RPAのガバナンス問題

RPAのガバナンス整備~導入時の運用ルールや内部統制について徹底解説~

RPAのガバナンス問題

働き方改革の一環として、多くの企業でRPA(ロボティック・プロセス・オートメーション)が導入されてきています。

RPA導入の成功事例も多く出てきている一方、従来人手によって業務が行われていたころとは違った新たなリスクによるインシデントの発生などの問題も見受けられるようになってきました。

この記事では、RPA導入に際してのガバナンス整備について、RPA導入によって発生するリスクもあわせて解説していきたいと思います。

RPAにおけるガバナンスの必要性

RPAにおけるガバナンスの必要性

RPAの導入を検討するにあたり、RPAツールの選定という段階があります。

この際に、RPAツールの選定時にロボットを作りやすいことを第一優先にして選定してしまう傾向があります。

RPAはプログラミングが必要なく、UI(ユーザーインターフェース)を用いて比較的簡単にロボットが開発できることから、多くの企業で採用されています。

しかし、RPAの運用に際しては、ロボット開発の容易さよりも、どのように管理・運用していくかが重要なポイントになります。

企業にとってITガバナンスは必須であり、これはソフトウェアロボットについても例外ではありません。

RPAツールによってロボットを簡単に作れるようになっても、それらを管理することができず「野良ロボット」を抱えることになれば、セキュリティのリスクは高まり、異常停止等により業務に支障が出ることもあります。

また、ソフトウェアロボットを量産してしまうと、コンプライアンスやセキュリティ対策のための管理コストが増えてしまいます。

今後AIと結びつきながら発展するソフトウェアロボットを管理・運用するためには、その最重要課題としてガバナンスの整備が求められます。

RPAにおけるガバナンスリスク

RPAをうまく導入・活用することができれば、ルーティンワークの業務時間削減、コスト削減等、様々な効果が得られます。

しかし、RPAの本格的な利用を行うにあたり、以下のような問題もしばしば起こります。

  • 多くの部門で次々とロボットが開発・利用されており、どの業務にRPAが適用されているのか把握できない
  • 個人情報を関係者に配信するロボットを利用しているが、セキュリティ管理が不安
  • SOX対象業務にRPAを導入したいが、会計監査人からの指摘が懸念され、導入を躊躇している
  • 思っていたよりも導入の効果が得られていない

上記のような問題が顕在化したことでRPA運用計画の見直しを行わざるを得なくなり、企画していた業務改善への取り組みがストップしてしまうというケースもあります。

RPA管理者が想定すべき5つのリスク

RPAのリスク一覧

RPAの導入による自動化に際して管理者が想定しなくてはいけないリスクは大きく分けて5つあります。

①連携する既存システムとの不整合

RPAを既存の業務を代替するために導入する場合、企業の基幹システムやWebアプリケーション等に連携させることとなります。

したがって、連携先の既存システムに何かしらの変更が生じた際にすぐにRPAのシナリオを書き換えないと、処理が滞ったり誤作動を引き起こしたりといったトラブルを引き起こす原因となります。

②誤処理の見過ごし

基本的に、RPAは定型業務を担い、例外的な処理が生じた場合には人手によって補完しなくてはなりません。

RPAの設計段階で想定されうるイレギュラーパターンを組み込みますが、漏れが生じる場合も多々あります。

この際に担当者が気づかず、RPAが誤った処理を続けてしまう可能性があります。

担当者がRPAの誤処理にすぐに気づくこと、そして適切な処理をやり直すことが必要です。

③不具合時の業務停止

RPAは、自然災害やシステムのダウンなどにより動作を停止してしまうというリスクがあります。

ある業務を全面的にRPAに置き換える際は、RPAが停止した場合のバックアップ体制を整備しておく必要があります

④不正使用による情報漏洩

機密情報や個人情報を扱う業務をRPAで自動化する際は、RPAに対する不正なアクセスに対して特に注意しなくてはなりません。

もし不正アクセスが行われると情報漏洩や恣意的な誤作動を招くことにつながります。

⑤管理者交代による「ブラックボックス化」

人手による業務をRPAで自動化したりそのロボットを管理したりしていた担当者が入院したり退職したりといった理由で業務を行えなくなることがあります。

この際に後任の担当者が業務フローを理解できず、前任の担当者の仕事を引き継げない「ブラックボックス化」が起こることがあります。

これにより、業務の停滞や、将来的な業務プロセスの改善が困難になるといった問題につながります。

そして、このような事態を避けるために必要な仕組みがRPAガバナンスなのです。

詳しくはこちらの記事もご覧ください。

RPAガバナンス構築に向けた運用ルールアプローチ

ここまで、RPAガバナンスの必要性について見てきました。

ここからは、RPAガバナンスの整備にあたってのアプローチや考慮するべき点について紹介します。

現行のガバナンス-内部統制

現行のガバナンス・内部統制は、次の4つの要素から構成されています。

①全社レベルの内部統制

一つ目は、会社全体でのガバナンス・統制です。

これは、管理者の責任や権限の管理、ヒューマンリソースの管理、関係部署や外部監査人等との連携、ビジネス部門とシステム部門の連携等を指します。

②ITの内部統制

二つ目は、会社レベルのシステム全体に関わるガバナンス・統制です。

これは、アプリケーションやインフラの開発保守管理、システム維持のための変更管理等を指します。

③業務処理内部統制

三つ目は、個別の業務プロセスに対し、その担当者やシステムが協同して行うガバナンス・統制です。

④IT業務処理内部統制

四つ目は、業務プロセスをサポートする個別システムに関わるガバナンス・統制です。

RPAガバナンス構築のポイント

RPAガバナンスのアプローチ方法
RPAガバナンスのアプローチ全体図

RPAガバナンス構築のためには、既存のガバナンス・統制への影響を考慮して運用ルールなどを整備しなくてはなりません。

RPAの内部統制への影響は、導入対象となる業務や導入の規模に左右される導入内容と、内部統制の内容によって変わります。

ここでは上記の内部統制の内容で区分してRPAの内部統制への影響を考察します。

全社レベルの内部統制

RPAの機能とそのリスクや統制を正しく理解するために経営者やRPAロボットの管理者を教育することが必要となるので社員の教育態勢の構築が必要になります。

また、人間の関わり方が変わるので、業務活動の報告や指示などのコミュニケ―ションが変化します。

さらに、RPA導入によりロボットに任せる業務も出てくるので、業務活動に関するノウハウの維持などにも影響が及びます。

その他にも、ロボットに代替される現行人材の有効活用対策や、自動化に伴う業務プロセスのノウハウの共有も必要です。

また、RPAのシステムダウンやコンティンジェンシー対応策の1つとして、障害時に人手に切り替えることが可能な体制を構築することも重要といえます。

このように、RPAの導入によって、単なる人間からロボットへの仕事の置き換えではなく、業務設計そのものが変化するのです。

長期的に見れば、従業員のスキルや経験の構成にも変化が及ぶことでしょう。

また、RPA導入によって、人間が行う業務は判断が必要であったり、複雑かつ難易度の高い領域へとシフトします。

そのため、RPAを導入する企業において、RPAの導入される業務に直接関係する部門の統制だけでなく、全社的な統制が重要となります。

また、組織設計や規程作りなどのハードコントロールだけでなく、組織風土や従業員の心理・意識・行動原理などの内部統制であるソフトコントロールの見直しも重要になります。

プロセスレベルの内部統制

業務プロセスの統制は、人手で行う業務に伴うリスクやそれに対する統制が中心でした。

RPA導入により、このようなリスクは逓減するものの、RPAによる自動化に伴うリスクとそれに対する統制が必要になります。

この統制は、例えばRPAが処理した業務を検証する手段の確保などがあります。

RPAの業務がブラックボックス化することを避けるために、RPAの処理を検証できるログを保存する仕組みとルールが統制として必要になります。

このようなログの確保は各種監査の際に前提となるものなので、仕組みづくりには監査部門との十分な連携の必要があります。

IT全般の内部統制

RPAは現行の業務を代替するツールであり、現場主導で導入されることが多いです。

そのため、EUC(エンドユーザー・コンピューティング・システム)との類似性がしばしば指摘されます。

かつて、EUCやスプレッドシートが各部門に散在することで、会社全体の情報システムの統制を一律で管理する際に苦労するという問題がありました。

同じ事を繰り返さないために、将来を見据えたRPAガバナンス構築は重要な課題です。

この際の論点は、RPAの開発・保守や変更管理などへのルール整備、セキュリティ保持、既存のITシステムとの連携を整備する等が挙げられます。

特にセキュリティについては、RPAと既存のITシステムへのアクセスコントロールや、ユーザーIDの管理が課題になります。

IT業務処理の内部統制

既存のシステムとRPAの連携業務では、まずRPA導入による既存システムへの影響を評価することが重要です。

また、既存のシステムの運用との関係、RPAでの大量処理に伴うシステムへの負荷による影響も分析しておく必要があります。

リスクに備える管理体制

上記のようなガバナンス体制の構築だけでなく、RPAを導入する際には、リスクに備えた体制を構築する必要があります。

ここでは「導入部門とシステム部門の連携」と、「業務プロセスのマニュアル整備」がカギとなります。

現場とシステム部門の連携

入先の部門と情報システム部門が密に連携を取ることで、不正アクセスへの対策を強固にすることができます。

また、RPAの連携先に関する情報を常時更新することで、システム変更に伴う誤作動のリスクも排除することができます。

業務プロセスのマニュアル整備

業務プロセスはRPAの導入段階で対象業務を切り出す際に、細かく切り分けてフロー化し、文書化されます。

しかし、普段何気なく行っている業務も、実は複雑な例外処理を伴っていることが多々あります。

業務のプロセスを常に把握し、細部までマニュアル化することは、誤処理の修正等の際に迅速な対応を行う上で、きわめて重要です。

管理体制のアップデート

このような管理体制の構築は、RPAの導入の際に合わせて実施されることが多いです。

しかしRPAは、現場の人が業務の変化に合わせてすぐにアップデートできるというカスタマイズ性を持っています。

導入後の細かな修正や周辺業務への適用範囲拡大を行うことで、導入の効果をより高めることができます。

そうしたRPAの細かな変化にすぐに対応するために、管理体制を常にアップデートしていく必要があります。

また、導入後も、各所で修正を重ねているロボットが整合性を保っていることも確認しなくてはなりません。

全社的に業務を最適化するための統合調整も常に行っていくことが重要です。

RPAの内部統制への影響

最後に、RPAと内部統制の関係について考察していきます。

内部統制への影響を検討する前に、RPAを導入してデジタルレイバーに作業させることで得られる内部統制に対する効果を整理していきます。

RPA導入の内部統制への効果

RPA導入により、想定されるリスクが変化します。

人間の作業では、入力ミスや転記ミス、不正などのリスクを想定します。

しかし、RPAロボットによる作業においてこのような誤謬リスクを想定する必要がありません

また、RPAは恣意的な判断をしないので、不正のリスクも低下します。

RPA導入に伴う内部統制での課題

RPA導入により、人間による業務を想定した場合とは違い、リスクの大きさの変化や新しいリスクの発生に対する注意が必要になります。

ここからは、RPA導入による内部統制の課題を考察します。

例えば、納品システムが変わったにもかかわらず、RPAにその変更が反映されていなければ、誤作動や処理停止などのトラブルが発生してしまいます。

人間が作業している場合に他の部門の担当者に情報を共有するのと同じように、RPAにおいてもシステムの変更を共有する仕組みの整備が必要です。

また、RPA担当の部門で影響の分析や対応をもれなく行える仕組みの整備も重要な課題です。

また、RPAは上記以外にも、人間が業務を行う場合と違ったリスクがあります。

まず、情報セキュリティの観点から、不正アクセスによる情報漏洩や設定の変更がなされてしまうリスクがあります。

また、事業継続の観点からは、災害やシステムダウンに伴う業務停止のリスクがあります。

他にも、業務とRPAの設計について理解している社員が病気や辞職で業務を離れた際に、業務を代行できる人がいなくなるブラックボックス化のリスクもあります。

さらに、導入段階でイレギュラーパターンを十分に考察できていないことで、誤った処理を検知できないというリスクもあります。

このように、RPA導入の際には、人間が業務を行っていた際には想定してこなかったリスクが出てきます。

RPAを導入する際には、これらのリスクの見直し、その内部統制の再整備が課題となります。

RPAガバナンスは必須

この記事では、RPAの本格導入に伴うガバナンス整備の必要性とアプロ―チ・考慮点について解説しました。

RPAは、業務改善を行う上で非常に有用なツールですが、適切なガバナンス整備を行わなければ重大な問題につながる可能性もあります。

この記事が適切なRPAガバナンス整備の助けとなれば幸いです。

RPAのガバナンス問題
最新情報をチェックしよう!
>「RPATIMES」へのお問い合わせ

「RPATIMES」へのお問い合わせ

タイアップ記事を投稿してほしい。 インタビューを受けたい。 プレスリリースを送付したい。などのご意見・ご要望がありましたら、こちらまでお問い合わせください。

CTR IMG