内部監査の視点から、RPAの導入・管理について考える。

今回は、「内部監査」という視点から、RPAの導入・管理について考えてみたいと思います。

内部監査について調べてみるとさまざまな定義や専門的な説明が見受けられますが、概して「企業内部の監査人によって、業務が合法的・合理的に遂行されているかを検査する業務や職務」となります。

これまでは、主に会計上の誤謬(ごびゅう)や不正の発見・防止を目的とした「会計監査」という意味で用いられる場面が多かったのですが、近年は相次ぐ企業の不祥事を受け、内部統制の基本的な要素の1つとしての内部監査への注目度が高まり、その対象も拡大していると言われています。

では、RPAの導入・活用は内部監査にどのような影響をおよぼすのか。大きく2つの可能性が考えられます。

1つはRPAによって自動化された業務そのものが、監査の対象となる可能性です。

RPAを導入した部署では既存の業務を自動化しただけだと捉えているかもしれませんが、手作業で実施していた作業をそのまま自動化（シナリオ化）できなかったり、RPA導入の際に少しでも見直しを図ったりしていれば、業務プロセスが変わってしまいます。程度の差こそあれ、RPAの導入が業務部門のプロセスに与える影響は少なくありません。

そのため、自動化された業務の処理結果が同一だとしても、あるべき手順と方法で処理されているか、他の作業や業務への影響がないのかといった監査が必須となります。

もう1つの可能性は、自動化によるリスクの変化です。

これまで手作業などで行ってきた業務は、規定やマニュアルに従って作業されているかどうか監査の対象となってきましたが、RPAによってシステム化されたことで、これまでは考慮する必要のなかった処理のエラーや停止、さらには不正処理が発生するリスクなどを見極めなければなりません。

このようなリスクの変化は、いわゆる業務をシステム化する際と同様なのですが、情報システム部門など専門家でなければ設計・構築・修正ができなかった業務システムと異なり、RPAの場合は十分な検証やリスク分析がなされないままに業務部門主導で導入されてしまったり、担当者が簡単にシナリオを修正できてしまったりする場合があります。

監査という視点から捉えれば、そのような状況の変化を踏まえて、監査をしなければなりません。

一方、導入部門から見たとき、RPAの活用により業務の効率化に成功したとしても、監査により内部統制を損なうような不備を指摘され、シナリオの修正や追加を余儀なくされてしまったり、思いもよらなかったリスク対策を実施しなければならなくなったり、といった対応を求められる可能性があります。

たとえば、RPAを用いて会計システムへのデータ入力を自動化した場合、これまで実施していたチェック工程を簡略化してしまい、データ改ざんのリスクなどが指摘されたり、だれでもRPAのシナリオを変更できるようにしていたことで、不正や改ざんのリスク管理体制をあらためて構築しなければならないといった場面も想像されます。

さらに、導入部門から見れば自分たちの業務が部分最適化されれば問題はありません。しかし、RPAの導入が他の業務プロセスにも影響をおよぼすことがあった場合、監査部門としては全社的な最適化、言い換えれば経営的な視点で業務を捉えなければならず、全社的なRPAの導入・活用に対する見直しを迫られる場面も想定されます。

このような状況を踏まえ、内部監査部門ではRPA導入による個別の業務プロセスだけでなく、全社的なリスク評価や影響を考慮した上で監査計画や手続きの見直しを図る必要があるでしょう。

またRPAを利用する現場においては、業務プロセスのリスク管理を強化するため、規定やコンプライアンスを遵守したRPA運用ができる体制を構築することが求められます。

今回は内部監査とRPAの活用について考えてみました。

内部監査という視点から見ると、どうしても堅い話となってしまうので、「手軽に利用できる」「担当部署が主導で導入できる」というRPAの魅力が半減してしまうという印象を持つ方もいるかもしれません。

しかしながら、内部監査はRPAを経営的な視点から確認し、RPAの導入効果を部分最適にとどまらず、全体最適へと拡大するきっかけともなります。また、監査部門には問題点を明確にした上で、対象となる業務や部門に助言や改善の支援をするという役割や、事故や不正を未然に防ぐという役割も担っています。

利用部署だけではカバーしきれないリスク管理やガバナンス強化を図ってくためにも、監査部門とRPAを利用する部署がコミュニケーションを積極的に図り、業務の効率化・最適化という目標を共有していくことが重要なのではないでしょうか。