2021年4月号 コロナが変える業務フロー~新たなる内部統制~
公認会計士 田中 久美子
1993年から大手監査法人で監査業務・M&A支援業務に従事し、中国への海外赴任を経て2017年御堂筋監査法人に入社。医療法人及び社会福祉法人の監査業務に従事。大学院で内部統制、内部監査の講義を担当。御堂筋監査法人代表社員。
新型コロナウィルス感染拡大防止のため、リモートワークの導入が進んでいます。それを実行可能とするため、情報を電子化する一つの方法として、従来紙媒体で処理されていたものをPDFに変換する実務が浸透してきています。この実務は、新型コロナウィルス感染症が収束したとしても、昨今の働き方改革等を考慮すると、今後も新たな実務として定着し、変化すると考えられます。今回は、そのような環境の中においてPDFに変換された証憑を利用することのリスクについて考えてみたいと思います。
1.PDF変換された証憑のリスク
証憑をPDF変換してメールに添付したり、サーバーでやり取りを行ったりすることで、リモートワークが可能となってきています。しかし、PDFによる証憑は、原本に比べて信頼性が低くなります。意図的に改竄されてしまうリスクだけでなく、不注意で落丁してしまうリスクもあります。このようなリスクが発生する原因としては、以下のようなものが考えられます。
(1) PDF変換前に、原本を紙面コピーした書類の切り貼り、加筆、押印等
(2) PDF変換時に、ページの落丁や一部差替え
(3) PDF変換後に、PDF編集機能を用いて、証憑内部の数字や文字を改竄
PDF変換された証憑を利用する場合は、上記リスクを勘案し、これらのリスクの軽減を図るための内部統制を整備・運用する必要があります。
2.PDFへの変換プロセスの統制
PDFへの変換プロセスにおいて、不注意による原本との不一致を発生させないためにはどのような内部統制を整備・運用するのかを考える必要があります。従来、紙媒体で業務を行ってきた際のダブルチェックがPDFへの変換時にも必要になる局面もあるでしょう。その際に、明らかな修正の形跡や落丁の有無、解像度や色調が明らかに劣っていないか等、これまでに必要とされていなかった観点からのチェックが必要になることもあります。新しい業務フローに応じたリスクの発見・防止に対応した内部統制を考える必要があります。
そのうちの一つとして、セルフサイン機能の利用を紹介します。セルフサイン機能は、PDFの作成者、作成日を確認することが出来るので、セルフサイン後の編集の有無を検知することが出来ます。すなわち、上記(3)のPDF変換後の改竄の有無を確かめる手段として利用することが出来ます。
同じような方法として、PDFのプロパティ情報を確認することも考えられます。プロパティをみることで、作成者、作成日時、更新日時を確認することができます。さらに、詳細情報にはPDF変換を行ったPDF作成ソフトウェアが表示されますので、法人が使用許可していないソフトウェア等を利用した変換の有無を確認することが出来ます。
3.取引先等外部から入手するPDF証憑
取引先から取引書類をPDFで入手しているケースがあります。この場合、改竄防止策として、電子署名等がつけられていることがあります。電子署名は、認証局と呼ばれる組織から証明書が発行され、これに紐づく電子署名が付与された文書であれば、そこに記された本人自身が作成したものであることを確認することが出来ます。しかし、電子署名は送信者のコンピュータ上で行われるため、そのコンピュータ内の時計を意図的に狂わせれば事後的に作成した証憑の作成日付を変更することが可能になります。
これに対応するため、タイムスタンプを利用することでその時点でその電子証憑が確かに存在したこと、そしてその時点からの状態を保持していることを確認することが出来ます。
4.進化する内部統制
コロナウィルス感染拡大防止のためのリモートワークの推進は、データトランスフォーメーションを大きく進展させ、医療法人においても新たな業務フローに対応する必要が生じています。その業務フローに特有のリスクを評価し、対応する内部統制を整備・運用する必要があります。電子化文書の利用はリスクがある一方で業務効率化を図ることも出来る便利なツールでもあります。コロナウィルスが医療法人にもたらしたのは、経営革新のきっかけだったのかもしれません。