきもので、導入の際に定義・設定され、維持されるべきだ。
ii) 発見的コントロール、予防的コントロールを導入。役割ベースのセキュリティーを利用するにはあまりにも社員が少なすぎて役割を分担するには及ばなかったり、複雑すぎてしまうことがある。しかし、役割ベースのセキュリティーなどのような優れた予防的コントロールがある場合は、社員が業務システムにアクセスしているか、またそのアクセスで何をしているのか追跡できるかどうかは重要なポイントである。
例えば、役割ベースのセキュリティー図式に従うと、システムの中に顧客を設定することは一人でできるが、顧客記録全般を設定することは通常一人ではできず、誰かが残りの業務をしなければならない。このような社員を毎月監視して、主な業務を追跡すると良いであろう(図2を参照)。もう一つの方法として、小切手の発行にダブル認証が必要な場合であれば、発見的コントロールが役立つ。例えば、社長がオフィスにいない時であれば、変更することもできるが、社長が戻れば不在中にどの小切手が発行されたのか確認することができる。
図2. 業務・イベントの追跡(IFS North Americaより提供)
発見的コントロールは予防的役割の偏析制御が回避されていないか確認するために使用されている。システムの中で誰がアクセスを変更しているのかチェックすることで確認できる。監査ログの許可が変更されているかどうかを確認することは、業務をより良く分離する一つの方法である。
しかしながら、業務の中にはログファイルの確認ではなく、適時の追跡や検証を必要とするものがある。幸いにも、特定のイベントが起きた際(図3を参照)にメッセージを送ることができるERPシステムもある。例えば100万ドル以上の小切手が発行された場合、自動的に最高財務責任者(CFO)まで通知されるなど。
図3. 機能領域の衝突(IFS North Americaより提供)
ERPシステムがこれらの警告を設定できると一般的に認識されているため、大規模な不正取引は回避されている。しかし社員がその限度を知っており、その限度以内の不正行為を行うという場合がある。つまり100万ドル以上の小切手を発行した際に出される警告の他に特定の時間(例:14時間以内)に取引された9千ドルあるいは8千ドル以上の取引が複数ある場合は、通知されるよう設定することもできる。このようなマイナーなものでも積もれば一つの大きな問題になるため、些細なものでも追跡することは賢明である。しかし、このように徐々に起こる問題を対処するのは避けたいのであれば、意味がないが。
iii) ITでリスクを管理。ERPシステムは、一般ユーザーを管理するだけでなく、システム管理者、データベース管理者、プログラマーのミスや財務上のリスクから会社を阻止するために、予防的コントロールと発見的コントロールを提供するべきである。
業務管理におけるリスクを見極める場合と同様に、ERPパッケージのITサイドでのリスク管理は、ビジネスリスクとITの重なる部分を分析することから始まる。これにはアプリケーションのアーキテクチャーがどのようにITサイドをサポートするのか決定することが含まれる。ある一人がERPアプリケーションのソースコードと起動しているデータベースにアクセスするような状況は避けるべきである。このような場合、ITマネージャーやシステム管理者の方がユーザーよりもリスクを伴う操作ができる上、監査時にいかなる不法な行為を隠蔽するスキルがある可能性もある。つまり、ERPアプリケーションの多層環境を使って、ITサイドの役割を分離し、データベースがアプリケーションのソースコードとは別のサーバーに保管されているか確認することは重要である。
データベース管理者のみがデータベース・サーバーにアクセスし、ERPマネージャーはソースコードやシステムにアクセスするべきである。こうすることで、データーベース管理者はデータベースにある生のデータを変更することができるが(アプリケーションのソースコードではなく)、ERPマネージャーはアプリケーションのソースコードを変更することはできても、起動している下層データは変更することができない。
IT予防的コントロールと発見的コントロールは、密に結びついている必要がある。例えばログファイルはデータベース管理者による表の変更を追跡することができる。しかし多くの場合、データ管理者はエントリーアクセス権を渡されるだけで、入力はできてもアプリケーションの下層にある表のデータを変更することはできない。もし、データベース管理者が極めて目先が利く人であれば、ログファイルに入り込み、そのデータベースへの変更を追跡し、あらゆるデータベースの取引を隠すためにそれらを変更することができる。よって、データーベース管理者がサーバーにログインし、その情報をデーターベース管理者がアクセスできない他のサーバーに保存した時に、それを追跡するERPアプリケーション機能の使用を考慮することがとても重要となる(図4を参照)。その結果、不可解な在庫変更やその他の異常があった場合には、これらのイベントが起きた時間をシステム管理者の活動と比較することができる。
図4. ログイン時間の表示(IFS North Americaより提供)
ERPシステムの中には移行できる効用、つまり技術スタッフがコードの新しい区分を把握し試験用として品質保証(QA)環境に移動することが可能な開発環境、がある。試験後、コードは集結地やプロダクションに直接送られる。新コードがアプリケーション内で予想されていたように機能しない場合は、システムを前の状態に戻す、取り消し機能がある。
変更管理や開発環境からライブ・コードへの移動を担当している社員の活動を追跡する、アプリケーション機能の導入を考慮することは重要である。システム管理者は故意にアプリケーションのソースコードを変更したり、一斉に機能するコードの一部を隠すため、移行ツール(多くの企業向けアプリケーションに内蔵されている)を使ってソースコードを変更するプログラムを作ることができる。これは一度に一千万ドルを特定の銀行口座に送金した結果、起こることかもしれない。その機能がうまく作用した後であれば、コードはそのログファイルの結果を消すようにプログラムすることができる。異例な取引の正確な原因を見つけることは、何百もある個々のコードを見直すことなしにはできない。
このようなあらゆるリスクを対処する方法として予防的、発見的コントロールがある。発見的コントロールには優れた目録があり、プロダクション環境を追跡し、誰がどのコードをプロダクションに入力したのか把握できる。予防的コントロールには、役割の分離が含まれる。例えばプログラマーのアクセスは品質保証(QA)環境に限られているかもしれないが、コードをプロダクションに移動させる機能は、システム管理者用のものである。論理的に業務が分離されると、それを活用することはERPアプリケーションにとっては簡単なことである。
3. 自動化されたリスク管理による効率性を堪能。
古い格言にあるように、働いて10ドル稼ぐより、その10ドルを盗まれないように精を出す傾向が我々にはある。リスク管理はそもそも損失を回避するものである一方で、誤りや不正行為を避けるためのプロセスを自動化するという利点も持つ。自動化されたリスク管理手法をERP環境内で実行することで、リスク管理を記録し、活動を遵守することができる。これにより、監査時あるいは、ビジネスシステムに構築された安全装置を記録する必要がある時はいつでも効率的に行える。
多くのERP予防的、発見的機能は、ビジネスが直面するかもしれない遵守や記録プロセスを迅速に処理する自動ツールである。ERPイベントエンジン(IFSアプリケーションなど)で、あらゆる例外をテストし、例外が起きた時に通知を送るよう設定すると、それらの例外記録システムを監査の時の利点として使うことができる。監査をパスするには、制御が基本的なもの、つまり制御をテストし、そのテスト情報を保存するものでなければならない。そうすることで、監査役に信用限度額が変わっていないことを示すことができる。もし、変わっている場合であれば、その通知を受けるはずである。更に、ERPアプリケーションではシステム内の取引全てのログを監査し続けることができ、更なる記録と予防的コントロールが可能となる。
結論
ERP環境内でのリスク管理は、テクノロジーとビジネスが重なる部分のどこでリスクが発生するのか、徹底的な分析を行うことから始まる。幸いにも一流の企業向けアプリケーションが通常はリスク管理活動(予防的コントロール、発見的コントロールを含む)を行っている。
しかし、リスク管理が導入プロセスの際に最優先されないのであれば、テクノロジーは無駄になると言える。この重要な時期にビジネスリスクを分析し、これらのリスクを管理するためのアプリケーションを設定することで、予想外で意図的な損失を避けることができる。更に、これらのリスク管理システムは一度導入されるとプロセス、リスク管理、法規制の遵守を記録するサポートが可能となる。
著者について
Tom Schiesl氏はVirchow, Krause & Company, LLP 社のコンサルティング手法を用い、2003年からこの会社に従事し、コンプライアンス・サービス・チームを指導している。Virchow, Krause社に入社する前は、グローバル・プロフェッショナル・サービス会社の米国ウィスコンシン州ミルウォーキ事務所で企業向けテクノロジー・ソリューションを指導していた。また、同氏は業界の先端をいくロジスティクス管理会社の品質保証(QA)リリース・マネージャーでもあった。数多くの産業に渡り、複雑なプロジェクト・マネジメント、ビジネス・インテリジェンス(BI)、ERP、製造業において貴重なコンサルティング経験を持つ。
筆者への連絡はtschiesl@virchowkrause.comまで。