部⾨の壁を越えて RPA を拡張する際に
留意すべき点、内部統制
RPA に関する内部統制の現状
RPA による⾃動化対象のプロセスを、基幹業務やミッションクリティカルな業務領域まで拡張した後に、内部監 査室および会計監査⼈から内部統制上の改善指摘を受ける企業が⽬⽴ってきました。しかしながら、内部統制の定 義は広く、RPA にどのように影響するのか、具体的に何に留意すべきかなど、個々の解釈にバラツキがあります。 コンプライアンス(法令順守)と⼀⼝にいっても、⾦融業界や医療業界など業界特有のものや、J-SOX(内部統 制報告制度)、個⼈情報保護法といった全業界共通のものなど、対象はさまざまです。例えば、⽇本の上場企業は 例外なく J-SOX への対応が必要で、財務業務における内部統制の評価結果を毎年報告する義務があります。 その反⾯、EUC 的に⼿軽に RPA を利⽤する場合、多くのユーザーが内部統制の必要性を感じていないのではな いでしょうか。 内部統制の必要性を感じていたとしても、RPA は⽐較的新しい技術であるため、内部統制の影響を分かり易く解 説したものが少ないのが現状です。また、逆に野良ロボットの問題が懸念される中、「RPA は内部統制のリスクを ⾼める」と誤解され、やみくもに RPA を導⼊を否定する声も聞こえます。 そのような中、様々な RPA ベンダーがセキュリティや監査対応の強みを主張しており、違いが判りづらく、内 部統制の専⾨家としても適切な指⽰やアドバイスを⾏いづらくなっています。ホワイトペーパーのテーマ
本ホワイトペーパーでは、全社的な業務⾃動化、⾼い⽣産性と ROI を⽬指し、部⾨の壁を越えて RPA を拡張す る際に、避けては通れないハードルの 1 つとなりうる内部統制に⽬を向け、留意すべき点をまとめました。 内部統制の専⾨家ではない、RPA 導⼊推進者に対しては最低限抑えるべきポイントの提供。そして内部統制にか かわる担当者にとっては、RPA、特にデスクトップ型とサーバー型の違いが内部統制に与える影響、そしてそのコ ストインパクトについてのご理解を⼿助けすることを⽬的としています。 Blue Prism 株式会社 ウェブページ: www.blueprism.com/japan お問合せ先: [email protected] 注:当ホワイトペーパーは Blue Prism 独⾃の⾒解です
内部統制を強化した RPA 導⼊を成功させるポイント
本来 RPA は、的確な理解のもとに適切に利⽤すれば、内部統制をより強化しながら⾃動化を拡張できます。特 に RPA をデスクトップユーザーから開発、運⽤、操作権限を切り離し、セキュアなサーバー環境(もしくはクラ ウド環境)で⼀元管理すれば、⼈間のように職務分掌の制約を受ける必要もなく、安⼼して部⾨横断的なプロセス の⾃動化が実現可能となります。 内部統制上、RPA を安⼼して拡張させるための提⾔ l 基幹業務、ミッションクリティカルな業務を⾃動化する場合、内部統制への影響検討が必要。そのためには内 部監査部⾨、会計監査⼈を巻き込み、内部統制の影響も考慮した開発・変更管理、運⽤管理、アクセス管理等 を定義する。 l RPA の開発・維持コストを抑えながら内部統制上も安⼼して拡張するには、信頼できるシステムとして扱える ことを⽬指すべき。そのためには IT 統制に耐えうる機能を持つ製品を選び、且つ、セキュアなサーバー環境、 もしくはセキュアなクラウド環境で RPA を設置し管理する。 l 特に、複数の担当者をまたぐ業務、部⾨横断、全社領域にわたる業務を⾃動化する場合、すなわち職務分掌の 壁をまたいで⾃動化を図る場合には、IT 統制に耐えうる機能の実装を⽬指し、統制が取りにくいデスクトップ に RPA を設置するのではなく、セキュアなサーバー環境、もしくはセキュアなクラウド環境に設置する。 l RPA をデスクトップに設置する場合、⾃動化の範囲はそのデスクトップユーザーのアクセス権限を越えても 良いか、内部監査の観点から⼗分に検討する必要がある。 l RPA ツールの標準機能で IT 統制要件を満たすことができない場合、追加の開発、追加の作業はなどはすべて コストとして換算し、ツール選定を実施すべきである。Ⅰ 内部統制を留意すべき⾃動化領域
プロセス⾃動化のための統制要件
どの領域を⾃動化した場合に内部統制を留意すべきかは、各企業、業界の規制により異なります。内部統制の⽬ 的(業務の有効性及び効率性、財務報告の信頼性、法令等の遵守、資産の保全)※1に照らし合わせ、企業が重要と 判断される業務に対しては、厳しい内部統制が求められます。 例えば、財務報告を⽬的とした内部統制においては、財務報告書の作成業務だけではなく販売サイクル、購買サ イクル、製造・原価計算・在庫管理といった上流プロセスも含む幅広い領域が、内部統制上の重要業務となる可能 性があります。 こうした例からも、⾃動化を拡張する上で内部統制は避けては通れないテーマであることがわかります。⾃動化 プロセス後に⾒直しを迫られるリスクを排除するためにも、⾃動化プロジェクトの計画段階から内部監査室、およ び会計監査⼈を巻き込むことが重要です。企業内の内部監査部⾨等に確認することにより、具体的にどのプロセス を⾃動化する場合にどのような統制要件が必要となるかが把握でき、それに伴い、内部統制上、必要な開発・変更 管理、運⽤管理、アクセス管理等を RPA 導⼊後の新業務に組み込めます。 なお、本ホワイトペーパーにおいては、内部統制上、重要と判断された業務を「重要業務」と記載します。 内部監査部⾨への確認事項(例) l ⾃動化を検討している対象業務は内部統制上、重要業務なのか? l RPA を導⼊する領域において IT 統制を満たすための条件とは何か? l ⾃動化プロセスの RPA 開発・導⼊前後における、内部統制上の承認⼿続きは? l 内部統制上、どのようなモニタリングが必要となるのか? など内部統制の領域と RPA の関連性
内部統制の領域を⼤まかに分けると、企業全体をカバーする「全社的統制」の中に、さらに重要業務に対して掘 り下げた統制が求められる「業務処理統制」、それらを⽀援する「IT 統制」(含む IT 全般統制および IT 業務処理統 制)が含まれます。それぞれの領域で内部統制の要件や活動は異なりますが、重要業務の対象となる業務処理統制 には、より厳格な内部統制が求められます。 また、IT 統制にはシステムとして信頼できるだけの統制要件が必要となり、特に基幹システムや財務システムに おいては、この統制要件が最も重要となります。有効な IT 統制と評価される、すなわち内部統制上、信頼できる システムと位置付けられれば、そのシステムが意図的または誤りによって変更を加えられない限り継続的に機能す ることが想定でき、統制活動の効率化が図れます。 導⼊する RPA においても、⾃動化を検討するプロセスがどの内部統制領域に属するのか、そして⾃動化後どの 内部統制への影響・対応が必要となるかは、内部統制上、重要な意味を持ちます。この中で RPA が⾃動化する領 域は、⼀般的に、内部統制上今まで業務処理統制とされている領域が主となります。従来、⼈間が⼿作業で⾏って いた業務の⾃動化を実現する RPA の特性から⾒ても、これは理解しやすい点であると思われます(図 1)。Ⅰ 内部統制を留意すべき⾃動化領域 図 1 RPA 導⼊前の内部統制領域(観念図) ⾃動化されたプロセスは、有効な IT 統制と評価される、すなわち内部統制上信頼できるシステムと位置付けら れた場合は、IT 統制の領域に新たに追加されます。 図 2 IT 統制として扱う場合における内部統制領域と RPA の関係 内部統制上信頼できるシステムと位置付けられなかった場合は、⾃動化前に近い業務処理統制の位置づけで考え る必要があります。⾔い換えれば、RPA に IT 統制上、システムとして信頼できるレベルを求めるのか、今まで通 り⼈間同様に扱うのかです。⼀般的に IT 統制の領域は業務処理統制と⽐較して負荷が低いため、この点は RPA プ ロジェクトの推進、製品選定をする上で⼤変重要なポイントとなります。重要業務にも⾃動化を拡張するには、IT 統制上、RPA を信頼できるシステムと位置付けられるかを正しく判断し、内部統制の対応を検討する必要があり ます。 以下では、この 2 つのパターンにおける留意事項、メリット、制約について解説します。
Ⅱ RPA に有効な IT 統制と評価されるには 導⼊する RPA が有効な IT 統制と評価されるには、その RPA の継続的な機能が担保できること、そして意図的 または誤りによって変更を加えられないように的確な統制が求められます。 具体的には下記のような管理が必要となり、これらを満たすことによって、今まで業務処理統制で求められてい た統制負荷の軽減が⾒込めます。 IT統制に有効な RPA の管理項⽬(例) l <セキュリティ管理> l 内外からの⾃動化プロセスとデータへのアクセス管理 l 担当部⾨・役割別の詳細なアクセス権限設定 l <ログ管理> l ⾃動化プロセスの開発、変更、保守履歴、RPA 環境へのアクセス権限設定・変更履歴、RPA による⾃動化処 理履歴とその詳細 l <監査対応> l ログの改ざん防⽌、監査証跡としてのレポート出⼒ ⼊⾦消込プロセスを例に考えて⾒ましょう。銀⾏から取得する⼊⾦データを顧客マスター、請求データと照らし 合わせ、正しい請求先からの⼊⾦を確認してから消し込むことが重要な⼿続きとなります。 ⼈間が⼊⾦消込を担当する場合は突合を間違えたり、⼊⾦着服を隠すために他社からの⼊⾦で消し込み、発覚を 遅らせる、「ラッピング」といったリスクが伴います。そういったリスクを防ぐには、売掛⾦エイジングの管理や 上⻑のダブルチェックなどによる統制が必要になります。 これに対して RPA が⼊⾦消込を処理する場合は、⼀旦正しい設定を⾏えば、⼤量な⼊⾦データであってもエラ ーもなく、ルールに基づき忠実に消込処理を⾏えます。ただし、その RPA が正しい処理を継続することを想定す るには、IT 統制上、信頼できるシステムでなければなりません。 例えば、サーバーで⼀元管理し、いつ、誰が、どのオブジェクト・プロセスを開発・改修したかを可視化し、コ ントロールすることで、内部統制の制約を満たしながら、ユーザーをより内部統制業務から解放でき、システムの 改修やメンテナンスも⾶躍的に楽になります。 RPA 製品にこれらの IT 統制機能が備わっていない場合には、外付け機能を追加するか、運⽤での対応を迫られ ることになるため、追加コストが発⽣します。市場にはセキュリティおよび内部統制への強みを主張している RPA 製品が多くありますが、内容を精査すると IT 統制に耐えうるには標準機能では⾜りずに追加開発を迫られるケー スが少なくありません。開発・維持コストを抑えながら内部統制上も安⼼できることが、⾼い投資対応効果を出す エンタープライズ向け RPA としての必須条件と考えるべきです。
Ⅱ RPA に有効な IT 統制と評価されるには
RPA をサーバーに設置するメリットとデスクトップに設置するリスク
有効な IT 統制として評価されるためには、RPA 製品をどこに設置し、誰が管理するかも⼤変重要です。特に、 ⾃動化の範囲が拡張する場合を考えて⾒てください。前述の「IT 統制に有効な RPA の管理項⽬例」にある「セキ ュリティ管理」「ログ管理」「監査対応」などは、セキュアなサーバー環境で複数の⾃動化プロセスを⼀元管理でき る、いわゆるサーバー型 RPA であれば「1 つのシステム」としてシステム監査にも耐えうる IT 統制を実現できる 可能性が⾼いです(図 3)。 サーバーに設置する RPA の IT 統制上のメリット(例) l 集中管理 l 可視化 l アクセス管理 l ⾃動化プロセスの変更・改修管理 l ログの⾃動⽣成、管理 l RPA および⾃動化プロセスのバックアップ、DRP 対応 図 3 サーバーに設置し集中管理された RPA(例)Ⅱ RPA に有効な IT 統制と評価されるには 再度、⼊⾦消込の例で考えてみましょう。適切な⼊⾦消込ルール(⼊⾦データを顧客マスター、請求データと照 合し、突合できた⼊⾦を消し込む)に基づいて設計された⾃動化プロセスは、強固なセキュリティに守られたサー バーに設置されれば、アクセス管理、変更管理、ログ管理等々が容易に⾏えます。 ⼀⽅、⾃動化プロセスを⼊⾦消込担当者のデスクトップに設置し、開発・改変、運⽤、操作権限を与えられた、 いわゆる「デスクトップ型」RPA の場合はどうなるでしょうか。RPA そのものに統制機能が備わっていたとして も、そのデスクトップユーザーが⾃動化プロセスを不正に変更したり、ルールに反した⼊⾦消込処理、ラッピング のリスクを追加の開発・運⽤コストの負担なく実現するには⼤きな⼯夫が必要となります。 個々のデスクトップに設置する RPA はデスクトップユーザーが統制に反し、恣意的および間違えて変更を加え られるリスクを完全に払しょくすることが難しいです。さらにはデスクトップに設置した RPA に統制を組み込む 場合は、各々があたかも独⽴したシステムとして IT 統制の評価を⾏うこととなり、RPA を拡張した場合に IT 統制 が現実的に困難になります(図 4)。 図 4 デスクトップに設置された RPA(例) ⽇本公認会計⼠協会は RPA の活⽤において、従来のシステム開発・変更に⽐べて、システム部⾨ではなく「現 業部⾨での開発」が⾏われた場合、従来のシステム開発・変更では機能していた全般統制が機能せず、「不適切な RPA が業務で利⽤されるリスク」を指摘しています。※2 これは、まさに RPA をデスクトップに設置し、デスク トップユーザーが⾃動化プロセスを変更できる場合に起きうるリスクです(図 4)
Ⅱ RPA に有効な IT 統制と評価されるには デスクトップに設置する RPA の IT 統制上のリスク(例) l ⾃動化プロセスの適切な管理はデスクトップユーザー次第 l ブラックボックス化 l ユーザー⾃⾝で⾃動化プロセスの変更・改修が可能 l デスクトップで作成および格納されるログの紛失、改ざんリスク このように、各デスクトップユーザーにロボットの作成や変更、実⾏、管理を委ねることは IT 統制上の⼤きな リスクになります。⾃動化プロセスの開発、変更、保守履歴をとってみても、デスクトップユーザーが好き勝⼿に 変更を加えたとしても可視化されず、保守履歴を改ざんされるリスクも考慮に⼊れる必要があります。また、RPA をデスクトップに設置するため、処理者の ID を⾒るだけではユーザー個⼈が処理を⾏ったのか RPA が処理を⾏っ たのかを⾒極めるのが困難です。 各デスクトップユーザーがそれぞれシステム管理者の役割を担うことになり、少数規模で⽬の⾏き届く範囲での ⾃動化であればまだしも、⾃動化範囲が拡張し⾃動化業務の数が増えれば、それだけシステム管理者も増えること となります。数⼗台、数百台規模で RPA を導⼊した場合、IT 統制の難易度が⾼くなります。ERP といった基幹シ ステムの IT 統制をデスクトップユーザーに委ねられないのと同様、重要業務を⾃動化する場合、安全なサーバー 内の環境(もしくはクラウド環境)に設置することは、前述のとおり⼤きなメリットがあります。
RPA とモニタリングロボットを組み合わせた「ハイブリッド型」のリスク
デスクトップ型の RPA と、それらを管理するモニタリングロボットを組み合わせた「ハイブリッド」的なソリ ューションはどうでしょうか。まず注意すべきは、モニタリングといってもどのくらい可視化できるのかを⾒極め るべきです。単にロボットが稼働しているかどうかの可視化なのか、個々のロボットの処理記録、⾃動化プロセス の改修ログが常に把握できるのかなどです。 ロボットの処理記録や⾃動化プロセスのログがモニタリングできたとしても、IT 統制としては⼗分とはいえな い場合はあります。なぜならば、内部統制上、システムに期待される重要なコントロールは不正なアクセス、ログ の改ざん、データの紛失等を未然に防ぐこと(Prevent Control)にあります。モニタリングロボットは、ある程度 異常を発⾒すること(Detect Control)は可能であったとしても、RPA がデスクトップに設置され、デスクトップ ユーザーが⾃由に改修できる限り、データの紛失等を未然に防ぐことは困難となります。Ⅲ 有効な IT 統制と評価されない場合 RPA が有効な IT 統制と評価されなければ、⼈間が⼿作業で⾏う場合と同等の統制のもとに RPA を扱わなけれ ばなりません(図 5)。 デスクトップに設置し、デスクトップユーザーに RPA の管理を委ねる場合、意図的または誤りによって RPA に 変更を加えられないことが担保できないと、システムとしてではなく、個々のデスクトップユーザーの責任の下、 RPA の開発・変更管理、運⽤管理を⾏うことが求められます。 図 5 業務処理統制として扱う場合の内部統制領域と RPA の関係 同じデスクトップをユーザーと RPA が共有するため、そのユーザーに与えてはいけない権限をデスクトップ RPA に提供しては、ユーザーのアクセス権限も不必要に拡⼤してしまいます。このように、デスクトップユーザー が RPA を管理する場合、⾃動化の範囲をそのデスクトップユーザーの権限を越えて⾏うことは内部統制上難しく なります。すなわち、部⾨を超えた業務をデスクトップ RPA が⾏うことは許されません。 このようにデスクトップ型の RPA スキームで重要業務を⾃動化する場合、個々のデスクトップユーザーに許さ れる範囲内で⾃動化を探ることとなり、極めて拡張しにくいスキームとなりがちです。現状の⽇本市場における RPA の活⽤領域の多くは、残念ながらこの例が⼤半のように⾒受けられます。
職務分掌(職務分離)における RPA 設置
以下では、RPA の設置場所によって発⽣する内部統制の影響の違いを、重要なキーコントロールとなる職務分掌(職 務分離)の観点から、具体例を交えて解説します。職務分掌とは、職務を複数の者の間で適切に分担または分離を図る ことで、取引の承認、取引の記録、資産の管理に関する職責をそれぞれ別の者に担当させることにより、それぞれの担 当者間で適切に相互牽制を働かせます。業務処理統制上は⽋かせない重要なキーコントロールです。※3 ⼊⾦消込プロセスを例にすると、銀⾏システムを扱う担当者(資産の管理者)、⼊⾦消込処理担当者(取引の記 録担当者)、仕訳登録承認者、仕訳登録者がそれぞれ職責を分担することで、相互牽制を利かせられます。そのた めには、⼊⾦消込プロセスに関連するシステムへのアクセス権限も、担当者別に分離する必要があります(図 6)。Ⅲ 有効な IT 統制と評価されない場合 図 6 ⼊⾦消込例に⾒る職務分離の壁(例) 職務分掌は、内部統制上⽋かせないキーコントロールではありますが、その反⾯、職務の枠を超えた応援の妨げ となり、サイロ化になりがちです。また、担当者間での情報の受け渡しの都度、プロセスが⽌まりがちとなり、業 務迅速化の阻害要因にもなりえます。 これらの問題を解決できる選択肢が、サーバーに設置し⼀元管理する RPA です。デスクトップユーザーの権限に縛られ ず、RPA 独⾃のID を設定してユーザーのデスクトップから切り離せます。IT 統制と評価される信頼できるシステムである ば、⼈間のように職務分掌の制約を受ける必要がなく、複数のユーザーをまたぐプロセスが処理できます(図7)。 また、同じ RPA が複数担当者の業務を⼀括で処理することにより、RPA のライセンス数を最⼩限に抑えられ、 ⾼い⽣産性を実現できるだけではなく、プロセスを通し、より広い⾃動化、業務迅速化が図れるようになります。 なにより、情報の受け渡しタスクを、担当者を介さずとも⾃動化できることになり、このような職務分掌のために 発⽣していたタスクから担当者を解放することができます。 図 7 職務分離の壁を越えた⾃動化を実現するサーバーで管理する RPA(例)
Ⅲ 有効な IT 統制と評価されない場合
中堅・中⼩規模企業における RPA 設置
⼊⾦消込の例に上げられたような職務分掌の壁は、企業全体にわたる財務プロセスの中には数多く存在します。 その1つ1つの壁が企業のデジタル変⾰の推進を阻害する要因になる可能性があります(図 8)。 図8 財務報告プロセスにおける様々な職務分離の壁(観念図) これらの職務分掌の制約に縛られず、部⾨の壁を越えて⾃動化プロセスを処理するには、⾃動化対象のプロセス をデスクトップユーザーから切り離し、安全なサーバー環境に設置された IT 統制と評価されるシステムを導⼊す る必要があります。 この職務分掌のテーマは、⼤企業だけではなく、中堅、中⼩企業にとっても重要です。中堅、中⼩企業は⼤企業 に⽐べ規模が⼩さいことから、必ずしも潤沢に従業員が存在せず、職務分掌のために適切な⼈数を配置できないケ ースは多々あると思います。そのような場合、職務分離を図れないプロセスに対し、上⻑が⼆重チェックを⾏うな ど、何らかの運⽤でリスクをカバーすることとなります。 このような場合も、前述のように、IT 統制と評価されるサーバーで⼀元管理できる RPA を活⽤すると、職務分 離の原則を守りながら、複数担当者、部⾨横断的なプロセスを処理でき、実務者の負荷を削減できます。 さらに、管理者の統制管理の負荷削減についても着⽬すべきです。従業員よりはるかに安い単価で実現できた場 合のメリットは中堅・中⼩企業でも⼤いに検討に値するでしょう。Ⅲ 有効な IT 統制と評価されない場合 図 9 全社的に職務分離の壁を越えて⾃動化を可能にするサーバーに設置した RPA(例) 本ホワイトペーパーで紹介したように、IT 統制と評価される機能を持った RPA ツールを導⼊する場合のメリッ トは計り知れません。ロボットの⾼い⽣産性を実現するだけではなく、職務分離によって強いられていたタスク、 制限されていた壁からユーザーを解き放ち、本来、⼒を⼊れたい付加価値の⾼い業務に、より⽬を向けることが可 能となります。ここが、RPA を全社展開し、⼤きな成果をあげることができるか、⼤きな分岐点になります。
Blue Prism が提供する「connected-RPA」は、内部統制の観点を考慮に⼊れて開発されています。会社全体の ⽣産性向上、改⾰的な⾃動化を実現するツールとして、⾃社の内部監査の基準を満たすことができるか、内部監査 の専⾨家と⼀緒に是⾮評価いただきたいと思います。 ※1 ⾦融庁 企業会計審議会 第 15 回内部統制部会 資料 1-1、「内部統制の定義」 ※2 ⽇本公認会計⼠協会、IT 委員会研究報告第 52 号、「次世代の監査への展望と課題」 ※3 ⾦融庁「 財務報告に係る内部統制の評価及び監査の基準(案)」、2.内部統制の基本的要素(3)統制活動
