RPAと内部統制(J-SOX)

 

RPAの導入が進み、現在では「どのように運用、管理するか」が多くの企業の課題となっています。
今回はRPAの運用に当たって考慮すべき事柄の一つである、内部統制について考えてみたいと思います。

 

内部統制とは

内部統制の対応を考えるにあたって、企業実務的には内部統制報告制度(J-SOX)の対応を行うことになると思います。J-SOXとは「財務報告にかかる内部統制に関する報告制度」のことを指します。
日本の上場企業は例外なくJ-SOXへの対応が必要で、財務業務における内部統制の評価結果を毎年、国に報告する義務があります。

RPAは従来人が行ってきた業務を自動化するため、不適切な運用を行うと内部統制の観点から問題となる可能性があります。

例えば、金融庁が出している「財務報告に係る内部統制の評価及び監査に関する実施基準」の中の「ITの統制の構築」に関連する問題が発生します。

具体的には下記のような項目です。

 ①ITに係る全般統制
  内外からのアクセス管理などシステムの安全性の確保

 ②ITに係る業務処理統制 
  例外処理(エラー)の修正と再処理
  システムの利用に関する認証、操作範囲の限定などアクセスの管理


では実際にRPAのどのような点が、内部統制の観点から問題になるのでしょうか。

 

RPAで起こりうる問題

RPAは大規模なシステムに比べ、開発、導入しやすいのがメリットですが、同時に作成のしやすさによるリスクも存在します。このリスクが内部統制の観点から問題となる場合があります。

ここでは、RPAの管理・運用を行う上で起こりうる問題(リスク)を例として3つご紹介します。

 

RPAの動作のブラックボックス化

サーバー型のRPAを使用する場合によくみられる問題です。
RPAの動作画面や、動作の詳細を確認することができず、業務担当者がコントロールできない部分が大きくなります。
そのため、RPAが行っている操作内容を完全に把握することができないというリスクが発生します。

 

ロボットの予期せぬ停止や暴走

デスクトップ型のRPAを使用する場合によくみられる問題です。
デスクトップ型RPAは業務担当者が直接ロボットを作成することができるため、手軽にロボットを作成することができます。
一方で、エラーフローや条件分岐を正しく考慮しないままロボットを作成してしまい、ロボットの予期せぬ停止や暴走を招くこともあります。

 

セキュリティ問題

RPAでログインの処理を行っていたり、個人情報を扱う処理を行っていたりする場合、特に注意が必要です。
ロボットを不正に実行された場合、企業に多大な損失を与える可能性があります。


では、これらの問題にどのように対応すればよいでしょうか。

 

対応策

前項で挙げた問題に対して、以下のような対応策が考えられます。

 

実行ログの取得

実行ログを取得しない場合、ロボットが誰によって動かされたか、ロボットが実際にどのような処理をしたかが不明となるため、実行ログの取得は重要です。
具体的には、ロボットを操作した人の記録(アクセスログ)や、ロボットの操作記録をログとして出力したりすることが考えられます。

UIPathを例に挙げると、UiPath Orchestratorのログ(Logs)機能を利用することが考えられます。

・ログ(Logs)画面

 

また、UiPath Orchestratorには、監査証跡(Audit)機能もあり、誰がどのような操作をしたかを記録することも可能です。

・監査証跡(Audit)画面

 

 

アクセス制御

前述した通り、実行ログによってロボットが何をしたかを記録することは重要ですが、ロボットを利用できる人を制限することも重要です。限られた人にロボットの利用を許可(アクセス権を付与)することで、不正なロボットの実行を防ぐことができます。
またロボットが操作可能な業務範囲をあらかじめ設定し、ロボットで用いるアカウントに適切に権限を付与することも必要です。

以下はBluePrismの例ですが、ユーザ毎にアクセス権限を詳細に設定することが可能です。


・アクセス権の設定画面

 

実行結果のチェック

ロボットによる実行結果が正常かどうかをチェックすることも重要です。
例えば、ロボットに与えたINPUTのデータと、入力結果のOUTPUTのデータを比較し、差異がないかを確認するツール、もしくはロボット(RPA)を作成するということが考えられます。
また作業内容によっては、ツール、ロボットによるチェックだけではなく、承認等の形で、最終的には人間がチェックすることも必要です。


上記で挙げたのはリスクに対する対応策の一例ですが、
個々のリスクに対して適切な対策を講ずることにより、内部統制への対応を行うことが可能です。

 

内部統制への対応によって得られるもの

RPAの内部統制への対応を行うことは、下記のようなメリットもあります。

 

現行プロセスの改善

RPA導入の際に内部統制の視点を入れることで、現行の体制やプロセスを改善する機会を作ることができます。
単に業務を自動化するだけではなく、内部統制の観点からも望ましい形に改善できる可能性があります。

 

部分最適から全体最適へ

内部統制への対応は、経営的な視点から業務を確認する機会となります。
業務プロセスを再確認することで、一部門で利用しているRPAを他の部門にも利用できることが判明したり、全社的に利用可能であったりすることに気づく機会となります。

 

内部統制評価や監査業務の削減

また、RPAを利用することで内部統制評価や業務監査の対象を削減することもできます。
(財務報告に係る内部統制の評価及び監査に関する実施基準 Ⅱ. 3.(3)④ 二. a. 内部統制の形態・特徴等)
適切に内部統制対応を意識してRPAを利用することで、内部監査部門の工数削減に繋げることも可能です。
具体的には、従来手作業で作成してきた証跡をRPAで自動的に作成し、保管することが挙げられます。

 

RPA運用・管理には内部統制の観点が大切

RPAの運用・管理において、内部統制の観点を意識することが大切です。
機械的に対応するのではなく、業務プロセスを見直す機会ととらえることで、経営に大きな効果を与える可能性を秘めています

BTCでは導入から運用、管理、保守まで一気通貫サポート可能なため、RPAにかかわるすべての段階で内部統制対応のサポートが可能です。

内部統制についてお悩みの際はぜひ経験豊富な弊社までご連絡ください

 

参考

 

関連記事

もっと知りたい方はこちら

ページトップ