IT統制における情報システム部門の役割とは？

2008年度に日本版SOX法の適用が開始されてから10年が経過し、内部統制の一環として「IT統制」を実施する必要性への理解が進みました。しかしこの10年の間にITは確実に進歩を遂げ、これまで手作業で行われてきたIT統制をシステムで自動化することにより、統制管理リスクを低減することが可能になりました。企業の情報システム部門は今、IT統制を強化するためにどのような役割を果たせるのでしょうか。

ITサービス運用でお困りなら、ITサービス管理ツール「SmartStageサービスデスク」へ

改めてIT統制とは何か

内部統制の信頼性を担保するには、IT統制の実施が欠かせません。企業のビジネスを支えるあらゆる業務がITに強く依存している現在、内部統制の整備・運用にもITが利用されているからです。実のところ内部統制は手作業でも実施できますが、効率的かつ正確に処理するには、やはりITを利用することになります。そのITに問題があれば内部統制の信頼性を保証できなくなるため、IT統制を実施することは必要不可欠です。

ここで「IT統制とは何か」を今一度おさらいしてみましょう。金融庁企業会計審議会が策定した「財務報告に係る内部統制の評価及び監査に関する実施基準」（以下、実施基準）によると、IT統制は、「IT全社的統制」「IT全般統制」「IT業務処理統制」の3種類に区分されています。

IT全社的統制とは、連結子会社を含む企業グループ全体のITを健全に維持・監督するための内部統制を意味します。具体的には、企業グループ全体のITに関する方針やルール、体制を整備し、ITに関するリスクを評価して対応策を講じて統制活動を周知徹底させて、全社的な実施状況をモニタリングするという仕組みを構築することであり、その責任は経営者にあります。

IT全般統制とは、ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制を指します。その基準としては「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」を評価対象の統制項目として挙げています。言い換えれば、システムそのものが健全に機能するかどうかを監査するのでなく、そのように適切に機能するための管理・体制のあり方という観点での統制といえるでしょう。

IT業務処理統制とは、承認された業務がすべて正確に処理・記録するために業務プロセスに組み込んだ内部統制を表します。情報を処理するシステムそのものではなく、処理が正確に行われているか、安全に行われているかを確認するものであり、手作業による入力確認や出力結果と伝票の照合など非ITによる業務処理統制とともに行われます。

IT統制における役割を知っておく

このようなIT統制の実施は、内部統制を担当する社内の監査部門だけでは手に負えません。監査部門は経理・総務などの間接部門や業務部門の経験者で構成され、ITに精通した人材がいないというケースが少なくありません。そもそもIT統制のノウハウがないために、監査法人の言いなりに対応することも見受けられます。

そこで情報システム部門では、監査部門からIT統制を丸投げされたり、ITの事情を知らない監査法人から要求を押し付けられたりする前に、IT統制を実施するにあたってどのような役割を果たすことができるのか、あらかじめ知っておく必要があります。

例えば、IT全社的統制の場合、ITに関する方針やルール、体制の整備に取り組む経営者の支援、リスク管理部門に対する適正なリスク評価と対応策の提案といった役割があることを認識しておきます。IT全般統制の場合、システムの導入・更新時にソフトウェアの動作の信頼性やデータの真正性をテストするのをはじめ、未承認または不正な処理の防止策を講じたり、承認者だけにアクセス権限を設定したり、ソフトウェアやデータの改ざんを未然に防ぐためにアクセス状況をモニタリングしたりといった業務が情報システム部門の役割になります。

そして、情報システム部門の役割がより期待されるものとして触れておきたいのが、IT業務処理統制です。

IT業務処理統制で果たす役割

前述で触れたように、IT業務処理統制は、業務プロセスに組み込まれた統制のことであり、ITシステム上で行われる記録や処理が本当に安全で信頼できるものであるかを統制するものです。業務処理を実行するだけのシステムでは、内部統制の信頼性を担保するために手作業で入力の確認、出力結果と伝票の照合などを行うことも有効とされています。

しかし、当然のことながら手作業は効率的ではなく、確認漏れなどのヒューマンエラーが発生するリスクもあるため、人間が介在すれば信頼性が高いというわけでもありません。そこでこうした手作業による確認・照合を自動化し、内部統制の信頼性を向上させることも可能です。

IT業務処理統制で重要なのは、業務プロセスの入力、出力、データ管理を確実に統制することです。そのためにまず、入力情報の完全性・正確性・正当性を確保する仕組みを設けることが必要です。ちなみにWebサイトやEDIを利用する受発注システムなど手作業を経ずにデータが入力されるような、すでに自動化された業務処理の場合、システムの開発段階において信頼性のテストを実施することで統制が実現されていると見なせます。しかしながら、取引先から届いたデータに何らかの異常が含まれている可能性もあります。

入力されているデータに対する統制が組み込まれていない場合、誤ったデータを正しいものとして後続の処理が行われるおそれがあります。誤ったまま実行されてしまうと、結果的に内部統制の信頼性は保証されません。こうしたケースも含め、入力ミスやエラーを検出・修正して再処理し、問題ないことを確認してからトランザクション処理を行う仕組みを導入することも重要です。

RPAなどの新技術とIT統制の関係

入力や出力処理や確認・照合を自動化するツールとして、現在注目されている「RPA（Robotic Process Automation）」はさまざまな面からIT統制に影響を与えるでしょう。1つは良い影響です。RPAは人の手作業により行っていた業務をソフトウェアロボットが代行して自動実行するものです。入力・出力処理を高速化・効率化し、ヒューマンエラーを回避できるという側面は、人間が介在していたIT業務処理統制の一部を代替できる可能性があります。

また最近は、機械学習とAIを組み合わせ、データの異常値を検出して修正・再入力を通知するようなソリューションも登場しています。このような仕組みとRPAを組み合わせれば、人間だけが行っていたIT統制の強化を実現できます。

一方で、統制に対してRPAはリスクになる可能性も含んでいます。RPAは、今後重要な業務フローの一部を担う可能性もあり、もしシステムの変更や管理者の手違いによってRPAの誤動作が発生した場合、他のシステムに不正確な情報を連携させるだけでなく、最悪は情報漏洩などを引き起こし、ビジネスに大きなリスクをもたらす可能性があります。これを防ぐには、IT業務処理統制の範囲だけではなく、RPAそもそもの開発、保守、運用管理、権限、セキュリティなど、IT全般統制などのより大きな枠組みからRPAのガバナンスを整備することが必要です。

企業の内部統制で重要なこと

このように、企業は新たな仕組みをITによって導入した場合、かならずそれらシステムを用いた業務に関する妥当性や安全性が問われてきます。IT統制における3つの観点に沿って、IT活用の基本方針、基本計画から運用管理方針の策定などさまざまなものを明らかにしていく必要があります。

IT統制の定義が示すよう、ITシステムは監査を受ける統制の対象であると同時に、そうした統制を強化したり効率化したりすることができるのもまたITです。RPAやAIなどを含め、前例のない最新技術を目の前にしたとき、システムはもとより業務に対してどのようなリスクや影響を与えるのかを完全に把握できる人は少ないかもしれませんが、それでも、企業の中でこれらを最も適切に判断できる力があるのは情報システム部門でしょう。ITシステムの有用性やリスク、およびその回避策も正しく理解したうえでIT活用の提言を社内に行っていくには情報システム部門の存在が欠かせません。

金融庁が示すように、内部統制のそもそもの大きな目的の1つは、企業の業務の有効性や効率性を支援するものです。しかし、不正の抑止という消極的な視点で語られがちであるためか、それがときに必要以上に厳格なポリシーや業務を生むこともあります。しかし、統制という言葉を独り歩きさせて企業や業務の革新の芽を潰してしまうのでなく、業務の統制と柔軟性の妥協点を整理した上で、内部統制強化に取り組む経営者、監査部門を能動的・積極的に支援すれば、情報システム部門の価値がさらに高まることになるでしょう。