安易なRPA導入は業務のブラックボックス化を招く
業務生産性の向上や働き方改革を加速させるソリューションとして「RPA(Robotic Process Automation)」への期待が高まっている。PCやシステム上で人が行う定型作業を自動化するソフトウエアロボットであるRPAは、パターン化された作業を自動化することで、人材不足の解消や人件費の削減が期待できる。ロボットが業務を代替するため、ミスや漏れもなくなる。
ただし、その効果を高めるには考えなければならない課題もある。それが「内部統制対応」だ。この影響を強く受けるのが上場企業である。日本版SOX法(J-SOX)に基づくシステム変更や業務プロセス変更の報告義務があるからだ。「どの業務にRPAを適用したか」「既存のシステムや業務プロセスがどう変わったか」「変更による効果とリスクはどうなるか」。きちんとした内部統制のもとでRPAを導入・運用していなければ、その説明責任は果たせないだろう。
未上場の企業も内部統制に無縁ではいられない。これを疎かにすると、思わぬ“しっぺ返し”を食うことになる。現場で放置された“野良ロボット”の増殖はその最たるものだ。ロボットの作成を現場任せにすると、属人化されたロボットが大量に生産され、作成した担当者が異動・退職すると、誰からも管理されることなく、自動化された業務がブラックボックス化してしまう。
こうなると様々なリスクを抱え込むことになる。適正に管理できていないので、システムの変更を反映できずに使用不可や誤作動が発生するリスクが高まる。いつ、誰が、どのような修正を加えたかわからないため、不正使用のリスクも懸念される。機密情報の漏えいや不正送金が発生すれば、企業は甚大なダメージを被る。
業務効率化のためのツールであるはずのRPAが業務の足を引っ張り、リスクを呼び寄せるという本末転倒な事態になりかねないのだ。RPAも基幹システムと同様の内部統制対応が必要である。では、具体的にどのような対策を講じればよいのだろうか。