経理業務におけるテレワーク導入の実際～これから導入するために知りたいテレワークの利点とリスク～

Transcript

1. 企業研究会主催セミナー 経理業務におけるテレワーク導⼊の実際 〜これから導⼊するために知りたいテレワークの利点とリスク〜 公認会計⼠・公認情報システム監査⼈(CISA) 原 幹 2019年6⽉26⽇

2. ⾃⼰紹介 原 幹 (HARA , Kan) 1992年 井上⻫藤英和監査法⼈ 会計監査・コンサルティングサービス部⾨(現 プライスウォーターハウスクーパースコンサルタント)の初期メンバーとして、

   主に製造業を対象とした連結決算・グループ経営管理・活動基準原価計算などのシステム企画・設計・構築を⾏う 1998年 フューチャーシステムコンサルティング ビジネスアナリストとして、主に製造業・流通業を対象としたビジネスプロセスリエンジニアリング(BPR)実⾏⽀援・ システム化要件分析を⾏う 2001年 ウルシステムズ サービス業・流通業を対象としたビジネス要件分析・業務改⾰⽀援・システム要件分析を⾏う 2004年 NTTデータ システムデザイン 製造業を対象とした業務改⾰⽀援・プロジェクトマネジメント・定着化⽀援およびプロジェクト管理システムの 企画・設計・運⽤を⾏う 2007年 独⽴開業 現任 株式会社クレタ・アソシエイツ 代表取締役 http://kleta.co.jp/ 原幹公認会計⼠事務所 代表 http://harakancpa.com/ freee株式会社 監査役(社外) http://freee.co.jp/ • 常に実践的な課題解決を展開し、多くのプロジェクトにて⾼い顧客満⾜度を得る • 会計およびIT領域での豊富な経験を有し、主要な技術要素やコンサルティングメソッドにも精通 • 「経営に貢献するITとは︖」という⼀貫した視点に基づきキャリアを積む、翻訳書およびメディアでの連載実績多数 • 専⾨領域 連結会計・内部統制・国際会計(IFRS)・ITマネジメント • 保有資格 公認会計⼠・税理⼠・公認情報システム監査⼈(CISA)・公認不正検査⼠(CFE) 2

3. 本⽇お伝えしたいこと  ⽇本におけるテレワーク普及率  テレワークの導⼊フローと留意点  テレワークの導⼊リスクと対応⽅法 3

4. 1. 我が国におけるテレワークの 実施状況 4

5. (1) テレワークとは  場所や時間の制約を受けない勤労形態  ⾃宅やカフェなど、オフィス以外の場所で仕事をする  作業時間帯を柔軟に⾃⼰管理できる  さまざまな呼称がある

    「リモートワーク」「在宅勤務」「モバイル勤務」 「サテライトオフィス勤務」などがある  総務省の定義  “ ICT(情報通信技術)を利⽤し、時間や場所を有効に活⽤できる 柔軟な働き⽅“  “ワークライフバランスの実現 、⼈⼝減少時代における労働⼒⼈ ⼝の確保、地域の活性化などへも寄与する、働き⽅改⾰実現の 切り札となる働き⽅でもある” 5 http://www.soumu.go.jp/main_sosiki/joho_tsusin/telework/

6. (2) テレワークの分類と想定範囲  就業場所による分類  在宅型  従業員の⾃宅で作業する  通信環境は各従業員が⼿配する

    サテライト型  会社が社外に設置したサテライトオフィス内で作業する  従業員が常駐しない場合や⽇中は無⼈であることも多い  モバイル型  移動先で作業する  ノートブックPCと通信環境でどこでも作業できる環境が実現する 6

7. (2) テレワークの分類と想定範囲  就業形態による分類  雇⽤型  特定の企業の雇⽤契約を前提とし、就業時間帯や就業場所に柔軟性を持たせ た形態 

   ⾃営型  特定企業の契約に制約されず⾃由に就労する形態  SOHO・在宅ワーク・ノマドワークといった名称で近年注⽬され、就業⼈⼝ が増えている形態 7

8. 就業場所 在宅型 サテライト型 モバイル型 就業形態 雇⽤型 • 在宅勤務 • サテライトオフィス

   • シェアオフィス • コワーキングスペー ス • モバイルワーク ⾃営型 • 在宅ワーク • SOHO • シェアオフィス • コワーキングスペー ス • ノマドワーク (2) テレワークの分類と想定範囲 8 経理業務(事務職 等)におけるテレ ワーク テレワークの分類と経理業務におけるテレワークの範囲

9. (3) 我が国におけるテレワーク導⼊率と導⼊効果  テレワーク導⼊の背景  就労⼈⼝減少と都市圏への⼈⼝集中  ⼟地価格⾼騰  雇⽤環境の変化

    慢性的な⼈⼿不⾜、有効求⼈倍率の増加  会社で働くスタイルの多様化  労働参加率の増加  物理的な距離、時間の制約、リソース配分の変化  テクノロジーの発達  ITサービスやツールの機能向上  効率のよい働き⽅のバリエーションとしてテレワークが 注⽬されるようになってきた 9

10. (3) 我が国におけるテレワーク導⼊率と導⼊効果  ⽇本企業の取組状況  「導⼊している」は5%以下  在宅型テレワークがトップ 10 総務省「通信利⽤動向調査(2018年)」

    http://www.soumu.go.jp/johotsusintokei/linkdata/h29_06_houkoku.pdf

11. (3) 我が国におけるテレワーク導⼊率と導⼊効果  従業員数301⼈以上の企業で「導⼊済み」は20%以上 11 総務省「通信利⽤動向調査(2018年)」 http://www.soumu.go.jp/johotsusintokei/linkdata/h29_06_houkoku.pdf

12. (3) 我が国におけるテレワーク導⼊率と導⼊効果  導⼊⽬的は「⼈材の採⽤・確保、流出の防⽌」がトップ 12 総務省「通信利⽤動向調査(2018年)」 http://www.soumu.go.jp/johotsusintokei/linkdata/h29_06_houkoku.pdf

13. (3) 我が国におけるテレワーク導⼊率と導⼊効果  テレワークを導⼊済みもしくは導⼊が可能と考える職種は 「経理・会計」がトップ 13 総務省「通信利⽤動向調査(2018年)」 http://www.soumu.go.jp/johotsusintokei/linkdata/h29_06_houkoku.pdf

14. (3) 我が国におけるテレワーク導⼊率と導⼊効果  テレワーク導⼊企業は労働⽣産性の向上により 売上⾼・利益の改善につながる良いサイクルに⼊っている 14 総務省「通信利⽤動向調査(2018年)」 http://www.soumu.go.jp/johotsusintokei/linkdata/h29_06_houkoku.pdf

15. (3) 我が国におけるテレワーク導⼊率と導⼊効果  ⽇本の場合(経理業務)  導⼊の背景  ⼤規模災害の想定  物理的に出社困難な状況になった場合の業務継続の⼿段として検討される

     導⼊効果  平常時においても⼤きく⽣産性を損なうことなく運⽤できる 15 総務省「通信利⽤動向調査(2018年)」 http://www.soumu.go.jp/johotsusintokei/linkdata/h29_06_houkoku.pdf

16. (3) 我が国におけるテレワーク導⼊率と導⼊効果  ⽇本マイクロソフトの取り組み 16 https://www.microsoft.com/ja-jp/business/workstyle/default.aspx

17. (3) 我が国におけるテレワーク導⼊率と導⼊効果  海外の場合  導⼊状況 北アメリカ・ヨーロッパが多く普及  地域別動向 

    アメリカ 仕事の範囲と責任が明確化/WE制度により広く普及  カナダ フルタイム就業者の3⼈に1⼈は柔軟なスケジュールで働くことが可能  フランス フレックス制度が普及しておりテレワークに依存しない 17 http://www.soumu.go.jp/main_sosiki/joho_tsusin/telework/furusato-telework/diffusion-overseas/index.html

18. 2. 経理業務におけるテレワーク の導⼊ 18

19. (1) テレワーク実施に向けた準備活動 19 導⼊検討 •導⼊⽬的検討 •導⼊範囲検討 •導⼊効果想定 業務環境整備 •定型/⾮定型業務の 区分

    •導⼊範囲の決定 業務の調整 •就労ルール調整 •データ保管ルール 検討 ITインフラ 整備 •セキュリティ ポリシー⾒直し •オンプレミス 環境整備 •クラウド環境整備 •社内ネットワーク 設定 •アクセス権限付与

20. (1) テレワーク実施に向けた準備活動  所要期間  導⼊範囲に依存するが、1ヶ⽉〜2ヶ⽉程度必要  所要コスト  社内コスト

     対応要員の調整  社外コスト(主に環境整備)  リモートアクセス環境  ネットワーク環境  作業⽤端末の⼿配 20

21. (2) トップダウンでの導⼊推進と対象プロセスの選定  トップダウンでの推進が必要  全社的に影響がある  就労条件について労使合意も必要になる  局所的に⾏っても効果が出にくい

     部署単位での実施・効果測定は有効  部⾨間の利害対⽴に留意する  ファイルの受渡しルール  会議の設定  ⽇程の共有  段階的な導⼊は可能  第⼀段階 時間はそのまま 場所を⾃由化  第⼆段階 時間も⾃由 場所も⾃由  労使協議が必要 21

22. (3) 業務環境の整備と調整  業務範囲設定の必要性  テレワークと相性の良い/悪い業務を識別するため  テレワークと相性の良い業務とは  定型業務である

     作業⼿順が明確である  業務データを電⼦的に共有できる  データポータビリティを確保が必須  会社のデータ保管ルールとの競合に留意  テレワークと相性の悪い業務とは  ⾮定型業務  複雑・多⾯的な判断が必要  物理的に集まらないと進展がみられない作業 22

23. (3) 業務環境の整備と調整 23 経費精算 •経費確認 •経費承認 •経費精算 請求 •請求書作成 •請求書承認

    ⽀払 •⽀払⼀覧作成 •⽀払チェック •⽀払承認 •振込予約 仕訳登録 •仕訳明細作成 •仕訳登録 •仕訳承認 ⽉次報告・ 試算表作成 •資料作成 •資料承認 テレワーク可能 な業務範囲 テレワーク可能な業務の範囲の例

24. (3) 業務環境の整備と調整  労働時間  フレックス対応(労使合意が必須)  休憩・移動・深夜時間の定義  深夜勤務⼿当は⽀払義務があるので注意

     データポータビリティの確保  社内ルールとの調整  持ち出し可否の確認  データ保管レベルの設定  経理業務の場合  承認処理が電⼦データで対応できるか  紙とデータの共存をどうするか  データ⼀元化を実現するための過渡的な施策の検討  電⼦帳簿保存法対応(制約が多い) 24

25. (4) ITインフラの整備  想定される準備作業  セキュリティポリシー  ローカル作業の範囲検討  IT環境整備(オンプレミス)

     IT環境整備(クラウド)  社内ネットワークの設定  アクセス権限付与 25

26. (4) ITインフラの整備  セキュリティポリシー  ポリシーの⾒直し  テレワークを想定した内容になっていなければ改定を検討する  情報資産のレベル定義

     レベルA 顧客情報 個⼈情報など  レベルB 業務上秘匿性の⾼い情報  レベルC 業務上秘匿性の低い情報  機密性の⾼いものについてテレワークで取扱可能にするか 26

27. (4) ITインフラの整備  ローカル作業の範囲検討  作業端末内にデータを保管させることへの制限  理由 情報漏洩時のダメージを最⼩限にするため 

    紛失リスクへの対応でカバーする、という判断もある  リモートワイプなど 27

28. (4) ITインフラの整備  IT環境整備(オンプレミス)  作業⽤端末に業務ソフトウェアをインストール  業務ソフトウェア  クライアント⽤モジュール

     リモートアクセス⽤モジュール  セキュリティソフトウェア 28

29. (4) ITインフラの整備  IT環境整備(クラウド)  データやアプリケーションがクラウドから提供される  端末側の準備が少なくてすむ  データ管理の仕様がクラウドベンダーに依存するリスクがある

     アプリケーションは端末側に保管、データはクラウドに保管  端末側のアプリケーション制御(インストール及び設定)が必要  クラウドでのデータ⼀元管理が可能  アプリケーション、データともクラウドに保管  アプリケーションの最新機能をクラウドで提供  クラウドでのデータ⼀元管理が可能 29

30. 会計システム(オンプレミスとクラウド) 30 インターネット 会計システム VPN 社内 インターネット 会計システム (SaaS) VPN

    社内 社外 社外 <オンプレミス＞ ＜クラウド＞

31. (4) ITインフラの整備  社内ネットワークの設定  不特定多数によるアクセスと従業員によるアクセスを識別する 必要がある  VPNの概要 

    擬似的に社内ネットワーク環境を再現する  トンネリング  パケットにIPヘッダを付加して End to Endの通信を実現する  暗号化  VPNデバイスを導⼊する  ルータ、ファイアウォール、セキュリティアプライアンスなど  VPNの種類  サイト間VPN  拠点間のVPNデバイスを接続する  リモートアクセスVPN  リモートクライアントとVPNデバイスを接続する 31

32. (4) ITインフラの整備  社内ネットワークの設定  VPNの要件  機密性  データを盗聴されてもデータの中⾝を保護することができる

     完全性  送信元から送信先への通信においてデータの改竄や⽋落がない  送信元認証  送信元が本当に想定した相⼿なのかを保証する  アンチリプレイ  リプレイ攻撃(正規のパケットをコピーして再送する)を防⽌する  代表的な技術としてIPSecがある 32

33. (4) ITインフラの整備  アクセス権限付与  ERPパッケージ(オンプレミス)  ERRパッケージ(クラウド)  経理資料作成業務など(多くの場合EUCで対応)

    33

34. 3. テレワークにおけるリスクと対応 34

35. (1) テレワークで想定すべきリスク  想定するべきリスクとは  業務リスク  緊急時の対応  労務管理と給与計算

     仕事の評価  担当者のITリテラシー  システムリスク  情報漏洩とデータの散逸  法的リスク  委託先におけるデータ管理ルール 35

36. (2) 緊急時の対応  リスク  緊急時にリモート環境の従業員と連絡がとれなくなる  システムトラブルにより業務が継続できなくなる  対応

     BCP(業務継続計画)の策定  定期的なテストの実施  就業状況の確認  代替連絡ルートの確保  ITインフラがダウンした場合に連絡がつくようにする  業務継続するための代替⼿段検討  サービスの⼆重化  社内作業を部分的に残す 36

37. (3) 労務管理と給与計算における対応  リスク  フレキシビリティのある働き⽅の反⾯、時短や残業に対する⽅ 針も柔軟性が求められる  開始終業管理が厳密に実施できなくなる 

    原則として⾃⼰申告によるため  対応  勤務実態の把握  勤怠打刻情報の⼊⼿徹底  ただし就業状況を完全にモニタリングするのは限界がある  勤務状況モニタリング  サンプル抽出で定期的に確認する 37

38. (4) 仕事の評価  リスク  テレワークによるネガティブリスク  コミュニケーション品質の劣化  成果による評価不⾜

     対応  ポジティブリスクへの転換  環境改善による品質維持  ⼈事制度への影響  経理業務の場合  量のリスク  質のリスク 38

39. (5) 情報漏洩とデータの散逸  リスク  アクセス権限  端末紛失  対応

     「なくさないようにする」でなく「なくすことが前提」の対応 策を検討する  アクセス管理ポリシーの厳格化(社外ユーザーの端末特定、権限の制約)  端末暗号化(紛失しても漏洩させない)  パスワード強制変更、リモート削除など(悪意のユーザーに使⽤させない) 39

40. (5) 情報漏洩とデータの散逸  リスク  メール添付による散逸  メールサーバへの恒久的保存  対応

     ファイル添付の廃⽌  業務データのストレージ等での⼀元管理 40

41. (6) 担当者のITリテラシー  リスク  セキュリティポリシー  クラウドサービスの利⽤  情報資産の管理

     ID/PW管理  対応  リテラシー教育  周知啓蒙 継続教育 41

42. (7)委託先におけるデータ管理ルール  リスク  委託先への重要業務データ提供  委託先からの情報漏洩  委託先でのデータ⽬的外利⽤ 

    対応  契約における制限  トラブル時の対応フロー検討 42

43. 4. テレワークと内部統制 43

44. 内部統制報告制度  ⾦融商品取引法における内部統制報告制度  財務報告に係る内部統制の適切な整備及び運⽤を義務づけられ る  事業年度末の状況に対応した内部統制報告書を発⾏する  ただし猶予措置あり(上場後3年間は作成不要)

     テレワークにより運⽤ルールが変更される場合は 変更点を中⼼に評価する 44

45. (1) 内部統制への影響範囲  決算・財務報告プロセス  IT業務処理統制  IT全般統制  システム運⽤・管理

     安全性の確保  EUC統制 45

46. (2) 決算・財務報告プロセス  テレワークにより影響を受ける作業  社外からのデータ操作  更新履歴の保持  統制上の対応

     社外作業と社内作業の連携が⽀障なく進められるかどうか 46

47. (2) 決算・財務報告プロセス 47 統制評価項⽬ テレワークにおける留意点 決算業務に関する職務分掌が適切になされている テレワークを想定した職務⽂書の⾒直しを⾏っている か 決算に係る関連⽂書及び電⼦データを網羅的且つ正確 に⼀元管理することによって、適切に保管する

    業務データを社外から追加・変更する場合に変更履歴 が正しく保持されるか 決算整理・決算処理事項はすべて適切な権限者により 査閲されることが規程・制度として確⽴している 社外からの承認処理が⾏われる場合に社内と同等の制 約がかけられているか 決算作業(注記情報の作成を含む)の⽇程(⼯程表)と各 担当者の役割、責任と権限を明確に定め、決算作業の 進捗状況を把握し、適切な時期までに適切な決算作業 を⾏う テレワーク従事者の進捗状況の管理⽅法や報告⼿段が 明確になっているか ⼊⼿した各関係部署からの決算資料は、適切な責任者 により承認された最終版であることを保証する⼿続が ある 業務資料の更新履歴が正しく保持されるか 正当な担当者のみが決算振替伝票の⼊⼒が可能であり、 その職務は適切に分離されている 社外からの⼊⼒が⾏われた場合も証跡が正しく残され るようになっているか 連結パッケージが、根拠資料から漏れなく正確に転記 されていることを、作成担当者以外の者が確認してい る 連結パッケージおよび根拠資料の提出状況や変更履歴 が正しく保持されるか、経理担当者による確認を証跡 として残しているか

48. (3) IT業務処理統制  テレワークにより影響を受ける作業  ⾃動⽣成データについて社外からの参照が困難  データの制約により、業務効率にマイナス影響が出る  統制上の対応

     作業場所を問わず同じ品質のデータを操作できる環境の準備 48

49. (4) IT全般統制(システム運⽤・菅理)  テレワークにより影響を受ける作業  社外からの従業員のアクセス  想定していなかったシステム運⽤の追加  統制上の対応

     社外からのデータ操作モニタリング  機密データへのアクセスへの適切な制限 49

50. (4) IT全般統制(システム運⽤・菅理) 50 統制上の⽬標 テレワークにおける留意点 システム運⽤規程が遵守され、遵守証跡が作成される 社外からのデータ操作にかかるモニタリングを⾏う環 境が想定されているか データ管理⽅針が策定されている データ管理レベルが定義され、重要度の⾼いデータに

    ついて社外からの利⽤を適切に制限するルールになっ ているか データが適切にバックアップ、保管されている テレワークでローカルデータを扱う場合にバックアッ プが適切に⾏われるか

51. (5) IT全般統制(安全性の確保)  テレワークにより影響を受ける作業  社内ネットワークへの不正アクセスリスクが⾼まる  統制上の対応  主にネットワーク環境における不正アクセスリスクを軽減する

     セキュリティポリシー  端末のアクセス制御、ウィルス対策等  ネットワークの常時監視 51

52. (5) IT全般統制(安全性の確保) 52 統制評価項⽬ テレワークにおける留意点 情報セキュリティポリシーが策定・承認されている テレワークを想定したセキュリティポリシーの⾒直し を⾏っているか アプリケーションシステムのアクセス権限を適切に設 定し、承認している

    テレワーク作業を⾏う端末のアクセス権限を適切に設 定しているか アプリケーションシステムのアクセス権限は適切に管 理し、アクセス状況を管理・監視する テレワーク作業を⾏う端末のアクセス権限を監視する 仕組みが確⽴しているか 社内ネットワークの設計・変更に対し適切なセキュリ ティを導⼊している 社外からのアクセスを想定したセキュリティの変更を ⾏っているか 外部から社内システムへの不正アクセスを防御するた めのセキュリティ管理が存在する 不正アクセスと認証された端末からのアクセスを識別 し、不正アクセスを適切に防御できるか 外部ネットワークからのアクセス情報を管理・監視し ている 認証された端末からのアクセス履歴を適切に保持して いるか ウィルス等によるデータ破壊のリスクを軽減するため にアンチウィルスソフトを導⼊している テレワーク作業を⾏う端末へのウィルス対策を徹底し ているか

53. (6) IT全般統制(EUC統制)  テレワークにより影響を受ける作業  作業ファイルの仕様がブラックボックス化しやすい  テレワークによりこのような傾向が加速する  場所が離れていることからコントロールしにくい

     統制上の対応  ファイルの集中管理  オンラインスプレッドシートの利⽤  Office365 / Googleスプレッドシートの利⽤検討 53

54. (6) IT全般統制(EUC統制) 54 統制評価項⽬ テレワークにおける留意点 スプレッドシート等を財務情報に利⽤する場合には、 財務詳報の完全性、正確性、正当性に関する⽅針と⼿ 続があり、順守されていること テレワーク作業により作成された資料についても左記 の⽅針および⼿続が同様に適⽤され、順守することが

    できるか 作成したスプレッドシートとデータのバックアップを ⾏い、安全に保管すること テレワークでローカルデータを扱う場合にバックアッ プが適切に⾏われるか スプレッドシート等に完全性、正確性、正当性を検証 できる仕組(検算できる等)が組み込まれているか、も しくは⼿計算で検算すること テレワーク作業を⾏うファイルについて左記の検証が 可能になっているか

55. まとめ  ⽇本におけるテレワーク普及率  低⽔準だが、今後伸びる余地がある  社会基盤や企業インフラの整備が肝要  テレワークの導⼊フローと留意点 

    トップダウンでの推進が必要  オンプレミス志向かクラウド志向か  テレワークの導⼊リスクと対応⽅法  業務リスクがもっとも⾼い、特に緊急時対応と労務管理  テレワーク導⼊は「監視強化」ではない  外形的なテレワーク導⼊では効果が出にくい  多様なスタイルに対応した働き⽅を考えよう  必要な施策はテレワーク「のみ」ではない  従業員エンゲージメントを⾼めるためにテレワークを活⽤ 55

56. 5. 質疑応答 56

57.  E-mail  [email protected]  Twitter  https://twitter.com/harakancpa  LinkedIn

     https://www.linkedin.com/in/harakan/  本資料における会社名・製品名・サービス名・ロゴ等は、それぞれ各社の商標または登録商標です。  本資料に掲載されている全ての画像・⽂章・情報等は著作権により保護されています。  本資料の⼀部または全部を無断で転載、または複製など、他の⽬的に使⽤することを固くお断りいたします。  第三者への提供、インターネットでのアップロード、SNSなどでの共有等もご遠慮ください。 Contact us 57