DQトピックス
【前編】パンデミックがもたらす内部統制への影響~非常事態におけるテレワーク導入と内部統制~
2020.05.19
もくじ
【 非常事態におけるテレワーク導入と内部統制】
まずは、急速に利用が進んでいる(進めざるをえない)テレワークと、その内部統制への影響、あるいは運用上の注意点について考えてみたいと思います。
*なお、執筆に当たっては、昨今の状況ゆえ、ヒアリング等による十分な実態把握すら難しい中での考察となっていますこと、ご了承ください。
1.内部統制への影響に触れる前にーテレワークとはそもそも何か?ー
テレワークには明確な定義があるわけではありません。
多くの人が抱くイメージを総括すれば、
「場所を選ばない分散ワークの効果的な実現を可能とするコミュニケーション・テクノロジーを活用した新しい働き方」
といったところでしょうか。
テレワークは、仕事の進め方の変革のみならず、仕事と育児・介護との両立、さらにはライフスタイルまで変える有形・無形の働き方に関するモデルとして推進されてきました。テレワークは、テクノロジー・ツールそのものではなく、ツールを活用した働き方として広く捉える必要があります。
2.テレワークの本来的な利用から非常事態対応へー内部統制への影響ー
テレワークの導入は、テクノロジー・ツールの活用が前提となりますので、内部統制の「情報と伝達」という構成要素の飛躍的な向上が期待できます。部署を超えた顧客情報の共有による販売促進効果などです。内部監査を含む「モニタリング」も、効率的に実施できる局面が増えてくるでしょう。ツールの活用によって、業務の生産性や社員のモチベーションが高まれば、組織風土の改善など「統制環境」へのプラスの効果も期待できそうです。
その一方で、テレワーク用のツールの導入は、組織内部の情報資産に対して外部からの論理的アクセスを可能にすることから、ツールの利用に伴うセキュリティ対策の追加など、「統制手続」への配慮が必要となります。
以上の説明が、テレワーク導入による内部統制への影響についての「一般的な」説明です。ところが、いま考えなければならないことは、非常事態下でのテレワークとなっていることです。
性急な対応を求められたことから、テレワーク用のツールだけに目がいってしまっていないでしょうか。もちろんツールの機能や特徴を無視した導入はありえません。ツールの脆弱性に着目することが無駄だとも言いません。しかし、ツールを利用する環境が、通常の状態での導入とは全く様相が異なっていることに注意が必要です。なぜなら、ツール利用者の意識までが非常事態となっているからです。
3.ツールの利用に伴う内部統制運用上のリスクーミスや勘違いによる情報漏洩に注意!ー
在宅勤務によってWebベース・ツールのニーズが一気に高まりました。当該ツールについては、ツール自体の脆弱性を突いた外部からの不正侵入のリスクが想定されます。また、出社すらままならいため、「習うより慣れよ」となっているケースも多いと思います。それゆえ、情報共有などツールが備えている機能の悪用や、利用者の不慣れからくる操作ミスによる情報漏洩リスクも想定されます。
インターネットを介したテレビ会議で重要な会議を開催することも珍しくありません。取締役会や経営会議ともなりますと、新たな事業展開の審議や業績予測の報告など、社外に漏れることが許されない情報のやり取りがなされます。会議の内容が盗聴され、不正に利用されるといった事態も想定されないわけではありません。
業務妨害であれば、その事実を認識できます。けれども、情報漏洩(窃取を含む)は、その事実に気づいていないだけといった怖さがあります。
情報漏洩は、外部からの攻撃を想定したリスクとして考えることが多かったと思います。しかし、不慣れなツール利用の下では、内部者によるミスや勘違いが引き起こすリスクの方が大きくなっているかもしれません。
さらに、情報のやり取りは、組織内部者同士だけでなく、取引先や顧客との間に及ぶこともあります。SNSとの接続を許す個人用スマホからのアクセスもありえます。一歩間違えれば、情報の「共有」が 情報の「拡散」ともなりかねません。
4.初歩的な内部統制をまず固めるー統制管理のイロハ を徹底ー
新たなツールを導入する場合、本来であれば、ツール利用に伴うリスクを洗い出した上で、それに応じた組織体制(サポート体制を含む)を構築し、必要な内部統制手続の組込みを行うという手順になります。しかし、急な緊急事態宣言への対応で、多くの企業はその準備時間もとれなかったのではないでしょうか。
非常事態下では、簡便性と迅速性が優先されます。そのため、ツール導入上の対策の甘さの他にも、現状のアクセス統制を解除したり、弱める必要に迫られることもありえます。これまで厳禁とされてきた会社の重要情報への外部からのアクセスを許可するなどです。
そこで、まずもって組織構成員ごとのアクセス管理を徹底することが肝要です。とりわけ共通IDを利用せざるをえない場合には、そのリスクを分かり易く周知し、IDとパスワードの厳密な管理を求めるべきです。組織内部者によるセキュリティ事故を振り返ってみますと、初歩的なアクセス統制の不徹底が原因で起こっている事例が多いです。
面倒でも、重要な資料は電子メール等で暗号化のうえ別送してから、Web会議に臨むといった程度の注意は最低限必要でしょう。
5.まずは守りの内部統制ー内部者の意識低下に要注意!ー
ITシステム利用で起こりうるリスクの話をしだしますと、それならばツールの利用は控えようといったことになりがちです。しかし、現下の非常事態にあっては、好むと好まざるとにかかわらず、さまざまな局面で利用せざるをえない状況に置かれています。
準備不足のまま突っ込んだテレワークでは、まずもって組織内部者の不慣れに起因するミスやトラブルが起こらないようなサポート体制をはじめとした組織的な対策の構築が求められます。
その上で大切なことは、非常事態ゆえ許されるだろうという、組織内部者の内部統制に対する意識低下を生まないようにすることでしょう。
6.攻めの内部統制へのギアチェンジを見据えるー業務の有効性と効率性の向上ー
中長期的には、テレワークを活用した働き方の抜本的な改革を視野に入れておく必要があるでしょう。
新聞報道などでも、「出社するよりも創造性のある仕事ができた」とか、「仕事に対するモチベーションがかえって高まった」といった声を見聞きすることがあります。どなたの言葉か忘れましたが、テレワークは、「働き方」の改革ではなく、「働きがい」の改革を目指すべきといった提言を聞いたことがあります。まさにその通りだと思います。
テレワークの導入に際しては、冒頭でも述べましたように、内部統制としての「情報と伝達」の仕組みの改善だけにとどまらず、「統制環境」の改善を目指すという攻めの姿勢が重要ではないでしょうか。あわせて、テレワークの本来的な目的である「業務の有効性と効率性の向上」は、内部統制の本来的な目的でもある、という点にも着目することです。
今は、守りのときですが、攻めへのギアチェンジの心づもりも必要ではないでしょうか。
現在、日本監査研究学会会長、システム監査学会常任理事、日本内部統制学会監事、情報処理技術者試験委員、会計検査院・情報開示・個人情報審査会委員、金融庁・行政事業レビュー等に関する外部有識者、海上保安庁入札監視委員などを兼任。
