解説:内部統制評価において考慮すべきRPAの検討ポ

多くの企業においてRPA導入が進んでおり、企業内の色々な業務においてRPAが活用されてきています。RPAツールの取り扱いが簡単であることから、表計算ソフトやプレゼンテーションソフトと同様にオフィスツールとして自らの業務の効率化に使用するケースも出てきています。身近なツールになってきているRPAですが、内部統制の推進・評価業務においても様々な点で大きく関わってきます。今回は、今年度の内部統制評価を実施するにあたって検討しなければいけないRPAに関する3つの観点について解説します。

1.  業務プロセスに組み込まれたRPAを評価する​

業務プロセスにRPAが導入された場合、これまでの手作業で実施されていたコントロール(統制活動)を含めて自動化されている可能性が高いです。まずは、評価すべきRPAのコントロールを識別するために、業務プロセスがどのように変更されているかを確認しなければなりません。IT部門がRPA導入に携わっている場合は、どこにどのようなRPAが導入されているかを把握することは容易です。ところが、EUC(エンドユーザ・コンピューティング)としてRPAが導入されている場合は、IT部門が把握できていないケースも見られます。整備評価のウォークスルーや年初の変更確認等によって、PRAの導入有無を把握することはできます。コントロールが手作業からRPAに変わっていれば、コントロール記述等の内部統制文書の変更はもちろん、評価手続き等も変わります。

基本的にはシステムコントロールと同様の取り扱いで評価できますが、関連するIT全般統制が有効かどうかによって評価方法が変わってきますので、早めに準備に着手し、評価対象を特定することが肝要です。

2.  IT全般統制におけるRPAを評価する

前述の業務プロセスと同様にIT管理プロセスにおいても、IT全般統制のコントロールがRPAによって自動化されているようであれば、評価においても同様の対応が必要となります。ただし、開発業務や運用業務ではなく管理の効率化であるため、業務プロセスと比べるとIT管理業務でのRPAの導入は遅れているかもしれません。IT全般統制にあたるIT管理業務においても、アクセスログやバックアップのイベントログの照合作業など、RPA導入で効率化が図れるものがあります。IT部門では自部門の対応が後回しになっている場合もありますので、IT全般統制の強化の観点からも、IT部門に対してRPA導入の検討を促すことが有用です。

「RPAを維持・管理するための全般統制」を評価することも考慮しなければいけません。業務プロセスにおけるコントロールがRPAで実現されている場合、そのRPAがIT部門の整備した変更管理やアクセス管理、運用管理といったIT管理手続きに則っていれば、従来のIT全般統制に含まれるので特別な対応は必要ありません。対象となるRPAが、これらのIT管理手続きの対象案件になっていることを確認してください。RPAの導入がIT管理手続きに含まれていない場合には注意が必要です。業務部門が独自にRPAを導入している場合など、EUCとしての全般統制が必要になりますが、急いで統制を整備することは容易ではありません。RPAの全般統制についても考慮してIT全般統制の対応を検討されることをお勧めします。

3. 内部統制の評価においてRPAを活用する

内部統制の評価作業においては、同一作業の繰り返しが多く含まれています。特にマニュアルコントロールの運用評価が多い場合や、複数拠点において運用評価が実施している場合は、RPA導入の大きな効果が見込まれます。また、評価作業は毎年実施されますので、一度RPAを導入すれば翌年以降も効果が持続するという点もRPA導入が有効と考えられるポイントです。ただし、やみくもに評価のRPA化を進めても導入費用に比べて効果が得られないといった結果となることも考えられますので、適切な導入手続きを踏むことが成功の鍵となります。

弊社では、内部統制評価PRA化の効果が期待できるコントロールを評価するフレームワークを使ってRPA化の対象を識別します。このフレームワークでは、「評価作業の容易性・客観性・作業量」といった評価作業の観点だけでなく、証跡の一貫性や証跡の入手のしやすさといった業務部門・IT部門側の作業にも目を向けており、評価に関する一連の手続きでRPA化対象を識別していくことで、効果の最大化を図っています。業務部門・IT部門の作業のRPA化にあたっては、内部統制そのものの見直しも含まれることから、内部統制強化につながるという副次的な効果も見られます。

さらに、内部統制の管理ツールを導入されている場合は、管理ツールとの連携まで含めてRPA化することで、管理ツールのメリットを最大限に活用することが期待できます。管理ツールへの入力作業の負担から管理ツールを十分に活用できていないケースもあるようですが、RPAの導入によって解決しますので、内部統制管理の一元化・高度化も実現できます。今後、AIの成長によって評価自体もRPA化できれば、証跡依頼から収集、評価、調書作成、証跡の管理、評価実施状況のモニタリング、報告まで、管理ツールの機能を活かして一気通貫で実施することも、遠い未来の話ではないかもしれません。内部統制評価開始当初の失敗経験から管理ツールを敬遠されているようであれば、RPAという武器を携えて、再挑戦してみてはいかがですか。

(特集記事:メールマガジン2019年4月号)

Loading...