会員番号 0645 是松 徹 (近畿支部)
1.テーマ 「働き方改革におけるシステム監査の有用性」
2.講 師 株式会社ディレクタイズ エグゼクティブコンサルタント
島崎 智久 氏
米国公認会計士・社会保険労務士・システム監査技術者
3.開催日時 2019年3月15日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要
少子高齢化の流れから企業等における生産性向上が課題となる一方で、働き方改革関連法案の本格施行を背景に様々な働き方が求められています。労働環境の多様化が進む中、テレワークとRPAを中心に仕組み導入上の留意点やリスク等をシステム監査の将来的な方向性と合わせて幅広くお話しいただきました。
<講演内容>
5-1 働き方改革関連法案の主なトピックと背景
働き方改革関連法案の主なトピックは次のとおりである。
(1) 労働時間の上限制限
月45時間、年360時間(休日労働は含まない)の原則は従来通りであるが、特別条項により年720時間(休日労働は含まない)、単月100時間未満、6か月以内の複数月で平均80時間まで(休日労働を含む)等の上限が定められた。中小企業は2020年4月1日からの適用となる。
(2) 高度プロフェッショナル制度
年収1075万円以上の労働者を対象に、労働時間規制の適用外となる制度である。
(3) 有給休暇5日取得の義務化
管理監督者や有期雇用者も含み、有給休暇が年10日以上付与される労働者が対象となる。
(4) 同一労働同一賃金
正社員と非正規社員との手当の差などを説明、解消する必要がある。
大企業は2020年4月1日から、中小企業は2021年4月1日から適用される。
その他の労働関連のトピックには以下がある。
(1) 外国人労働者の受入増加
(2) 副業許可
(3) 70歳までの就労
今後は、少子高齢化で労働力不足が懸念され、経済成長率の低下が予想される。また、年金支給額の減少(支給開始年齢の引き上げ、マクロ経済スライド適用)も見込まれている。そのため、高齢者や育児介護期間中の労働力の活用、企業の生産性向上を核に経済成長率を維持することが今後重要と思われる。
5-2 働き方改革による職場環境の変化(テレワークをベース)におけるシステム監査の有用性
(1) テレワークの概要
「tele=離れた場所」と「work=働く」を合わせた造語であり、「在宅勤務」「モバイルワーク」「サテライトオフィス勤務(施設利用型勤務)」の3形態の総称である。このうち、ニーズが高いのは「在宅勤務」である。
テレワークの主な効果としては以下がある。
ア)企業側:通勤費削減、離職率低下等
イ)従業員側:育児、家事等のプライベートな時間の確保が容易
ウ)業務プロセス改革の促進
(2)テレワークのためのICT環境構築に向けた留意点
マネジメント、セキュリティの確保、コミュニケーションの3つの視点が重要である。
a)マネジメント
対象者、対象業務、頻度等に関するルール策定や労務管理の明確化に留意が必要である。
労務管理では、たとえば勤怠管理において、みなし労働時間制の対象となるためには、情報通信機器が使用者の指示により常時通信可能な状態におかれることがないこと、随時使用者の具体的な指示に基づいて業務を行うことがないこと、への留意が必要になる。
b)セキュリティの確保
セキュリティポリシーの策定と浸透、そのための継続的な教育研修が必須である。
一方、技術的対策では、次の点に留意が必要である。
ア) アクセス管理・制限:端末管理、認証管理、アクセスログ監視等
イ) 暗号化:HDD暗号化、情報漏えい防止機能付きUSBメモリ、セキュアコンテナ等
ウ) 運用面:電子データの原本保存、ウィルス対策、物理的セキュリティ等
エ) ネットワーク上のセキュリティ:VPN専用ルータ等
なお、総務省が公表している「テレワークセキュリティガイドライン」は、経営者、利用者、システム監査の各視点から記載されており、一読に値すると考える。
c)コミュニケーション
Web会議やビジネスチャット(Chatworks)等の機動的なツールの採用により、効果的、効率的なコミュニケーション促進に留意する必要がある。
d)テレワーク環境におけるシステム方式
次の方式があり、それぞれメリット、デメリットが存在する。テレワークはシステム利用が前提となるため、導入対象となる組織の業種業態、従業員構成等を勘案してシステム方式を決定する必要がある。また、その際のセキュリティ対策やルール浸透には、システム監査的視点を十分活用することが望まれる。
ア) リモートデスクトップ方式
・オフィス内PC環境をオフィス外から遠隔操作
イ) 仮想デスクトップ方式
・サーバが提供する仮想デスクトップに遠隔で操作
ウ) クラウド型アプリ方式(会議システム等)
・Web上のクラウドアプリにアクセスして操作
エ) セキュアブラウザ方式
・専用ブラウザからのアクセスにより、閲覧した情報を端末に残さず端末から持ち出せない。
オ) アプリケーションラッピング(コンテナ)方式
・コンテナと呼ばれる暗号化した安全領域を作成し、その中でアプリを動作させる。
カ) 会社PC持ち帰り方式
・主にVPN経由で操作
5-3 デジタルレイバーと呼ばれるRPAにおけるシステム監査の有用性
(1)RPAの概要
現在、数多くのRPAツールが提供され、作業品質、サービス品質の向上、生産性向上、間接コストの削減等のメリットが言われている。一例として、ロボット配置柔軟性、対応アプリケーション認識強度の2軸でその強弱により各種RPAツールがマッピングされる。
(2) RPA導入のリスク
想定されるリスクは次のとおりである。
a)アクセス管理・データセキュリティ
ロボットが従業員でないIDで各種データにアクセスできることから、そのIDが悪用され、データ改ざん、データ漏えい等につながる。
b)業務知識のブラックボックス化
自動化により業務知識を有する従業員が少なくなって空洞化が進み、緊急時への対応が困難になる。
c)誤処理のリスク
業務変更の内容がRPAのロジックに反映されない等により、RPAによる誤った業務が継続的に実施される。
(3) システム監査視点からの留意点
各統制面から見た留意点は次のとおりである。
a)全社統制
・RPA導入後における職務権限・責任の明確化
・担当業務の役割・範囲の理解(従業員教育)
b)IT全般統制
・RPAのロボットに対するアクセスコントロール(ユーザID、パスワード管理)
・ロボットの運用管理(24時間稼働可能、監視)
c)IT業務処理統制、業務処理統制
・J-SOX文書(業務フロー、RCM、業務記述書)修正
なお、公認会計士協会IT委員会研究報告42号にあるスプレッドシート統制(ロジックの検証、アクセスコントロール、変更管理、バックアップ等)は、RPA導入時においても参考にすべきと考える。
RPAやAIに関する監査的な方針が今後公表されると思われるが、労働力不足が言われる中、企業等の生産性向上に関する視点が重要であると考える。
5-4 システム監査の将来的方向性について
平成30年4月に改訂されたシステム監査基準、システム管理基準を踏まえると、システム監査は、ITガバナンスの実現から組織(企業)価値の向上、さらには組織目標の達成に寄与する役割を担うことになる。
今後のシステム監査では、コンプライアンスのような減点方式(できていないからNG)ではなく、EGSのような加点方式の項目を加えることで、組織(企業)の価値増大により一層寄与できるのではないかと考える。
(注)EGS:財務諸表からは伺えない二酸化炭素排出量削減や社外取締役の独立性、従業員の適切な労務管理といった環境(Environment)、統治(Governance)、社会(Social)の各視点への対応が、結果的に企業の長期的な成長や持続可能な社会の実現につながるという考えの下、組織(企業)の投資価値を測る新たな評価基準
6.所感
労働環境の変化の具体例として、テレワークに関する留意点やリスク、前提となるシステム構成等を取り上げていただくことで、働き方改革が言われる中、改めてその利点や課題を見直す有益な機会となりました。RPAについても、デジタルレイバーとして導入が進んでいる実態を知ることができました。
また、システム監査の将来的方向性として、EGSの視点を加えてはというご意見は新鮮であり、興味深く拝聴させていただきました。各視点に対するIT面での以下の例示は、今後の参考とさせていただこうと考えています。
E:マテリアルフローコスト算出のためのシステム、省電力化やペーパレス化
S:ダイバーシティ、インクルージョンを考慮したシステム、ワークライフバランスの実現に寄与(テレワーク、RPA、AI等)
G:ITガバナンス、セキュリティ事故ゼロ、システム監査体制の整備
以上