物品やサービスの購買、請求書の受領、業者への支払いといった購買から支払までの一連のサイクルは、基本的な業務プロセスです。しかしながら、適切な管理がなされず、継続的なモニタリングもなされない場合には、大きなリスクが存在します。購買から支払いまでのプロセスにおけるコントロールが最適化また可視化されていない場合、間違いや不正の見過ごしによって、延滞料、仕入割引の計上漏れ、タイムロス、資産の喪失、コンプライアンス違反、といった問題が発生する可能性があります。

以下は、購買〜支払サイクルの主要な３プロセスです。各プロセスにおいて適切なコントロールや可視化されたプロセスが構築されていない場合に、多くの企業が直面する共通のリスクがあります。

仕入先管理（仕入先マスタファイル）●● ─重複・未承認の仕入先登録、仕入先マスタファイルへの権限外の者によるアクセス、源泉徴収レポートの誤り購買発注●● ─未承認の購買、不適切な発注プロセス、未承認の返品・調整・引当て処理買掛金●● ─不完全なあるいは不正確な支払情報、二重支払、債務と支払の記録漏れ、物品やサービスの受領を伴わない請求

企業が購買〜支払サイクルを効果的に管理、モニタリングすることが困難な大きな理由の１つは、マニュアルコントロールへの過度の依存です。マニュアルコントロールはエラーを起こしやすく、また容易に変更や回避が出来てしまいます。システムコントロールを有効活用し、全体の統制環境を最適化するために、多くの企業はSAPERPCentralComponent（ECC）6.0のようなERP（EnterpriseResourcePlanning）ソリューションについての知識を向上させようとしています。企業は、ECCにSAPBusinessObjectsGRCのようなGRC（Governance,RiskandCompliance）ソリューションを導入し最大限に活用することで、コストとリソースの大きな削減を実現しています。

SAPのGRCソリューションは、主要な業務プロセスにおける重要なモニタリングとして継続的に機能します。パラメータを設定することにより、あるいはコントロールをカスタマイズすることにより、購買

〜支払サイクルにおいて、誤謬、不一致、潜在的な不正や法令違反をいち早く特定し対処する仕組みを導入することができます。しかしながら、SAPBusinessObjectsGRCのようなツールの有効性にもかかわらず、多くの企業はSAP環境の購買〜支払サイクルで適応できるコントロールを活用し損ねています。その主要な理由は、企業がSAPECC6.0における標準コントロール機能を認識していないことにあります。

SAP環境において最適化されたコントロールを実装・維持し、システムコントロールとマニュアルコントロールを適切なバランスで組み合わせることで、企業は購買〜支払サイクルにおけるすべてのギャップを埋め、（予防と発見両方の側面において）不正リスクを低減し、SOX法の求める内部統制の確保と効果的なコスト削減を実現することが可能となります。

購買〜支払サイクルにおいてリスク管理を効果的に実施するための理想的な統制環境には、以下の６つの領域が含まれるべきです。パラメータ設定によるコントロール●● ─これらのコントロールは、仕入先マスタファイル情報のような「マスタデータ」の信頼性を維持するように設計されます。マニュアルコントロール●● ─これらのコントロールには、権限者による承認が含まれます（SAPの自動ワークフローは承認設定も可能です）。IT全般統制●● ─権限外の者による変更リスクを、コンピュータ制御とITノーティフィケーションが低減します。検知レポート●● ─例えばSAPでは、カスタマイズなしでコントロールとして利用できる標準の検知レポートが多く用意されています。セキュリティ●● ─明確に区分されたアクセス権限と職務分掌のルールが含まれます。ポリシー&プロシージャ●● ─企業の購買〜支払サイクルにおいて、仕入先の選定基準や取引の限度額、請求書や発注書の承認権限の付与等のコントロールを、ルールとして定義します。

購買〜支払サイクルにおけるコントロールが最適化されていない企業には、多くの共通する問題がみられます。以下は、仕入先管理、購買、買掛金プロセスにおいて多く見られる典型的な事例です。

SAPにおけるプロセスコントロールの最適化

Protiviti、Protivitiロゴは、Protiviti Inc，の米国ならびにその他の国における商標または登録商標です。その他の記載されている会社名・製品名は各社の登録商標です。

Protiviti | 2

仕入先管理

多くのビジネス、特に全国的ないしはグローバルで幅広い仕入先との取引がある企業では、仕入先マスタファイルは短期間に膨大なデータ量となります。これは購買〜支払サイクルに関連するマスタファイルの効果的な維持管理をより困難にし、金銭的な損失や不正のリスクを発生しやすくしています。

仕入先管理プロセスが適切に管理されていない場合に起こり得る事例を、ここで１つ紹介します。　プロティビティのGRCおよびSAPの専門家が、最近、ある大企業の仕入先マスタファイルを検証しました。28,000あまりの登録仕入先の内、63%(17,700件以上)が、3年以上請求や支払業務を行っていないものでした。さらに、1,700件以上の仕入先は二重登録の可能性があり、1,500件は無効あるいは完全でない情報が登録されていました。

仕入先マスタファイルに登録されている仕入先が、最近使われていない場合や削除マークがつけられていない、あるいは特定の業者に支払が行われないようブロックされていない、などが見つかることは稀なことではありません。購買〜支払サイクルにおける正確性を保証するために、企業は仕入先マスタファイルの定期的な棚卸とクリーンナップを実施し、仕入先情報の登録や仕入先マスタファイルの用途を確認するコントロールを強化すべきです。

購買

購買発注プロセスは、多くの企業がコントロールの最適化に労力を費やしている分野の１つです。多くの場合、企業は既に堅実な購買発注プロセスを確立させており、SAPや他のERPシステムによって強固なコントロールが導入されています。支払いにおいては、請求書、納品書、注文書の自動照合を効果的に活用しています。しかしながら、統制のとれた、取組に積極的な企業においても、SAP環境において利用可能であるコントロールを最大限に有効活用できていないケースが多く見られます。

購買発注プロセスにおいて、例え優れた統制環境においても発生する典型的な問題の１つは、発注日付よりも請求日付が先行しているデータがシステムで発見されることです。これは、発注をシステムに登録する前に請求書が届いてしまった場合、請求書、納品書、注文書の照合が本来のコントロールとしてではなく形式的な手続きとして実施されているような場合に起こりうる事象です。これらの根本的な原因としては、不十分なユーザー研修や、プロセスに対するコンプライアンスの欠如が考えられます。

購買〜支払サイクルの購買発注に関連して、組織横断的に見られる他の問題としては、納品書を受領してから注文書をシステムに登録するまでに、非常に大きな遅れが生じることが挙げられます。この問題は、どういった購買に注文書が必要とされるのかというコンプライアンスの欠如や、注文書をタイムリーに発行するための手

続きが、実施されたり、されなかったりする事が原因となります。また、購買発注が適時・適切に登録されない、購買発注の適切な承認とコントロールが存在しない、またマネジメントによる管理がなされていないといった原因も挙げられます。

買掛金

過去２年間、多くの企業が運転資金を最適化するよう努めてきました。これらの努力は近年の経済環境によって動機づけられている場合もありますが、単純に運転資金をより効率的に活用したいということもあります。SAPERPシステムとGRCツールを活用して、これらの取り組みを支援する１つの方法として、合意された契約条項が購買システムに登録されている事や登録された契約条項が権限のない関係者によって勝手に無効にされていないかを確認することが挙げられます。

買掛金プロセスを精査してみると、仕入先と交渉した契約条項が注文書や請求書に反映されていない事象がみられます。これは、仕入先との契約や関連情報が仕入先マスタファイルに反映されていない場合に起こり得ます。また、請求や発注レベルを上書きすることを防止する適切なコントロールが設計されていない場合、仕入先と交渉した契約条項は簡単に変更され、また変更されたことが発見されない可能性があります。企業は継続したトレーニングやコンプライアンス活動、購買チームと買掛金チームの連携強化を通して、支払条件の強化に努める必要があります。

リスクエリア：ベンダーメンテナンス

二重の仕入先マスタは単に疎ましいものであるだけでなく、深刻なリスクでもあります。もし同じ仕入先がシステムに二重で登録されている場合、二重支払の潜在的なリスクが存在します。また、正しくない仕入先を基に購買が行われた場合には、仕入先と取り決めた適切な数量値引を享受できないリスクがあります。

仕入先マスタの二重登録リスクを低減するためには、企業は仕入先マスタの申請や承認プロセスにおいて強固なコントロールを整備する必要があります。契約更新や新規登録に伴う仕入先マスタファイルの更新が、購買発注や請求支払の権限者以外によってなされるコントロールも整備することのひとつです。

以下は企業が共通的に利用できる最適化の方法です。それらには、仕入先マスタの集中管理機能（小規模会社のようなケースでは、仕入先マスタ管理のための集中機能を持つことが難しい場合もあります）、仕入先マスタにおける入力必須項目、マスタデータの完全性チェック・二重登録チェックのための設定、というったものが含まれます（図1参照）。

企業がSAPECC6.0及びECC5.0環境における最適化につながるSAPコントロール事例の1つが、仕入先マスタにおける入力必須項目の設定です。このコントロールは、購買や購買発注の

Protiviti | 3

SAP最適設定の例 SAPの設定 最適化の結果

最適化されたSAP仕入先マスタファイルに関するコントロール

● 仕入先マスタファイルの入力必須項目の設定

● マニュアルコントロールとシステムコントロールのバランスが改善される

● 一貫性とデータの信頼性を可能にするERP設定の最適化が可能となる

● プロセス整備にセキュリティの内容が含まれる

● 重要項目についての二重承認

● 仕入先の二重登録チェック─警告メッセージ

● 仕入先の二重登録チェック─入力項目

● 必須、オプション、非表示、表示項目

● 銀行コード、国、銀行口座、代替支払先、小切手、二重請求、許容値グループ

● 警告メッセージの設定

● 二重登録防止フラグをオプションで設定する（都市、会社名１、会社名２、電話番号等）

● 仕入先の二重登録チェック─報告

図1：購買から支払までのプロセスを最適化し、誤謬や不正のリスクを最小化するためのSAPコントロールの事例

完了確認や、請求プロセスにおいて必要な書類の照合がなされているかの確認に役立ちます。このコントロールの導入なしには、企業はこれらの業務を上手く遂行できないでしょう。加えて、継続的に同じ項目が入力されることにより、取引先マスタの二重登録自動チェックのような他のコントロールを補完できるというメリットがあります。

その他のSAPコントロールには、取引先マスタにおける重要項目、例えば銀行口座情報のような非常にセンシティブな項目の二重承認があります。二重承認が求められることは、不正リスクを最小化し、従業員が仕入先の銀行口座情報を自分の銀行口座情報に改竄し企業から違法な支払を受けるといったことを防止することができます。

仕入先の二重登録チェック項目は、企業が仕入先マスタの二重登録を一早く特定することを手助けします。しかしながら仕入先マスタ二重登録チェック項目として、あまりに多くの項目を設定してしまうと逆に支障があります。企業は多くの項目を設定すれば、より多くの仕入先の二重登録を特定できるようになると考えますが、あまりに多くの項目を設定しすぎると、発信される警告メッセージは減少します。それはすべての項目を設定した場合、警告メッセージを出すために全ての「チェック済」項目との100％の整合が必要になるからです。

適切な数の警告メッセージが出され、二重登録を防止することが出来る一方でERPシステムがダウンしてしまうことのない適切なバランスの「チェック」項目の設定が求められます。多くの企業は自社のSAP環境に仕入先二重登録チェックを設定することに注力していますが、その一方で警告やエラーメッセージ出力の設定を漏らしてしまい、それらの恩恵を十分に受けられないこと

がよくあります。

リスク領域：購買発注と請求処理

購買発注と請求プロセスにおいて、SAPが企業の自動化の促進を支援することができる主要な３領域があります。購買発注と受領品の照合●● ─企業は注文していない物品を受領していることがないかを、確認することが出来ます。受領品の数量と請求書の照合●● ─企業は受領していない物品について支払を実施していないかを、確認することが出来ます。請求書の自動支払承認●● ─もし注文書、納品書、請求書の３点について照合済みであれば、仕入先への支払をシステムで自動化することができ、時間を節約し、人為的なミスや不正を防止することが出来ます。

購買発注と請求処理におけるコントロールの最適化

SAPはまた請求処理において、対応する購買発注への「許容範囲」を設定する機能を持っています。許容範囲を設定することで、請求書との不整合によりブロックされる支払の数を減らし、購買〜支払サイクルを効率化し、支払いの誤りを最小限に減らすことができます。

多くのケースでは、注文書の注文価格と請求書の購入価格の差異には、正当な理由があると考えられます。企業は、即座に支払をブロックしてしまう代わりに許容範囲を設定することで、時間と資源の浪費であるマニュアルによる差額調査を避けプロセスを効率化することが出来ます。

もう１つの許容範囲チェックは、注文書ないしは請求書と、受領品

Protiviti | 4

の間の数量差異についてです。この許容範囲の設定によって、企業は注文していない物品を受け取れないように、あるいは受領していない物品に対して支払を行えないようになります。数量チェックでは、システムに予め登録しておいた物品数を超過する請求明細を、SAPがブロックするかどうかを設定します。例えば、企業が100個の商品を注文していたにもかかわらず99個しか受領しなかった場合、支払は承認されます。しかしながら101個の商品を受領していた場合、システムに予め設定しておいた許容範囲を超過してしまうため支払はブロックされます。

購買〜支払サイクルにおける請求書照合（請求書/納品書/注

文書）では、企業の支払方法や購買発注方法に応じて、最大15のパラメータ設定あるいはカスタマイズが可能です。購買〜支払サイクルにおける最適化の最大のポイントは、人的エラーや不正を低減するコントロールのシステム化と、SAPにおける購買機能の十分な理解です。

統合ERPシステムであるSAPにおいては、購買〜支払サイクルだけでなく幅広い主要業務について、パラメータ設定によるコントロールが活用できます。プロティビティは図2に示すような様々なプロセスにおいて、パラメータ設定によるコントロールを400以上用意しています。

一度コントロール設定や統制環境の最適化を実施すれば、SAPではBusinessObjectsProcessControls（ビジネスオブジェクツ・プロセスコントロール）のような更なるソリューションを提供すること

が可能です。ビジネスオブジェクツはパラメータ設計と開発フェーズにおける実装の健全性をモニタリングし、適切な権限を持たない者によって変更が加えられていないことを保証します。

総勘定元帳、管理会計、財務資金管理

OTC（Order to Cash）

購買支払

在庫＆プラント保全

人材管理

資産＆プロジェクト

ベーシス

業務コントロール

コンプライアンス（SOX）コントロール

コントロール最適化

図2:SAPECC6.0の標準機能は、業務や財務報告プロセスを自動化し最適化する数百のパラメータ設定を用意しています。

どのように企業はSAP環境を最適化させるのか

SAPコントロールの最適化プロジェクトのライフサイクルには、以下の３つのフェーズが含まれます。分析●● ─企業は脆弱性や欠点を特定し理解するために、SAP環境の評価を行います。標準化と自動化●● ─欠点に優先順位をつけ、プロセスの自動化を行いギャップの改善をします。（マニュアルプロセスについても改善がなされるケースもあります）モニタリング●● ─一度環境が最適化されれば、その後は継続的なモニタリングが可能です。SAPBusinessObjectsGRCSolution（SAPビジネスオブジェクツ・GRCソリューション）は、最適に設計した統制環境を企業が維持することを支援します。

Protiviti | 5

ケーススタディ：SAPコントロールとSOX法

多くの企業がより費用対効果の高いSOX法対応を達成するために、SAPのプロセスコントロールを活用しています。内部統制の枠組みにおいて、自動化を達成することが可能な領域を決定するためにプロティビティのGRC及びSAPの専門家は、400以上のパラメータ設定によるコントロールリストを用いてSAPコントロールがどのSOX法リスクを低減するのかについて企業のSAP環境を評価します。これにより、SAPのシステムコントロールによって低減されていないSOX法リスクの特定をし、その対応のためにはマニュアルコントロールの実施も必要となる場合があります。

あるプロジェクトにおいて、プロティビティは企業の内部統制フレー

ムワークを、社内の古いシステムにおけるマニュアルコントロール主導(53%)のものから、システムコントロールあるいはシステム依存コントロール主導（80%）のSAPシステムへの移行へと変容させることに成功しました。その企業は既にSOX法対応に着実に取り組んでいましたが、特に購買〜支払サイクルにおいては、コントロールの合理化、システム化、最適化の余地がありました。

SOX法対応のための改善完了後、プロティビティはその企業に対して、受注から請求、人事、総勘定元帳を含む全業務プロセスにおけるコントロールの合理化を支援しました。SAPECC6.0を導入し、パラメータ設定で利用できるSAPコントロールを最適化することで、企業の内部統制の全体的な構成を、マニュアルコントロール68%から、システムコントロール、あるいはシステム依存コントロール64%へと移行することができました。（図３参照）

加えて、企業はレガシーシステムを廃止してSAPシステムで新しいシステムコントロールを導入し、コントロールの信頼性を強化することで、40%のコントロール数の削減をしました。統制環境を最適化することで、この企業はSOX法対応だけで年間500,000ドル以上の費用削減を実現しました。

SAPを利用したコントロールの合理化プロジェクトによって、SOX法対応の潜在的なコスト削減を行うかを決定するためには、企業

は投資とリターン両方の側面を計算し、費用対効果分析を行う必要があるでしょう。図４はコントロール実施におけるコスト削減（例えば、組織においてマニュアルコントロールを誰が実施するのか、年間に何回実施する必要があるのか、コントロール実施に何時間かかるのか、実施者の社内単価はいくらか）およびSOX法のテスト実施にかかるコスト削減（いくつのマニュアルコントロールが存在しているのか、それらのコントロールをテストするのにかかる時間、テスティングの単価）を算出するための計算式ですコントロールの大

Before ─ レガシーシステム After ─ SAP ECC 6.0

36%

50%

14%

マニュアル

システム依存

システム

マニュアル

システム依存

システム

プロセス合理化の結果事例レガシーシステムVS SAP ECC6.0

68%

27%

5%

図3：プロティビティのSAP及びGRCの専門家は、ある企業の内部統制の見直しを支援し、主要な内部統制のフレームワークをマニュアルコントロール主導（68%）から、システム及びシステム依存コントロール主導（64%）へと変更しました。

プロティビティについてプロティビティ（Protiviti）は、リスクコンサルティングサービスと内部監査サービスを提供するグローバルコンサルティングファームです。北米、日本を含むアジア太平洋、ヨーロッパ、中南米、中近東において、ガバナンス・リスク・コントロール・モニタリング、オペレーション、テクノロジ、経理・財務におけるクライアントの皆様の課題解決を支援します。プロティビティのプロフェッショナルは、経験に裏付けられた高いコンピテンシーを有し、企業が抱えるさまざまな経営課題に対して、独自のアプローチとソリューションを提供します。現在、世界60拠点で2,500名のコンサルタントが活躍しています。

Protiviti、Protivitiロゴは、Protiviti Inc，の米国ならびにその他の国における商標または登録商標です。その他の記載されている会社名・製品名は各社の登録商標です。

部分が自動化した場合、上記には記載されていませんが、新規コントロール実施担当者のトレーニングコスト削減を含む間接費用の削減効果もあります。システムコントロールはマニュアルコントロールと比較してはるかに不備率が低いため、企業はテストに不備があった際の再テスト費用を削減することも出来るでしょう。加えて、多くの企業は購買から支払までのプロセスだけでなく他の主要な業務プロセスにおいても、統制環境の最適化を実現します。業務担当者はマニュアルコントロールに時間を費やさなくともよいため、

全体的な生産性の向上が見込めるでしょう。

プロセス改善の機会を理解するためにアセスメントツールを利用することで、業務プロセスとテクノロジーをより深く洞察し、SAPのようなERPシステム導入の最適化を支援することが可能となります。また統制環境の適正性を継続的にモニタリングするソリューションやツールを使うことで、企業は費用と手間の両方を大きく削減することが可能となります。

図４：計算式はSAPを用いたコントロールの合理化を通して、潜在的なコントロール実施コストと、テスト実施コストの削減金額を算出する計算式

SOX法対応の潜在的コスト削減を決定する

削減できるマニュアルコントロール数

平均の１時間当たり社内単価

コントロール実施におけるコスト削減額

マニュアルコントロール実施にかかる平均時間

コントロール実施におけるコスト削減（例）：

SOX法のテスト実施にかかるコスト削減（例）：

削減できるマニュアルコントロール数

平均の１時間当たりテスティング単価

コントロールのテスト実施におけるコスト削減額

マニュアルコントロールのテスト実施にかかる平均時間