日本の会計・人事を変える。”もっとやさしく””もっと便利に”企業のバックオフィスを最適化。スーパーストリーム

RPAは内部統制上問題とならないのか

 中田 清穂(なかた せいほ)

2019年1月16日に、日本公認会計士協会(JICPA)から公表された、IT委員会研究報告第52号「次世代の監査への展望と課題」(以下、委員会報告)に、以下の記載があります。

<以下、委員会報告から抜粋>

  1. 会計業務へのRPAの適用の拡大により、内部統制は大きな影響を受けることが想定される。
  2. RPAには、決められた指示に対してその指示に準拠して均質に作業を実施するという特徴があるが、この特徴から、RPAが有効に機能するには、決められた指示が正しいということが大きな前提となっているものと考えられる。
  3. すなわち、RPAは決められた指示が正しいかどうかを自ら判断することはできず、指示されたとおりに作業を実施することしかできないからである。
  4. 人であれば、もし指示された内容に明確でないにしろ気になる点があれば、指示者に相談するなどして指示自体の適切性を担保する役割を担うことができる
  5. 一方で、デジタルレイバーは指示された内容が適切であるかを判断することができないため、既存の業務プロセスや周辺システムが変更されていたり、法令等の外部環境が変わっていたりした場合で、過去には適切であった指示が適切でなくなっている状況であっても、既に適切ではなくなった指示に従って作業を実施してしまうリスクがある。
  6. また、RPAを導入した場合にデジタルレイバーは間違わないという先入観の下で人が実施した時に比べて作業のモニタリングが弱くなり、デジタルレイバーへの指示が適切ではなくなっていることに気付くことができない可能性がある。
  7. さらに、RPAでは複数のシステムにまたがって処理を自動化することも多く、関連するシステムの全てに関与し続ける人材を確保することが難しいケースがある。
  8. このような場合、導入時の部員が異動などにより不在になることでプロセッシング部分を理解している人員がいなくなり、変更対応ができないといった問題が生じることが考えられる。
  9. またRPAは従来のシステム開発・変更に比べて、システム部門ではなく現業部門での開発がより多く行われる可能性がある。
  10. このことは、従来のシステム開発・変更では機能していた全般統制が機能せず、不適切なRPAが業務で利用されるという問題を生じさせることが考えられる。
<抜粋以上、なお、改行と行番号は筆者が付与しました>

1行目から5行目までは、「指示が適切かどうか」を、人であれば判断できるが、RPAは判断できないということです。
人でも判断できない(判断しない)人はたくさんいると思いますが、RPAが判断できないのはその通りですね。
したがって、キー・コントロールに該当するような作業を行うロボを作った時には、ロボを作った人とは別の人が、テストの内容やその結果が妥当かどうかを確認するなどの妥当性チェックをすることが望ましいと思います。

6行目は、RPAは間違わないという先入観があると、モニタリングが弱くなるというのもその通りですね。「RPAでも間違えることがある」ということを常に念頭に置くからこそ、ロボ作成後の妥当性チェックを行うのです。

7行目から8行目は、長い手順のプロセスを行うロボを作ると、そのロボがやっていることをすべて理解できる人間を確保することは難しい場合が出てくるということですね。したがって、これまでのこのコラムで再三お話したように、ロボにやらせる作業は、なるべく短いものにすることがお勧めなのです。
そして、短い作業をするロボをつないでいけば良いのです。
そうすると、それぞれのロボが何をやっているのかを確認することは、容易になっていくでしょう。

9行目から10行目は、基幹システムなど従来のシステムを開発・変更する場合と比べて、ロボを作って自動化することは、容易にできるということです。
したがって、全般統制におけるプログラムの開発及び変更管理における整備・運用に関して、RPAで作業を自動化する場合は、基幹システムなど従来のシステムを開発・変更する場合よりも高い意識が必要です。
基幹システムなど従来のシステムを開発・変更する場合は、もともと経理などの現場では開発や変更ができないので、一度確立したIT統制の評価が変わることはあまりないでしょう。
しかし、RPAの場合は、一度作成したロボの内容が、内部統制での妥当性が評価できても、現場担当者によって変更ができるので、最初に評価した妥当性に意味がなくなってしまいます。
このことは、MicrosoftのExcelなどの表計算ソフトの関数やマクロを使って、作業を自動化するケースにとてもよく似ていますね。
J-SOXでは、表計算ソフトでの自動化は、IT統制ではなく、マニュアル統制の扱いになります。
したがって、通常RPAで作成したロボによる自動化も、マニュアル統制に該当すると思います。
しかし、表計算ソフトにおける自動化でも、「スプレッドシート統制」をきちんと行えば、IT統制と同等の扱いにできるのと同様に、RPAで作成したロボでも「スプレッドシート統制」の要件を満たせば、よいと思います。
ちなみに「スプレッドシート統制」の要件で最も重要なことは、アクセス制御、変更管理、バックアップ等の対応について、きちんと整備され、実際に適切に運用することです。
したがって、RPAで自動化を行う場合で、IT統制と同等の評価を受けるためには、以下の対応が必要だと思います。

(1)RPAで作成したロボのファイルを、アクセス制限のかかったフォルダやサーバーに格納する。
(2)一度作成したロボに変更を加える場合には、上司の承認を得て変更し、変更後は、その内容を上司に報告し、実行に際して承認を得る。
(3)作成したロボのファイルは、適時にバックアップを取る。

言うまでも有りませんが、上記は、全て私の私見です。まだ、この点について、JICPAからは何も公表されていません。
したがって、一番無難なのは、キー・コントロールに関わる作業は、当面RPAによる自動化はしないで、そのほかの作業からロボを作るのが良いように思います。

経理・財務部門が抱える課題を解消し、現場から経営層までを強力サポートする方法とは?

関連記事