RPA導入に伴う内部統制の整備ポイント~想定されるリスクにどう対応するか?~

RPA導入におけるリスクの変化とその対応について、内部統制の視点から考察する。

RPA導入におけるリスクの変化とその対応について、内部統制の視点から考察する。

働き方改革や生産性改善に向けた施策の1つとして、デジタルレイバー(Digital Labor)とも呼ばれるロボティック・プロセス・オートメーション(Robotic Process Automation、以下「RPA」という)を導入する企業が増えている。
このRPA導入の初期段階では、その効果や業務への影響範囲を測り、実効性を検証する目的で、2~3つの業務のRPA化から開始するスモールスタートが定石となっている。このようなアプローチを一般的にPoC(Proof of Concept:概念実証)と称するが、1~2ヵ月程度のPoCを実施することでRPAがもたらす効果を実感することができる。一方、これまでの導入経験から、RPAは万能ではないことも認識されており、運用時の仕組み作りまで含めた取組みが必要となっている。

議論の背景(RPA導入と内部統制)

RPA導入の効果を高める方法として、BPM(Business Process Management)との連携、運用管理の仕組みの整備、人工知能(AI)との連携などの取組みがある。

まず、BPMとの連携とは、PoCから拡大して経理/給与/購買等の部門ごとに複数の機能でRPA対応が進んだ後に、組織の壁を越えるためにBPMツールを活用することでさらに、自動化・効率化の範囲を拡大することである。

次に、部門内での10体程度の小規模なRPA導入から、会社全体で数百体を導入するような大規模な運用を支える運用管理の仕組み作りがある。このようなRPA運用管理の整備では、RPA開発と運用に係るプロセスの検討、組織・ガバナンス体制、社内の人材確保などから外部委託まで多角的な視点からの整備が必要になる。

さらに、当初は構造化された電子データを取り扱っているが、紙面上の情報・音声・文章など構造化されていない情報を扱うことを目指した取組みがある。そこではOCRツールや分析ツールをRPAに接続することが検討されている。

このようにRPAは導入範囲が量的にも質的にも拡大して、さらなる効果の実現に向けた取組みにつながっており、たとえば、RPA運用管理のような内部統制からの検討も重要になっている。本稿では、RPA導入におけるリスクの変化とその対応について、内部統制の視点から考察する。

RPAと業務上のリスクの関係

ここでは、内部統制への影響を考察するにあたり、図表1のような導入ケースを想定する。

図表1 RPA導入例 - 請求書登録業務へのRPA導入

図表1 RPA導入例 - 請求書登録業務へのRPA導入

想定している業務は、物品・サービスの購入について取引先から請求書が届いてから、請求書の内容をシステムに登録して、さらに会計システムに転記するまでの作業である。すべてを自動化するわけではないが、主には請求書情報のシステム入力、内容の確認、会計システムへの転記といった作業についてRPAを導入しているケースである。

導入前の業務に係るリスクとしては、たとえば、請求書情報の登録漏れ、発注・検収情報との相違、勘定科目の選択を間違えるなどの誤謬が考えられる。さらに、架空発注などの不正リスクもある。このため、作業者と確認者による二重チェック、発注・納品システムとの照合、職務分掌による牽制などの統制を整備することでリスクを低減させている。このような統制は経理・調達などの業務規程・手順書などに規定されており、各部門・業務プロセスに係る内部統制を構成している。

さらに、組織の風土・文化、監査部門によるモニタリングなど、全社レベルの内部統制によっても、個々のリスクは低減されている。これはITシステムに係る統制も同様であり、いわゆるIT全般統制およびIT業務処理統制により、リスクを低減している。かなり概括しているが、これらが従来の業務であり、その業務目的の達成を担保する内部統制である。

このような業務にRPAを導入すると、内部統制はどのような影響を受けるかについて、以下で考察する。

リスクおよび内部統制への影響

内部統制への影響を検討する前に、RPAを導入してデジタルレイバーに作業させることで得られる効果を整理する。


(1)RPA導入の内部統制面での効果

デジタルレイバーについては、一般的に、業務プロセスの遂行に必要な人的コスト及びシステム導入コストを削減することができ、あるいはシステム化及び手作業での過負担からできなかった業務が可能になるといった効果を得られると考えられている。さらに、デジタルレイバーは人間よりも正確に作業するため、業務処理の正確性は格段に向上することになる。

先の例では、請求書を受理して内容を読むところは人間が作業するが、その先の作業はデジタルレイバーに代わる。請求書に記載された取引先・金額・支払期日などの情報の入力作業、該当取引について発注・納品システムのデータとの照合による発注内容・納品完了等の確認作業、さらには会計システムへの転記作業はデジタルレイバーが処理する。

そこでは、人間の作業で想定していた入力の誤謬や不正といったリスクの発生可能性が変化する。つまり、デジタルレイバーを活用することで、現行の内部統制が想定している誤謬リスクについては、リスクの発生可能性自体が低下する。また、デジタルレイバー自体には不正の要因となる動機がないことから、不正リスクについても発生可能性自体が低下する。


(2)内部統制での課題

RPAの導入は内部統制にプラスに働くことばかりではない。人間による業務で想定したリスクとは違って、リスクの大きさの変化、また新たなリスクの発生に対する注意が必要になる。たとえば、発注・納品システムが変更となったにもかかわらず、RPA側に連携されていなければ、請求書情報の入力や発注情報との確認などにおいて誤作動が発生する、あるいは処理できずに停止してしまう可能性がある。人間が作業している場合、他の担当者、さらには他部門であっても情報連携して対応しているように、RPAにおいても、関連システムの変更についての情報が共有される仕組み、さらにRPA担当部門で影響分析や対応を確実に実施する手続きの整備が必要になる。

この他にもデジタルレイバーならではの課題として、情報セキュリティの観点からは不正アクセスによる情報漏えいや設定変更が発生する可能性、また事業継続の観点からは災害やシステム障害があると業務が停止してしまう可能性、そもそもの業務とRPAの設計内容について理解している部員が将来の異動等で不在になることによる業務のブラックボックス化などが指摘されている。また、導入段階での例外処理対策が不十分である場合、誤った処理を検知できないといった可能性も指摘されている。

このようにRPAというデジタル技術自体の特徴と導入および運用の取組みレベルに起因して、RPAを導入する企業はリスクの見直し、ならびにその内部統制の再整備が求められる。続いて、これらリスクに対する統制活動について考察する。

RPA導入によるリスクへの対応

RPA導入及び運用において発生する可能性がある、誤処理、情報の漏えい・改ざん、業務の停止、および管理業務のコストと負荷の増大という4つのリスクを例として、リスクに対する統制活動を考察する(図表2)。

図表2 RPAに関するリスクと統制活動の例

図表2 RPAに関するリスクと統制活動の例

(1)RPAの開発プロセスの定義

RPAによる処理が正しく実行されるためには、使用するプログラムが正しく作成されていなければならない。そのためには業務での使用開始に先立って十分なテストを実施するなどして、プログラムの品質を確保することが必要となる。

RPAプログラムの品質を確保するためには、プログラム開発の着手から業務への導入開始までをカバーする標準的な手順を定めておくことが重要である。さらに、RPAに関連する他のシステム(既存の業務システム)に仕様変更が行われた場合の影響評価や、RPA側での対応についても、この手順の一部として考慮しておくことが望ましい。

RPAに関する開発手順書を作成するにあたっては、システム部門が所管するシステムに関する開発手順書を参照することができ、また、既存の開発手順書にRPAに関する事項を盛り込むことも考えられる。


(2)プログラムとデータの保護

RPAの処理データが秘密度・重要度の高いものである場合、その漏えいや改ざんのリスクにも注意が必要であり、その対策としてはデータへのアクセス管理が基本となる。データの秘密度・重要度に応じて、また業務遂行での必要性に応じてアクセスの許可範囲を定義した(限定した)アクセス権を与えなければならない。RPAの処理プログラムについても、不正な変更から保護するために、同様のアクセス管理が求められる。アクセス権限の設定内容では、アクセス管理に関する既存の方針等との整合性を確保するように決定することも大切になる。


(3)バックアップの確保

想定されるRPA停止のシナリオとしては、コンピュータの故障、プログラムの不具合、停電などがある。コンピュータの故障を例にとれば、別のコンピュータとの交換が、最も簡単な対策になる。通常1台のコンピュータで処理可能な業務であっても、相互代替ができるように、RPAを2台で構成としておくことも考えられる。

また、通常のシステムであれば、データの消失はシステム処理の継続不能に直接つながるため、データのバックアップの確保が重要な対策となっている。この問題に該当する場合、データのバックアップについての対策を十分に検討する必要がある。

なお、業務継続の観点からRPAが停止した場合の復旧手続、人手での最低限の業務遂行の手続きなどのマニュアルについても準備しておくことが重要である。


(4)規程・手順書の整備、責任・役割の定義

RPAに係る内部統制を有効に運用していくためには、その内容を規程・手順書として取りまとめて、組織内で共通的に運用することが必要となる。また、RPAの管理・運用に関する責任者や内部統制の実施者、それぞれの責任と役割の範囲について明示しておく必要がある。これは導入部門別に分散してRPAが管理されるような場合には特に重要である。

なお、規程・手順書・管理体制は、RPA独自のものであってもよいが、既存の規程や体制の中にRPAに関する事項を追加する方が進めやすいことも多く、自社の状況を勘案してアプローチを選択することが効果的である。

内部統制の再考での検討論点

内部統制に対するRPA導入の影響は、対象業務、導入規模、複数部門に関連するかなど導入内容によって違いがある。また、内部統制の内容によっても異なるので、ここでは内部統制を全社レベルの統制、プロセスレベルの統制、IT全般統制、IT業務処理統制の4つに区分して影響を検討する。


(1)全社レベルの統制

一般的にRPA導入の効果として人的コストの削減が挙げられるが、短期的な効果として業務内容の転換も挙げられる。単純作業をデジタルレイバーに移行して、人間は分析・判断する業務の比重を高めて人材の有効活用を進めることもこの例である。もちろん、長期的には従業員のスキル・経験の構成にも変化が現れるかもしれない。

このような変化は、組織分掌、コミュニケーション、トレーニング、モニタリングなどにも影響する。RPA導入により、手作業からデジタルレイバーへの単なる置き換えにとどまらず業務設計自体が変化する。すなわち、人間の関与が変わるため業務活動の指示・報告といったコミュニケーションにも変化は及ぶ。さらに、RPAについて機能とそのリスク・統制も含めた正しい理解を得るために経営者から管理者を含めて教育すること、業務活動に関するノウハウの維持などにも影響は及ぶ。

従業員の業務が、判断を伴う複雑かつ難易度が高い領域に集中することを勘案すると、大規模なRPA導入を進める企業ではRPAに直接関連した統制の見直しだけではなく、統制環境などをとおした従業員の統制活動の風土を醸成することの重要性がさらに増すと考えられる。組織設計・規程・マニュアル等のハードコントロールだけではなく、いわゆるソフトコントロールの整備と効果を再考することにもつながるものである。


(2)プロセスレベルの統制

業務プロセスのレベルでは、従来は人間による活動に起因するリスクとそれに対する統制が中心となっていた。RPAに業務の一部が移行することで、このようなリスクの一部は低減することになるが、新たにRPAに係るリスクとその対応が必要になる。

たとえば、RPAが処理した業務を検証可能とする証跡の確保がある。手続きが自動化されることでブラックボックス化しないように、RPAツールの処理を検証できるログを残すような仕組みとルールが統制として必要になる。

このようなログの確保は監査証跡として各種監査実施の前提となるため、その仕組みとルールについては外部監査人および内部監査部門などと十分に連携しておくことが必要となる。また、証跡の変化はSOX対応におけるリスクシート、業務フロー、業務記述書の変更、さらにはキーコントロールの見直しにつながる可能性があることにも留意すべきである。


(3)IT全般統制

現行業務の代替であるRPAは、ユーザー部門主導で導入されることが多く、エンドユーザ・コンピューティング(EUC)との類似性を指摘されている。かつてEUCやスプレッドシートが部門に散在して、SOX対応時などに会社全体の情報システムの統制を一律に管理することに苦労した企業もあった。その経験から考えると、将来を見据えてRPAに対するガバナンスを整備することは重要であると言える。そこでの論点は、RPA導入に係る計画・開発・保守及び変更管理・障害対応のルール整備、セキュリティ及び権限の取扱い、既存の情報システムの運用ルールとの調整などがある。特にセキュリティについては、RPAと既存の情報システムへのアクセスコントロール(ユーザーIDの管理)、さらにデジタルレイバーに付与するユーザーIDの運用・管理が課題になる。


(4)IT業務処理統制

既存の情報システムとRPAが連携する業務では、まず既存の情報システムの処理への影響を明らかにすることが大切である。既存の情報システムのシステム運用(バッチ処理、ユーザーID登録)との関係、RPAによる大量処理の情報システムへの負荷による影響なども評価しておく必要があるかもしれない。


(5)RPA導入による内部統制への影響

全社レベルの統制などの内部統制への影響は、RPA導入時に調査しておくと効率的に内部統制を変更することができる。もちろん、導入後であってもリスクが認識された場合、リスクの大きさ・緊急度に応じて、統制の追加等について個別に判断することになる。

たとえば、第2項で述べたRPAによる請求書情報の入力・発注納品システム上のデータとの確認・会計システムへの転記といった業務については、異なる請求書タイプを網羅したテストなど、導入に係る標準手続きの整備、導入記録・テスト記録の確保、処理のログ作成と検証手続きのルール化、デジタルレイバーのアクセス管理などが、RPA導入にあたって求められる統制活動の強化ポイントとなる。さらに、請求書登録業務を担当していた社員の業務分担の見直しと配置転換、これら社員からの報告ルートの変更なども検討が必要になる。

まとめ

RPAの導入効果は、関連するリスクに対応した適切な内部統制の構築を通じて実現できる。本稿では、内部統制について例示しながら解説したが、自社に導入するRPAの性質に応じて、本稿で述べた以外の内部統制についても考慮が必要となる場合もある。各組織で実施されているシステム管理やリスク管理、セキュリティ管理などの既存の枠組みを参照、活用、相乗りしながら、RPAに係る内部統制の構築を円滑に進めていただきたい。

本稿が、RPAに係る内部統制構築とRPAの効果的な活用推進の一助となることを願っている。

旬刊経理情報 No.1504 2018年2月20日号に掲載(一部加筆・修正しています)。この記事の掲載については、中央経済社の許諾を得ています。無断での複写・転載は禁じます。

リスクマネジメント解説

お問合せ