前回では、IT統制の中でポリシーや管理体制の側面に焦点を当てたIT全社的統制やIT全般統制について触れました。ここではIT業務処理統制について、さらには新技術とIT統制の関係性を考えてみたいと思います。
IT業務処理統制で果たす役割
前回の記事で触れたように、IT業務処理統制は、業務プロセスに組み込まれた統制のことであり、ITシステム上で行われる記録や処理が本当に安全で信頼できるものであるかを統制するものです。業務処理を実行するだけのシステムでは、内部統制の信頼性を担保するために手作業で入力の確認、出力結果と伝票の照合などを行うことも有効とされています。
しかし、当然のことながら手作業は効率的ではなく、確認漏れなどのヒューマンエラーが発生するリスクもあるため、人間が介在すれば信頼性が高いというわけでもありません。そこでこうした手作業による確認・照合を自動化し、内部統制の信頼性を向上させることも可能です。
IT業務処理統制で重要なのは、業務プロセスの入力、出力、データ管理を確実に統制することです。そのためにまず、入力情報の完全性・正確性・正当性を確保する仕組みを設けることが必要です。ちなみにWebサイトやEDIを利用する受発注システムなど手作業を経ずにデータが入力されるような、すでに自動化された業務処理の場合、システムの開発段階において信頼性のテストを実施することで統制が実現されていると見なせます。しかしながら、取引先から届いたデータに何らかの異常が含まれている可能性もあります。
入力されているデータに対する統制が組み込まれていない場合、誤ったデータを正しいものとして後続の処理が行われるおそれがあります。誤ったまま実行されてしまうと、結果的に内部統制の信頼性は保証されません。こうしたケースも含め、入力ミスやエラーを検出・修正して再処理し、問題ないことを確認してからトランザクション処理を行う仕組みを導入することも重要です。
企業の内部統制で重要なこと
このように、企業は新たな仕組みをITによって導入した場合、かならずそれらシステムを用いた業務に関する妥当性や安全性が問われてきます。IT統制における3つの観点に沿って、IT活用の基本方針、基本計画から運用管理方針の策定などさまざまなものを明らかにしていく必要があります。
IT統制の定義が示すよう、ITシステムは監査を受ける統制の対象であると同時に、そうした統制を強化したり効率化したりすることができるのもまたITです。RPAやAIなどを含め、前例のない最新技術を目の前にしたとき、システムはもとより業務に対してどのようなリスクや影響を与えるのかを完全に把握できる人は少ないかもしれませんが、それでも、企業の中でこれらを最も適切に判断できる力があるのは情報システム部門でしょう。ITシステムの有用性やリスク、およびその回避策も正しく理解したうえでIT活用の提言を社内に行っていくには情報システム部門の存在が欠かせません。
金融庁が示すように、内部統制のそもそもの大きな目的の1つは、企業の業務の有効性や効率性を支援するものです。しかし、不正の抑止という消極的な視点で語られがちであるためか、それがときに必要以上に厳格なポリシーや業務を生むこともあります。しかし、統制という言葉を独り歩きさせて企業や業務の革新の芽を潰してしまうのでなく、業務の統制と柔軟性の妥協点を整理した上で、内部統制強化に取り組む経営者、監査部門を能動的・積極的に支援すれば、情報システム部門の価値がさらに高まることになるでしょう。