電子署名やワークフローシステムの導入で考える業務のデジタル化における留意点【後編】

2021-04-14

PwCあらた有限責任監査法人(PwCあらた)は、「デジタル社会に信頼を築くリーディングファーム」となることをビジョンとして掲げ、デジタルトランスフォーメーション(DX)の推進と個々のデジタルスキル向上に取り組んでいます。

ここでは私たちの監査業務変革の取り組みや、デジタル化の成功事例や失敗を通じて得た知見を紹介します。これからデジタル化に取り組まれる企業やDX推進に行き詰まっている企業の課題解決にお役立ていただければ幸いです。

※法人名、部門名、役職、コラムの内容などは掲載当時のものです。

昨今の新型コロナウイルス感染症(COVID-19)の感染拡大を受けて、リモートワークの導入やデジタルトランスフォーメーション(DX)の推進など、持続可能な企業の在り方について考える機会が増えたのではないでしょうか。内閣府が全省庁に行政手続上の押印を原則廃止にする要請を出したことからも、社会全体で書面・対面主義を見直し、環境の変化にしなやかに対応できるような社会の実現に向けて動き出したことが見て取れます。

PwCあらたは、リモートワークを継続しています。出社が必要となる文書への押印を無くすため電子契約を導入するなど、書面や対面を必要としない、テクノロジーを前提とした業務の構築を進めています。このような業務のデジタル化を進める企業は少なくなく、今後さらに加速度を増すことが予想されます。そこで今回は、監査人の視点から、業務のデジタル化における留意点について、電子署名やワークフローシステムを利用した承認・記録という行為に焦点を当ててご紹介します。

ワークフローシステムの導入時における検討事項

ワークフローシステムを導入するにあたって、どのような事項を検討すればよいのか、主に承認者のアクセス管理の観点から考察します。

承認フロー(ルート設定)の適切性

承認フローを検討する場合、ノーマルケースだけでなく再承認や権限移譲等含め業務要件にあった承認の順序を考慮して構築する必要があります。
また、業務フローの妥当性の責任は、業務部門の責任者にあります。システム上の業務フロー(承認ルート)を設定する場合は、業務部門の責任者の指示により、情報システム部門のメンバーが実施するなど業務に関与しないメンバーが設定することで、権限を適切に分離することが求められます。

承認者の適切性

承認者は、申請内容の妥当性を判断でき、承認行為に責任を負うことができる人物である必要があります。一般的には役職者、もしくは部署の責任者が該当します。小規模な組織などにおいて、責任者を承認者にすることができない場合、権限委譲が適切かどうかについても内部統制評価の対象とする場合があるため留意が必要です。
また、職務分離の観点から申請者と承認者は分離し、一人の人物で処理が完結できないように権限設定やフローを設計することが求められます。

承認記録の明確性

承認記録の明確性とは、第三者が客観的に承認の妥当性を判断できることです。承認にシステムを利用する場合には(稟議決裁などを含む)、簡便なワークフローツールを用いるケースがあります。簡便なワークフローツールとは、議論過程の記録を保持する観点からチャットや電子メールのようなコミュニケーションツール、プロジェクトを管理する為の案件ツールなどがあげられます。
これら簡便なツールは、アカウントの管理や日付を含む承認記録がシステム制御されるワークフローシステムと異なり、いつ、誰がシステム上で承認を行ったかをどのように記録に残すか、事前に自社の運用方法を検討し、文書化しておく必要があることに留意が必要です。
ワークフローシステムでは申請内容と添付ファイルなどを確認し、あらかじめシステム上で設定されたフローに基づき責任者が承認を行うケースが一般的であり、システム上にも承認が明確に記録されます。しかし、簡便なツールを用いて承認行為を行う場合、システム上の承認機能がないため、承認者が承認した旨をツール上で直接文字として記録する、もしくはツール上のステータス管理で承認者が特定のステータスに更新した場合に承認したと見なすなどの運用方法の決定が必要であり、文書化された運用手続により承認が行われていることを第三者に客観的に提示にすることが求められます。
加えて、簡便なツールでは、申請の種類毎に記載内容を定型化しておくことが重要です。定型化しない場合、申請者が記載すべき内容に漏れが生じる、承認者が毎回申請内容の全てを隅から隅まで確認しなければならないなどの非効率が生じ得るほか、もし承認内容に漏れが生じていた場合、承認の適切性が担保されないと見なされる可能性があるためです。

記録の改ざん可能性

承認後に承認記録の修正や承認時に参照された添付ファイル等の修正や差し替えなどが不可能であることを担保する必要があります。
ワークフローシステムは、一般的にアプリケーションシステムからは承認記録の改ざんができないようになっていますが、前段で紹介した簡便なツールを使用した場合、ツール自体の記録の保存期間や承認時に参照された添付ファイル等の保存環境を含め十分に検討し、承認後の記録の改ざんが不可能となっていること、記録が喪失することがないようになっていることを担保する必要があります。

SaaS形態でワークフローを利用する場合の留意事項

ここまでワークフローシステム導入時の留意事項について確認してきましたが、ネットワークを介してアプリケーションを利用するSaaS(Software as a Service)形態にてワークフローを利用する場合の監査上の留意点についても非常に簡単ですがご紹介します。

SaaS形態でワークフローを利用する場合、プライバシーデータなど業務遂行上制約を受けるデータが保管される所在地やベンダー実施事項の制約など、クラウドシステム導入時と同様にリスクを検討する必要があります。また、IT全般統制評価の必要性が求められる場合、受託業務に係る内部統制の保証報告書(SOCレポート/Reporting on Service Organization’s Control)を入手することで、情報セキュリティやリスク管理態勢、関連する内部統制について信頼性を評価することが現実的であるため、導入時にSOCレポートの発行有無などを確認することも必要です。

電子署名やワークフローの導入にあたっての一般的な監査上の留意点や影響について記載しましたが、これらは導入するシステムや利用方法により、大きく異なってくる可能性があるため、事前に内部監査部門や監査法人と情報共有し、検討することが重要と考えます。

前編はこちら

PwCあらたのツール・システム活用に関するインサイトについては以下もご覧ください。
大量のデータからいち早く 有益な情報をつかみ取るにはーデータ可視化ツールの活用事例

大量のデータからいち早く有益な情報をつかみ取るにはーデータ可視化ツールの活用事例

詳細はこちら

もしもあなたがツール開発プロジェクトのリーダーになったら ― 陥りがちな失敗と教訓【前編】

もしもあなたがツール開発プロジェクトのリーダーになったら―陥りがちな失敗と教訓【前編】

監査業務のデジタル進化

詳細はこちら

執筆者

須田 真由

ディレクター, PwC Japan有限責任監査法人

Email

DX推進現場レポート リーダー編

20 results
Loading...

VRゴーグルで実現するハイブリットワーク時代の新しいコミュニケーション―PwCあらた有限責任監査法人PwC入所式の事例―

2022年12月に新入職員の入所式をメタバース(仮想空間)で開催し、初めての試みとして全新入職員にVRゴーグルを着用してもらいました。今回はその実現に向けた取り組みと、コミュニケーションツールとしてのVRゴーグルの可能性を紹介します。
Loading...

インサイト/ニュース

20 results
Loading...

VRゴーグルで実現するハイブリットワーク時代の新しいコミュニケーション―PwCあらた有限責任監査法人PwC入所式の事例―

2022年12月に新入職員の入所式をメタバース(仮想空間)で開催し、初めての試みとして全新入職員にVRゴーグルを着用してもらいました。今回はその実現に向けた取り組みと、コミュニケーションツールとしてのVRゴーグルの可能性を紹介します。
Loading...

関連サービス

We unite expertise and tech so you can outthink, outpace and outperform
See how