RPAが導入された業務プロセスに対する内部監査

内部監査は、RPA導入に伴う業務プロセスのリスク変化を監査する必要があります

人員不足やコスト削減要請、あるいはテクノロジーの発展により、多くの企業で業務効率化が図られています。単なるシステム化ではなく自動化という概念も加わってRPA*（ロボティック・プロセス・オートメーション）の導入が進められています。

当初は特殊かつ高価で大掛かりなテクノロジーの導入でしたが、今では各業務現場で安価で簡易にRPAが導入されるケースも増えてきました。

RPA導入に対するハードルが下がることは企業にとって大きなメリットがあります。反面、関係部門を巻き込んだ十分な検討がないままに導入されたり、各所で部分最適が優先された結果、全社的な最適が犠牲にされることも考えられます。

内部監査においては、RPA導入に伴って監査対象プロセスとリスクがどのように変わったのかを速やかに評価する必要があります。加えて、全社的な最適が犠牲にされていないかという観点での監査をすることで企業経営に資する監査を実現することが可能となります。

*RPA（Robotic Process Automation）
これまで人間のみが対応可能とされてきた作業を人間に代わって実施するテクノロジーで、ルールエンジンや人工知能（AI）、機械学習（Machine Learning）等を含む認知技術（Cognitive Technology）を活用するもの。

RPA導入は自動化・効率化による恩恵をもたらす一方で、新たなリスクも発生します

RPAは業務の自動化・効率化により多くの恩恵をもたらしますが、一方で新たなリスクも発生します。RPA導入に伴って発生することが想定されるリスクは以下のように分類することができます。

RPA導入に伴うリスク

RPA導入による業務プロセスのリスク変化に対応した監査手続を実施する必要があります

業務プロセスにRPAが導入されることで生じる当該業務プロセスにおけるリスク評価が必要です。システム化を通じた統制水準の高まりによりリスクが低減した業務については、サンプルを縮小したり監査手続きを簡略化したりすべきものがないか検討する必要があります。

一方で、RPA導入によって新しく発生するリスクには注意が必要です。特に導入当初は設計時の業務要件や例外対応の考慮が不足し、人間の作業では想定できない深刻なエラーが生じることもあります。

新しく発生するリスクを考慮した監査手続きの見直しに加え、関係部門による十分な検証・受入テスト（UAT）が実施されているか、万一の場合の対処計画（コンティンジェンシープラン）が適切に策定されているかなどの手続きを追加する必要があります。

RPA導入が部分最適になっていないかという観点で監査を実施し、企業経営に資する監査を実現します

多くの業務プロセスが相互かつ複雑に関連している状態でRPAを導入すると、その影響は導入した業務プロセスにとどまらず、他の業務プロセスにも影響を及ぼすことがあります。部門間の調整をしっかりと行うだけではなく、全社的な導入・管理方針を定め、全社最適を推進するための責任部署を決めることも必要です。

管理者が異動等で不在になり、自動化業務の仕様がブラックボックス化する「野良ロボ」も問題となっています。

内部監査においてはRPAを導入した業務プロセスに対する監査手続きの見直しだけでなく、全社的な導入・管理方針の策定・運用、責任部署の有無やその活動、部門間の調整なども監査手続きに追加する必要があります。また、RPA導入や業務効率化による異動・再配置等が現場にもたらす士気やモチベーションなど企業文化への影響にも注意を払う必要があります。

トーマツは、RPA導入に対する内部監査対応を支援します

業務現場のRPA導入が急速に進んでいく中で、内部監査部門はRPA導入に伴うリスクに対応した内部監査を実施していくことが求められます。

具体的には、①RPA導入による全社及び業務プロセスへの影響を考慮したリスク評価をタイムリーに実施し監査計画や手続きに速やかに反映させること、②RPAを含めた業務プロセス・リスク・コントロールを理解できる体制を構築することが求められます。

トーマツでは、RPA導入に伴うリスク評価、内部監査手続きの見直し、内部監査人教育、内部監査アウトソース・コソースなどのRPA内部監査に関する様々な支援を行っています。

RPA監査に関してお悩みがあれば、トーマツの内部監査プロフェッショナルにご相談ください。