1. ITアプリケーション間のインターフェース
1つのアプリケーションで処理された結果は、帳票等としてアウトプットされるだけでなく、もう1つのITアプリケーションのインプット情報としてデータの引き渡しが行われることがあります(例:販売管理システムで処理された売上情報が、売上に関する会計仕訳の情報として会計システムに引き渡される)。このような上流アプリケーションから下流アプリケーションへのインターフェースは、帳票等を基に手作業でアップロードするケースや自動でデータが連携するケースなどがあります。自動化されたインターフェースに対して適切な情報処理統制やIT全般統制があれば、データ連携の信頼性は高まります。
2. ITアプリケーション外で行われる自動処理
EUC(エンドユーザー・コンピューティング)という概念があります。これは、システムの開発や運用を情報システム部門で集中的に管理するのではなく、利用部門(エンドユーザー)が実施する管理体制を指します。以前から市販のパッケージ・ソフトウェアやスプレッドシートなど一般的なソフトウェアをEUCのツールとして用いることがありました。
近年では、定型業務の自動化を実現するために「RPA(Robotics Process Automation)」と呼ばれる技術を導入する企業が増えています。RPAは、複数の作業を一連の手続きとして自動化することができます。例えば、全国の店舗にあるPOSシステムや支店からメールで届く売上情報を日次で集計し一覧表を作成するとともに、その情報に基づき会計伝票を作成し売上仕訳を計上するといった一連の作業を、1回の指示で実行することも可能です。RPAを利用することにより、スプレッドシートやマクロを利用した従来のEUCよりも複雑な作業の自動化が可能となっています。
RPAでは、ソフトウェア等を用いることで、ワークフロー図の作成やパラメーターの設定などの簡単な作業だけで、あらかじめ定めた手続きを自動化することができます。そのため、従来のスプレッドシートやマクロを利用したEUCよりも複雑な作業について、プログラミングなどのITの専門知識がなくても現場部門が自動化を実現することが可能になりました。
RPAの登場により、現場部門が主導的にシステム化できるため迅速かつ柔軟な対応ができるようになった一方で、データ連携のプロセスに情報システム部門が関与しない仕組みが組み込まれることになりデータの信頼性が損なわれるリスクが生じています。例えば、実験的に使用していたRPAを現場主導で本番環境に使用する場合、上流もしくは下流のITシステムへの影響といったシステム全体の俯瞰(ふかん)的な観点の検討が欠けてしまったといったケースがあります。また、テストが不十分であり、RPAが誤って出力またはデータ加工したレポートを基に、誤った判断がなされるリスクがあります。
いわゆる「野良ロボット」問題も存在します。これは、作成されたRPAの管理者が不在・不明になった状態を指しており、RPAが誤動作を起こすことや、適切なメンテナンスができないといったリスクを生じさせます。
このような事態を防ぐためにも、情報システム部門が主導でRPAのルール整備や台帳管理、定期的モニタリング等の管理体制を整備することは有効な手段となります。
3. ITに関する業務委託
従来、企業は自社でサーバーを所有して、その管理を自社で実施、もしくは外部委託することが一般的でしたが、近年ではASP(Application Service Provider)やクラウドサービスといった新しい形態も登場しています。
ASPとは、特定および不特定ユーザーが必要とするシステム機能を、ネットワークを通じて提供するサービスを言います※2。ASPのユーザーはインターネットやVPN(仮想私設通信網)を経由して、ASPのサーバーにインストールされたアプリケーションソフトをサービスとして利用します。クラウドサービスは、インターネットに接続された環境で、さまざまなサービスを必要に応じて利用できるようにする仕組みです。ユーザーは自社でサーバーを所有することなく必要な機能だけを必要なときに利用することができ、利用した機能に応じた料金のみを支払います。
ASPやクラウドサービスを利用する場合、サービス提供業者における情報処理統制やIT全般統制についても注意が必要です。サービスを外部に委託した場合に、日常的に行う重要なオペレーションの実態把握が不可能となってしまう状況は避けなければなりません。また、ASPやクラウドサービスは、サービス提供業者が所有する環境をユーザーが利用する形態であり、サービスを利用する企業は多くの利用者の一部にすぎません。そのため、サービスを利用する企業の意向は反映されにくい傾向にあります。
そのため、適切なサービス提供業者の選定を行い、サービス提供業者の信頼性が自社の要求水準を満たしているかを定期的に評価することが重要になります。
サービス提供業者の内部統制の実態把握の有効な手段の1つに、サービス提供業者から保証報告書(SOCレポート)を入手することが考えられます。これは、サービス提供業者が複数の委託元企業の要求に対応するため、監査法人から取得した内部統制の評価結果をまとめたレポートです。ただし、これは有効な情報取得手段の1つではありますが、評価対象が委託元企業の要求と必ずしも一致しない場合もあるため、監査報告書の閲覧に当たって委託元企業は自社の要求との適合状況を確認することに留意する必要があります。
4. その他の外部企業とのデータ自動連携手法
いわゆる電子データ交換(EDI)による企業間のデータ連携は従来見られましたが、最近はAPI(Application Programming Interface)連携も多く見られます。APIとは、あるプログラムが異なるプログラムやデータを呼び出して利用するインターフェースです。APIを利用することで、別々の会社のシステムであっても容易にデータ連携を行うことが可能になります。例えば、クラウド経費精算ソフトとクラウド会計ソフトをAPIで連携し、自動で会計仕訳を起票するサービスを提供している事例などがあります。
このようなサービスのユーザーがサービス提供業者の内部統制を理解するに当たっては、個々のサービス提供業者における情報処理統制やIT全般統制を理解するとともに、サービス提供業者間のAPI連携におけるルール(例:責任分界点の明確化や双方の管理状況の定期的な評価等)を理解することも有用です。