SmartStage

IT部門をビジネスクリエイティブ集団にpowerd bysmart stage

IT部門をビジネスクリエイティブ集団に

システムの安定稼働、コスト削減、コンプライアンス強化など、IT部門の「作業」は年々増加しています。
しかし、新規事業や新技術の立ち上げなど、企業力強化のうえで不可欠なものは、IT部門の「知恵」です。
IT部門がビジネスクリエイティブ集団に生まれ変わるためのヒントやトレンド情報をご提供いたします。

sp_kv

  • システム運用
  • IT統制

2018.06.26

全2回 IT統制における情報システム部門の役割とは? 《連載:第2回》 IT統制の自動化によるIT部門の役割

前回では、IT統制の中でポリシーや管理体制の側面に焦点を当てたIT全社的統制やIT全般統制について触れました。ここではIT業務処理統制について、さらには新技術とIT統制の関係性を考えてみたいと思います。

IT業務処理統制で果たす役割

前回の記事で触れたように、IT業務処理統制は、業務プロセスに組み込まれた統制のことであり、ITシステム上で行われる記録や処理が本当に安全で信頼できるものであるかを統制するものです。業務処理を実行するだけのシステムでは、内部統制の信頼性を担保するために手作業で入力の確認、出力結果と伝票の照合などを行うことも有効とされています。

しかし、当然のことながら手作業は効率的ではなく、確認漏れなどのヒューマンエラーが発生するリスクもあるため、人間が介在すれば信頼性が高いというわけでもありません。そこでこうした手作業による確認・照合を自動化し、内部統制の信頼性を向上させることも可能です。

IT業務処理統制で重要なのは、業務プロセスの入力、出力、データ管理を確実に統制することです。そのためにまず、入力情報の完全性・正確性・正当性を確保する仕組みを設けることが必要です。ちなみにWebサイトやEDIを利用する受発注システムなど手作業を経ずにデータが入力されるような、すでに自動化された業務処理の場合、システムの開発段階において信頼性のテストを実施することで統制が実現されていると見なせます。しかしながら、取引先から届いたデータに何らかの異常が含まれている可能性もあります。

入力されているデータに対する統制が組み込まれていない場合、誤ったデータを正しいものとして後続の処理が行われるおそれがあります。誤ったまま実行されてしまうと、結果的に内部統制の信頼性は保証されません。こうしたケースも含め、入力ミスやエラーを検出・修正して再処理し、問題ないことを確認してからトランザクション処理を行う仕組みを導入することも重要です。

RPAなどの新技術とIT統制の関係

入力や出力処理や確認・照合を自動化するツールとして、現在注目されている「RPA(Robotic Process Automation)」はさまざまな面からIT統制に影響を与えるでしょう。1つは良い影響です。RPAは人の手作業により行っていた業務をソフトウェアロボットが代行して自動実行するものです。入力・出力処理を高速化・効率化し、ヒューマンエラーを回避できるという側面は、人間が介在していたIT業務処理統制の一部を代替できる可能性があります

また最近は、機械学習とAIを組み合わせ、データの異常値を検出して修正・再入力を通知するようなソリューションも登場しています。このような仕組みとRPAを組み合わせれば、人間だけが行っていたIT統制の強化を実現できます。

一方で、統制に対してRPAはリスクになる可能性も含んでいます。RPAは、今後重要な業務フローの一部を担う可能性もあり、もしシステムの変更や管理者の手違いによってRPAの誤動作が発生した場合、他のシステムに不正確な情報を連携させるだけでなく、最悪は情報漏洩などを引き起こし、ビジネスに大きなリスクをもたらす可能性があります。これを防ぐには、IT業務処理統制の範囲だけではなく、RPAそもそもの開発、保守、運用管理、権限、セキュリティなど、IT全般統制などのより大きな枠組みからRPAのガバナンスを整備することが必要です。

企業の内部統制で重要なこと

このように、企業は新たな仕組みをITによって導入した場合、かならずそれらシステムを用いた業務に関する妥当性や安全性が問われてきます。IT統制における3つの観点に沿って、IT活用の基本方針、基本計画から運用管理方針の策定などさまざまなものを明らかにしていく必要があります。

IT統制の定義が示すよう、ITシステムは監査を受ける統制の対象であると同時に、そうした統制を強化したり効率化したりすることができるのもまたITです。RPAやAIなどを含め、前例のない最新技術を目の前にしたとき、システムはもとより業務に対してどのようなリスクや影響を与えるのかを完全に把握できる人は少ないかもしれませんが、それでも、企業の中でこれらを最も適切に判断できる力があるのは情報システム部門でしょう。ITシステムの有用性やリスク、およびその回避策も正しく理解したうえでIT活用の提言を社内に行っていくには情報システム部門の存在が欠かせません

金融庁が示すように、内部統制のそもそもの大きな目的の1つは、企業の業務の有効性や効率性を支援するものです。しかし、不正の抑止という消極的な視点で語られがちであるためか、それがときに必要以上に厳格なポリシーや業務を生むこともあります。しかし、統制という言葉を独り歩きさせて企業や業務の革新の芽を潰してしまうのでなく、業務の統制と柔軟性の妥協点を整理した上で、内部統制強化に取り組む経営者、監査部門を能動的・積極的に支援すれば、情報システム部門の価値がさらに高まることになるでしょう。

page top