内部統制のDX(デジタルトランスフォーメーション)

※この記事は公開から1年以上経っています。
alt

ビズサプリグループの三木です。
今日、様々な領域でDX(デジタルトランスフォーメーション)が叫ばれています。

折しも10万円の給付やワクチンの接種案内の配布に手こずったように、新型コロナ対応で我が国の行政におけるデジタル化の弱さが浮き彫りとなった感もあり、岸田新政権においてもデジタル庁に力を入れるようです。

こうした動きは民間も同様で、新型コロナで一気に進んだリモートワークや業務のデジタル化への対応を進めています。

電子帳簿保存法が改正され適用しやすくなったこともこの動きを後押ししていますし、消費税のインボイス制度への備えという意味でも業務のデジタル化を急ぐ動きがみられます。政府やコロナや法制度、全ての動きがデジタル化を推進する方向に動いていると言っても過言ではありません。

今回は、こうした動きを踏まえた内部統制のDXについてお話しします。

1.リモートワークによる影響

業務がデジタル化すると、内部統制や監査もデジタル化が必要です。日本公認会計士協会では2021年7月30日にIT委員会研究報告第56号として「リモートワークに伴う業務プロセス・内部統制の変化への対応(提言)」を公表し、リモートワークにうまく取り組んだ企業の特徴や、監査法人側の対応についてアンケートも踏まえた考察をしています。リモートワーク=デジタル化ではありませんが、リモートワークの前提としてデジタル化があると言えます。

筆者も当研究報告の作成に末席で参加しましたが、詳細にご興味ある方は是非原文を見ていただくとして、私の主観では以下が重要なポイントと考えています。

・紙ベース業務がネック

アンケートによると、出社原因のトップ3は、「リモートによる請求書の支払業務システムがない」「リモートによる取引先への請求システムがない」「リモートによる経費精算関連業務システムがない」でした。このような部分のデジタル化が進んでいないことがリモートワーク化のネックになっている状況です。

・アカウンタビリティの維持

これまでもシステム化がブラックボックス化を招き、処理プロセスが分からなくなってしまう、あるいは証跡が見えにくくなるといったことで統制が効きにくくなるケースがありました。業務のDXが進む際には誰がいつどのように作った情報かというトレーサビリティを確保することが必要です。これは情報の真正性という統制面だけでなく、万が一の場合の業務継続の意味でも重要です。

・統制環境の維持

デジタル化に向かない情報が思った以上にあることもアンケートから見えてきました。例えばリモ―トワークでは「表情が冴えない」といった気づきからメンタルケアをすることは難しいですし、人事異動がしにくい等の弊害も指摘されています。周囲の目が無くなる、雑談以上・仕事未満の会話が減るといった点も内部統制を弱体化させる可能性があります。

2.デジタイゼーションとデジタライゼーション

ここまで「デジタル化」という言葉を使ってきましたが、デジタル化にはデジタイゼーションとデジタライゼーションの2種類があります。

従前の業務処理を単に電子化するのがデジタイゼーションで、例えば請求書をPDF化して送付することなどが該当します。一方でデジタル化に適した形に業務プロセスそのものを見直すのがデジタライゼーションで、電子請求システムを導入することなどが該当します。

デジタイゼーションの場合は、業務プロセスそのものは変わりませんから内部統制のポイントも基本的には変わりません。ただし、「PDF自体の改ざんリスク」などリスクポイントが増えることがあります。一方でデジタライゼーションの場合は、内部統制のポイント自体が変化します。例えば電子請求システムの導入の場合、「承認テーブルの管理」「請求額を改ざんできないシステム仕様」「電子請求システム自体のシステム管理」といった内部統制の重要度が増すことになります。

3.サンプルテストは古い?

J-SOXと言えば25件のテストを思い浮かべる人も多いと思います。

25件というのは一定のサンプリングエラーを許容した上で導き出された件数です。一方で、システム化された統制(いわゆるIT業務処理統制)については、システムは毎回同じ挙動をすることが期待されるため、1件の検証で良いとされています。

デジタル化といっても、単に紙をPDFにしただけであれば業務の実施主体は変わらず、今後も25件のテストが必要です。一方でデジタライゼーションの場合は、システム内のパラメータ設定や照合の仕組みに依存した内部統制となりますので、IT業務処理統制として1件のみのテストとなることが多くなると思われます。

1件なので評価が楽かと言うと、残念ながらそうでもありません。自動化された仕組みを検証するのには1件でも時間がかかることがありますし、システムの管理(アクセス権限管理とかシステム障害管理とか)自体が良好かどうかを評価する「IT全般統制」の対象も広がるからです。デジタライゼーションが進んでいくにつれて、こうした内部統制の領域シフトにも気をつけなければいけません。

サンプルテストに替わるもうひとつの方向性として全数テストがあります。

サンプルテストはサンプリングによる見逃しリスクが避けられないため、精度では全数チェックにかないません。もともと全数チェックが物理的に無理だったために妥協してサンプルテストを行っていました。

ところが、デジタライゼーションの進み具合やデータの持ち方にもよりますが、デジタライゼ―ションが末端まで進むと、データ監査によって全数チェックが可能な状況が生まれます。データ検証に使われているCAAT技術も発達してきていますし、RPAのような技術を用いて検証することも考えられます。

更に言えば内部統制のチェックポイントをより上流において、不一致が発生した時点でアラームを出す仕組みを組み込んでしまう方向性も考えられます。

このように、1件テストに向かうにせよ全数テストに向かうにせよ、J-SOXといえば25件という時代は変わっていく可能性があります。

4.内部統制DXの旗振り役は?

情報システム部門だけが主体となるDXはうまくいかないと言われます。DXはシステムを使って業務を効率的に変革していく動きなので、業務に直接タッチしない情報システム部門だけだと「何をやって良いか分からない」ことになります。

「何をしたいか」は業務部門や企画部門が提言し、「どう実現するか」は情報システム部門が考え、コストベネフィットをすり合わせていくプロセスが必要です。このプロセスを統括するCIOには経営マインドやバランス感覚が求められ、単なるシステム屋では務まらない要職と言えます。

内部統制のDXも、監査部門だけ、情報システム部門だけではうまく進みません。内部統制は業務を的確に進めるうえで必要な仕組みですから、業務全体のDXの中に織り込む必要があります。どのように内部統制を構築するかは業務部門が、どう内部統制を評価するかは監査部門がといった具合に、内部統制関連で必要となってくる要件を多数の部門が関わって識別し、DX全体の検討に織り交ぜていかなければいけません。

こう考えると、究極的には内部統制DXの旗振り役はCIOだと言えます。業務負担の観点から実務部分は分担するとしても、監査部門単独や情報システム単独では十分な旗振り役はできません。少なくとも、部門を越えた調整をしっかりできる人材の配置や役割定義が必要と言えます。

このように、内部統制のDXは硬直化しがちな組織にとってはチャレンジングです。チャンドラーの「組織は戦略に従う」という言葉通り、DXという戦略を実現するには既存の組織に拘らない姿勢で職務やプロセスを見直すことが必要です。DXの中でもニッチな内部統制という領域をうまく進めるためには、尚更マネジメントの手腕が求められていると言えます。

文:三木 孝則(ビズサプリCEO 公認会計士)
株式会社ビズサプリ メルマガバックナンバー(vol.142 2021.10.20)より転載

NEXT STORY

アクセスランキング

【総合】よく読まれている記事ベスト5