【RPAと内部統制】十分な業務管理や監査対応を行う方法とは？

RPAツールが導入されると、業務の自動化が進み、大量の定型的な事務を正確かつスピーディーに処理することができます。

また、ヒューマンエラーによるミスの防止、人手不足がもたらすリスクに対応することができるため、リスクを減らせることもRPAの導入で期待できるメリットのひとつです。

一方、RPAの導入によりどんなリスクが生じ、これに応じた内部統制体制を整える必要があるのでしょうか。

リスクを予測し、コントロールするべく内部の管理体制を整えること（＝内部統制上）のポイントとなる点や、必須の対応、個別のアクションをご紹介しつつ、RPA導入における内部統制について、しっかり解説したいと思います。

RPAの導入後、業務上のリスクは増える？減る？

RPAの導入後、リスクに関連する内部の環境は変わるのでしょうか。

リスクがもしも減りも増えもしないと言うのであれば、RPAの導入により、内部統制について新たに何か対応する必要はありません。

しかし、以下でご説明する通り、内部環境はリスクコントロールにプラスの方向マイナスの方向、双方とも変わると考えられます。

RPAで減るリスク

1.人為ミスの削減

RPAを利用すると、人為的なミスは減らすことができます。

例えば、保険会社の申込書チェック・広告のチェックないし校正作業などはRPAツールでミスを０に近づけた活用事例にもあるように、ミスによる損失を低減することは企業活動のリスクを減らします。

損害賠償請求・ミスをチェックする体制など、会社の体制によるものの、金銭・内部統制上の工数・人件費など、リスクおよびそこから生じる負担を減らすことができます。

これに伴い、十分なミスのチェック体制が内部監査の項目に入っていたような場合は、対応する監査の工程も減らすことになるでしょう。

2.人員不足からくるリスクの削減

また、RPAによる業務時間の削減効果は高いので、人員不足から生じる生産性の低下や、RPAが作業をしない業務においても、事務ミスのリスクなども減らすことができます。

また、人材補充をしなくてよい業務も生じることが考えられます。プラスの影響は人件費だけでなく、採用費用の削減にも及ぶものです。

3.離職率の低減・企画開発業務など、本質的業務の強化など

RPAツールの導入により、入力業務などの単純な業務が自動化されると、より本質的な業務に集中でき、また、働く人のモーチベーションも上がるとされます。

離職率の低減や、企画開発業務へのリソース集中など、企業の存続にかかわるリスクを低減することができます。

こうして、RPAで減るリスクも大きいので、RPAで増えるリスクとのバランスを考えることがポイントとなります。

RPAで減らせるリスクが大きいので、RPAであらたに生じるリスクに対しては、余剰リソースを一部割くことができるはずです。

RPAの管理・エラー対策は十分に考える必要あり

一方で、RPAが業務を自動化することにより、手厚くケアしなければならない内部統制上の問題も生じます。

RPAで起こる内部統制に関する問題とは？

一方、RPAの機能・特徴を考えると、導入後の内部統制強化を考える上での検討課題に入れておくべきことは下記のような事項です。

RPAのエラー

人為的なミスは減らすことができても、RPAのエラーによる作業のやり直し、修正による時間のロスなどはあらかじめ想定しておくべき課題です。

この課題には、事前にはテストないしPoCを十分行うこと、業務中には例えば一定の作業量をこなしたら点検する作業を織り込むこと、エラーが発生したら、修正するための体制を整えておくことが対策として考えられます。

不正利用に対応したルールの有無

悪意で行うとは限りませんが、利用が手順書やルールに従ったものではないことや、私的利用など、不正な利用の問題が生じることがあります。

そもそも、何も文書化されたルールのないところでRPAを導入し、利用することは非常に問題なので、RPAの運用ルールを整えておくことはもちろんのこと、日ごろから研修などでルールをアピールしておく必要があります。

また、不正利用にあたると思われる行為については、通報ができる体制の構築・相談体制の構築が必要です。

RPAの操業停止とBCP・サービスに使うなら特に注意

BCPも内部統制上の大きな課題ですが、RPAがエラーで完全に業務を止めてしまような事態に至った場合、どうするか、対応策を最低限考えておかなければならないでしょう。

外部に対してのサービス提供の場・顧客あての文書の作成および発送の場などで、RPAの操業停止が、ビジネスの継続を妨げないようにしておくことが必要です。

アクセス権の管理は十分か

人間に対しては社内情報やデバイスに対するアクセス権を管理することが通常行われていると思います。

一方RPAは姿が見えないだけに、アクセス権のコントロールを行うことは忘れられがちです。

しかし、RPAに対してアクセス権を適切にコントロールしないと、本来取得するべきでない情報を自動で取得してくるようなこともできてしまいます。

特に、RPAが吸い上げる情報に関する、システム上のアクセス権の管理は、大量のデータが巻き込まれるので、要注意です。

RPAも社内の情報にアクセスする1人と考え、適切なアクセス権を設定するようにしましょう。

RPAツールが行う業務管理の手順は確立しているか

RPAの業務管理が確立しているかどうかも、内部統制上の問題点になります。

業務管理のプロセス・フローが確立していないと、RPAを使った属人的な業務が増えて、かえって効率化に役に立たなくなってしまうような事象も起こります。

RPAがどの業務を担当していて、どのように実施しているか、実行結果はどうなっているかを管理することは、人間が行っている業務管理と同様に必要です。

業務管理の具体的手順の確立ができない限り、なかなか大きな運用とすることもできない点にも注意が必要です。

野良ロボ問題とは？

野良ロボ問題とは、RPAの管理者が不在・アクセス権の管理が不十分・業務管理ができないなど、上記に挙げた内部統制上の問題点が重なることを意味しています。

より具体的には、RPAが勝手に作業をし、ひどい場合には財務資料まで数字が間違ったままになってしまうなどの管理不行き届きを言います。

野良ロボ問題は、RPAに関する内部統制の大きな問題点と言われますが、単にRPAを管理できないだけでなく、重畳的に管理不行き届きが重なっていることに留意が必要です。

内部監査において、RPAに関するリスクを網羅できているか

RPAに関する内部統制体制が十分かどうか、チェックは内部監査で対応することが基本です。

RPAに関するリスクファクターが十分に抽出され、リスクシナリオが抽出できていれば監査項目としてすべてを網羅できるはずです。

しかしながら、次にご説明をするリスクアセスメントの対応が不十分であるために、網羅性がなくなってしまうことが問題となります。

リスクアセスメントを始めよう

そこで、リスクアセスメントで、自社のリスクを十分に洗い出すことが必要となります。

今までご説明したことは、あくまでも一般論として留意する点を挙げたもので、具体的な事象として、何を「最悪の事態」として想定するかが問題です。

十分に「最悪の事態」が想定可能になるためには、全社的なリスクの洗い出し＝リスクアセスメントと、リスクの性質に合わせた具体的シナリオ＝リスクシナリオを用意することが必要になります。

自力でリスクアセスメント・シナリオを用意する

リスクアセスメントは、一般的に想定されるリスクと、その発生確率を「高・中・小」くらいの粗い分類で考えて、対応の優先順位を決める作業と考えてよいと思います。

これに対して、リスクシナリオは、財務的インパクトや・ビジネスに対するインパクトを考えるうえで参考になります。

例えば、アクセス権の管理ができないRPAが、「顧客個人情報が入ったサーバにアクセスし、テンプレートに勝手に顧客の情報を載せて、メールで外部に送付した」という例を想定してみましょう。

損害賠償請求は最大でどれくらいになるのか、また、被害の回復にどんな行動が、どれくらいの期間必要になるか、業務の正常化に必要な措置は何か、といった詳細を詰めていきます。

こうして、リスクを広く考えて、具体的に「リスク」を見える化することを丹念に行います。

コンサルタント・専門家にアセスメントしてもらう

そうはいっても、リスクアセスメント・リスクシナリオの作成は、なかなか客観的にできない、という場合もありますし、また、会社の規模が小さいと、リスクマネジメントや、内部統制の専門部署を持てないケースがほとんどです。

そこで、コンサルタントや、内部統制の専門家である公認会計士などのプロフェッショナルに相談して、リスクアセスメントをしてもらうことも一つの方法です。

コンサルタントや、プロフェッショナルによるサービスの中には内部統制体制構築の支援サービスなどもありますので、必要に応じて問い合わせてみてもよいでしょう。

専門家のサービスは、費用が掛かりますが、RPAで大きく経費削減ができることを考えると、ここで出費を惜しむのはあまり賢明ではないかもしれません。

書籍やセミナーも利用してみよう

リスクアセスメントに関する書籍は多数あるのと同時に、簡単にアセスメントができるようになるための基本的考え方や、リスクアセスメントの書式を掲載しているものもあります。

また、RPAに関する内部統制セミナーは、Big4系のコンサルティング会社などで多数開催されています。

資料を共有してもらえることも多く、質問もしやすいので一度足を運ぶとよいでしょう。

RPAツールに対応する内部統制上の体制とは？

会社には規模の違いがあり、内部統制部門・内部監査部門など、独立の部門・部署が持てていない場合もあることと思います。

ただ、部門がなくとも、業務責任者と、経営陣からスポンサー決めておくことはRPAに関する内部統制を始めるうえで大事です。

まだ手がついていない場合、RPAを運用するIT・情シスなどの部門がまずルールや手順の文書化を行うことから始めましょう。

そのメンバーを中心にして特別委員会を始め、他の内部統制関連部署・委員会と連携するなどして、RPAの運用規模に合わせて、内部統制体制も育てていくことから始めていきましょう。

記事まとめ

以上、RPAに関する内部統制体制構築に向けて、内部統制上問題点となること、問題点のチェックの機会となる内部監査で網羅するべき項目や、内部統制上の体制とリスクアセスメントについてご説明しました。

RPAはリスクを減らすことと、新しいリスクの登場と両面がありますが、前者が上回るようにして導入することも賢い導入のあり方です。

導入のダウンサイドと、その克服法を考える上でも、この記事がお役に立てましたら幸甚です。