叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

炎上するプロジェクト

内部統制とERP

2000年のIT革命により日本の大企業はこぞってERPの導入を決めました。ERPは情報セキュリティの基本概念である「情報の完全性」を維持することに優れていますが、その導入をさらに後押ししたのが、2008年に適用開始されたJ-SOX法です。

J-SOX法とは「財務報告にかかる内部統制報告制度」を指します。内部統制とは、企業などで財務報告の信頼性が保持され、法令遵守(コンプライアンス)がされることです。その上で業務が効率的に運営されるべく管理を行うことです。

株式上場企業やその連結子会社がJ-SOX法の準拠対象となることから、いわゆる大企業はERPの導入・整備にあわせて「3点セット」を苦労しながら策定しました。

業務フローチャート

フローチャートとは、業務のプロセスを流れ図として「可視化」したものです。業務とシステムの関係性を一見して分かるような関係を図で示しています。

業務記述書

業務記述書とは、企業の財務報告に関わる業務概要や手順を記述した文書です。フローチャートと連動して業務内容の詳細を記載しますが、シンプルな業務の場合は、フローチャートにコメント欄を付記して記載することもあります。

リスクコントロールマトリックス(RCM)

リスクコントロールマトリックスとはリスクとコントロール(リスクに対処するための方策)の関連を整理した表のことです。業務フローチャートや業務記述書に比べるとマイナーな資料だと思います。

例えば「受注業務」において取引先の与信を超えた金額を受けるリスクに対して、受注に際して得意先の与信枠を確認することがコントロールの例となります。

内部統制3点セット

内部統制を実現する上でERPの導入は効果的です。ERPは会社の全体最適を実現するために、アプリケーションと情報を統合しています。ERPを導入することで自然にデータの整合性が確保されます。また、ERPの利用ユーザにロールを割り当て、ロールに対するアクセス権を割り当てることができます。これにより、業務で発生するリスクの統制をはかることもできます。

ロールベースのアクセス制御

炎上するERP導入プロジェクト

日本の会社は規模の大小に関わらず、業務が属人化する傾向があります。「業務に人をあてるのではなく、人に業務をあてる」会社が多くあります。人が異動したら、その人と業務も一緒に移動する妙なことが日本の会社ではあります。業務のマニュアル化が出来ていないのです。若しくはマニュアルはあっても、それを読むだけでは業務の引き継ぎが出来ないのです。日本の会社の業務はそれほど、複雑怪奇なのです。

すでに崩壊している終身雇用制度ですが、組織の人がどんどん変わることを日本の会社はあまり意識していないのです。

このため、ERPのような「あるべき姿(TO-BE)」が組み込まれた「業務システムの導入」は熾烈を極めます。ERPを導入するにはいまの業務を整理する必要があります(これをBPRと呼びます)。

現状の業務とあるべき姿のギャップがあまりにも大きく、社員は「認知的不協和」を感じます。認知的不協和とは、心理学の言葉で人間が矛盾する認知を同時に抱えた際に覚える不快な心理を指します。そして人間はこの不快感を解消するように考え、行動します。

認知的不協和の解消法としては、あるべき姿である”TO-BE”に向かっていくことが望ましいのは明らかです。それが本来の「ERP導入の目的」であり、社員が目的を共有して「業務改革(BPR)」が実現できます。ERP導入の目的としては、例えば「属人化された業務の無理・無駄を無くし、シンプルな業務にすることで、社会の変化への対応力をつけることとする。」などが考えられます。

TO-BEによるERP導入の目的

しかし、複雑怪奇、属人化した日本の会社は、ERPをそのまま受け入れることが出来ません。一方、会社はERP導入で大きな投資をしています。失敗は許されないのです。

そのため、目的は手段に代わります。とにかくERPを稼働させることが第一となりました。日本の会社は現状業務である”AS-IS”に、ERPシステムを適合させていく方法が取られました。ただ、そこには認知的不協和を解消するための理論的根拠が必要です。それは、たとえば「現状業務で実現できることを維持した上で、ERPを導入することにより、スムーズなシステムと業務の移行を進める。」というような考え方をしました。

AS-ISによるERP導入の手段

この結果、日本の会社のERPシステムは、ERPの標準機能に「アドオン」と呼ばれる会社独自の機能をたくさん追加開発して、カオスで複雑な業務を維持したままERPを導入・稼働させるケースが多々見られるようになりました。

それでも導入出来た会社は幸せです。多くのERP導入プロジェクトは、要件が決まらず炎上し、開発が遅れ、立ち止まり、Sier(システムインテグレーションを行う業者)が謝罪に追い込まれる、歪んだPDCAサイクルを産みました。

炎上したプロジェクトのPDCAサイクル
そして、歪んだPDCAサイクルを繰り返すうちに、IT業界の世間的なイメージはどんどんどんどん悪くなり、新 3Kと揶揄されるようになりました。

  • 暗いのK
  • 帰れないのK
  • 心を病むのK