ＩＴ統制とＥＲＰの秩序

内部統制のひとつにIT統制があります。IT統制は、その名のとおりITを活用した情報システムに関連する仕事です。

内部統制の実現にITの活用は必須ではありませんが、多くの企業の業務プロセスはITに依存しています。DX（デジタルトランスフォーメーション）の流れは不可逆です。IT統制により企業・組織内でのITの適正な整備と運用が求められています。

ちなみに「IT統制」に似た言葉で「ITガバナンス」というのがあります。両者の違いはいまいちはっきりしないのですが、内部統制は「内部」という言葉から分かる通り、企業、組織の内部を統制する目的です。一方、実際のビジネスプロセスは、企業や組織内部で完結しません。

取引先との受発注では、紙の注文書に代わってEDI（Electronic Data Interchange）が使われます。EDIは商取引に関する情報を標準的な形式に統一して、企業間で電子的に交換する仕組みです。受発注などの取引データを専用線やインターネットなどを使って送受信します。

現在のEDIはWeb-EDIが台頭しています。従来型の専用線、電話回線、ISDN回線を用いて、EDI専用のソフトウェアをインストールして取引をするのは、通信費がかかり、ソフトウエアの管理も面倒です。

Web-EDIは通信経路にインターネットを用います。Webブラウザがあれば、データの送受信ができます。Web-EDIにより、大企業のみならず中小企業も手軽にシステムを導入することができるようになっています。

ルーティンワークである取引先との受発注でも、大企業・中小企業とも当たり前のようにITは活用されています。ですので、IT統制を企業の内部で完結して考えるのは無理があります。ITガバナンスは、企業・組織の外側にある取引先や顧客などの利害関係者を含めたITによる統制を指しているとされます。

ただ、そもそも統制を英語表現するとガバナンスとも訳されます。「IT統制」と「ITガバナンス」を分けて考えるのは、言葉遊びでしかないと思います。ですので、このブログでは両者を一体の言葉として扱いたいと思います。

IT統制は、「IT全社的統制」と「IT業務処理統制」に大別されます。

IT全社的統制は、企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制のことです。

一方、IT業務処理統制は、IT基盤で実行される販売、生産、人事、会計などの個別の業務処理に関しての安全性、信頼性を確保するために行うことです。IT業務処理統制は、業務を管理する情報システムにおいて、すべてのデータが正確に処理され、記録されることを担保するために業務プロセスに組み込まれたITに係る内部統制です。

したがって、企業がERP（Enterprise Resources Planning）を導入する目的のひとつに、IT統制の要素であるIT業務処理統制を実現するというのが含まれます。

企業でERPの導入プロジェクトが開始する際、多くのトップはこう言います。

いまやっている業務をシンプルにして、パッケージの機能に業務を合わせるようにしよう。

ここでいうパッケージとはERPパッケージのことで、代表的なのはドイツのSAPがリリースしているSAP HANAや、Office製品で有名なMicrosoftの Dynamicsなどです。国内のコンソーシアムにより登場した、GRANDITは中小企業にも多く採用されています。

こうしたERPパッケージは、企業内の各部門が行う業務が標準化されたカタチで機能が備わっています。トップが言う通り、パッケージの機能にいまやっている業務をあわせることが出来れば、業務で発生したすべてのデータが正確に処理され、記録されることが担保されます。まさしくそれは、秩序あるIT業務処理統制を実現することになります。

しかし、現実は甘くありません。

トップダウンによる現場変革は、日本の大企業の風土にはマッチしません。逆に中堅・中小企業はトップの意向が強く現場に反映されますが、残念ながらITリテラシーの低いトップが多く、標準化された業務をそのまま受け入れる度量が彼らにはありません。

結局、多くの日本企業のERPは、パッケージの持つ標準機能にアドオンと呼ばれる独自の機能をたくさん追加開発して、無秩序な業務を維持したままERPを導入・稼働させるケースが多々見られるようになりました。

それでも導入出来た企業は幸せです。多くのERP導入プロジェクトは、要件が決まらず炎上し、開発が遅れ、立ち止まり、システムインテグレータが謝罪に追い込まれる、歪んだPDCAサイクルを産みました。