EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
- 適切なリスク評価を行わずにシステムやテクノロジーを変更すると、財務報告における内部統制の遅れや混乱、課題が生じかねない。
- テクノロジーの変更、クラウド移行、アプリケーション導入、ERPシステムのアップグレードは、監査およびビジネス機能に影響を及ぼす。
- 統制、セキュリティ、プライバシーの評価を含む、事前のITリスク評価により、リスクやコンプライアンス上のギャップ、改善の機会を特定できる。
EY Japanの視点
米国では、ERPシステムの刷新やクラウド移行において、導入前のリスク評価不足が原因で、プロジェクト遅延や内部統制の不備を招く事例が報告されています。日本でも同様の傾向が見られますが、縦割り組織による意思決定の遅れや、現行業務の踏襲を前提とした過度なカスタマイズにより、プロジェクトが複雑化・高額化し、導入を断念するケースも生じています。
さらに、2025年には国内企業において、システム刷新後に在庫計上や原価連携の不具合が発生し、決算修正を伴う内部統制上の重大な不備が開示されました。これらの背景として、IT全般統制における受入検証に関する事前の確認や対応が十分でなかった点が指摘されており、システム移行が財務報告および内部統制に直結する重大なリスクであることを示しています。
EYは第三者の立場から、導入前にITおよび内部統制の観点で統合的なリスク評価を行うことを提言し、プロジェクト初期からの関与を通じて移行リスク低減とガバナンス強化を支援します。
EY Japan の窓口
杉本 聖子
EY新日本有限責任監査法人 Technology Risk事業部 プリンシパル
大迎 洋司
EY新日本有限責任監査法人 Technology Risk事業部 マネージャー
※所属・役職は記事公開当時のものです
企業は今、業務プロセスの再構築、新たな顧客向け製品の提供、連結決算や財務諸表報告プロセス強化・効率化を目的として、テクノロジーの変革を模索しています。
企業がITトランスフォーメーションに着手するに当たっては事前のITリスク評価の実施が強く推奨されます。
新しいテクノロジーの導入は、監査や財務報告といった重要なビジネス機能に影響を及ぼします。十分な計画なしにテクノロジーを導入した場合、導入効果の実現が遅れ、リスクが増大し、顧客と投資家の信頼に影響を与える可能性があります。
テクノロジー導入の失敗は、多くの場合、テスト不足、コストの過小評価、旧システムと新システムの統合の難しさに起因します。リスク評価、導入前評価、ITリスク評価では、プロジェクト、コンプライアンス義務、システムアーキテクチャ、内部統制および業務への影響を検証し、潜在的なリスクや非効率性につながります。
最近では、米国に拠点を置く規制対象の大手電力・ユーティリティ企業が、財務プロセスと報告精度の向上を目的としてERPシステムのアップグレードを行う際に、この事前のリスク評価アプローチを採用しました。
アップグレードの利点は明白でした。集中型データ管理はリアルタイムの意思決定を促進します。一方で構造化が不十分なデータは誤った結果を招きやすく、システム間でのデータ連携がリスクを高めることはよく知られています。また、同社の経営陣は、複数年にわたるERPシステム導入が短期的な混乱を引き起こし、複数の取引に影響を与えるとともに、将来の監査と財務報告プロセスにも影響を及ぼす可能性があることも理解していました。
そこで、この電力・ユーティリティ企業は統合チームを立ち上げ、EY Technology Riskと連携して、システム導入に伴うリスクを評価しました。
「この変革に伴うリスクと課題を把握した上で、クライアントのニーズに即した戦略を策定しました。テクノロジーとリスク管理に精通したアドバイザーを早期に参画させたことで、経営陣は変革をシームレスに進め、財務システムのアップグレードを実現することができました」と、EY Americas Technology Risk Expanded Assurance LeaderのEdward Campbellは述べています。
この事前のアプローチがもたらした直接的な成果として、同社は業務の継続性を維持し、内部統制リスクと監査リスクを軽減するとともに、プロセスの効率性と透明性に関して新たな基準を確立することができました。
ソフトウェアおよびシステムのアップグレード
1,830億ドル
市場調査によると、2025年には140万社がERPソフトウェアに1,830億ドルを投資する見込みです。
出典:The ERP Market Forecast for 20251
ある大手ERPソフトウェアプロバイダーが最近、2027年までに旧バージョンのサポートを終了する計画を発表し、企業は最新バージョンへの移行を迫られています。この移行は単なる定例的な技術アップグレードにとどまりません。IT環境のホスティング方法や管理方法の変更を伴い、ユーザーアクセス、セキュリティ、全体的な管理に関する新たな検討が不可欠です。その結果、企業の業務運営やデータ管理の方法に影響を及ぼすことになります。
同時に、これらのアップグレードを検討している企業は、プロセスオートメーションなどのツールを活用し、手作業の効率化を進めることで、さらなる自動化を推進しています。この進化における次の段階として、人工知能(AI)ツールや生成AIの導入が加速していますが、AIを統合する前に、企業はガバナンスを優先し、堅固なポリシー・手順・セキュリティ対策を確立してデータを保護する必要があります。
ERPとテクノロジーの導入の増加
28%
2024年6月
66%
2025年5月
出典:EYによる導入前調査および分析
企業がERPシステムをアップグレードする際、多くの場合、それを機に包括的なテクノロジー変革を実施しています。ERPのアップグレードや変更と同時に他のテクノロジーを導入する企業の割合は、2024年の28%から2025年には66%へと増加しています。
テクノロジー変更に先立って行動を起こす
テクノロジーの変更を実施する前に、監査委員会とプロジェクト関係者は、業務プロセス統制・業務運営・ITインフラへの潜在的な影響を十分に評価する必要があります。
- テクノロジー導入の指針となる戦略的な計画プロセスを策定し、順守する。
- IT導入がビジネス戦略とどのように整合しているかを検証する。
- 新しいテクノロジーの導入に伴う潜在的なリスクを評価する。
- データ保護と規制順守のためのガバナンスの枠組みを整備する。
ITシステム導入評価を成功させるための5つの重要なステップ
- 影響を受ける顧客・財務・業務データを検討する。
- 変更対象となるプロセスを明確にし、本稼働前にテスト計画を組み込む。
- システム、データ、リソースへのユーザーアクセスをどのように付与・監視・更新するか決定する。
- 新システムに修正が必要かどうか判断し、既存統制の移行計画を策定する。
- 各フェーズにおける承認プロセスを明確に定義し、決められた手順に沿って進める。新システムへの切り替えに向け、組織の準備状況を確認する。
システム導入後のリスク評価は、残存する課題を特定し、プロセスおよび統制の継続的な有効性を評価するための重要な手段となります。
サマリー
戦略的な計画なしに急速なテクノロジーやシステムの導入を進めると、変革が遅れ、財務報告の精度および信頼性を損なう要因となります。新しいテクノロジーの採用や既存システムのアップグレードを検討する際は、導入前にリスク評価を実施し、部門横断的なチームによる統合的な計画を策定することが重要です。計画とガバナンスを優先することで、企業はテクノロジー変革をより効果的に進め、確信を持って成功への可能性を高めることができます。