{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2017-10-16
サイバー攻撃、SNSでの炎上、人材不足/労務問題、偽装・改ざんなど、対処すべきリスクは増えておりますが、重要度の高いものがあったとしても、そのリスクをコントロールすることに対し人員を割くことや、システム投資を行うことは難しい場合があります。重要度の高いリスクはあるものの、コントロールを整備・運用することが難しい場合、現在多くの企業で導入を進めているRPA(Robotic Process Automation)は、有効な手段の1つになるかもしれません。
本コラムでは、RPAをコントロールに活用するメリットや事例などを説明、紹介していきます。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。
経済環境や社会構造の変化、規制強化、テクノロジーの進展など、企業を取り巻く環境は大きく変わりました。その結果、さまざまな偽装、サイバー攻撃、SNSでの炎上から生じる風評被害、人材不足、過残業に代表される労務問題など、さまざまなリスクが近年クローズアップされています。
これらリスクが企業にとって重要度の高いものであれば、何らかのコントロールを新たに整備・運用する必要となります。しかしながら、従来のコントロールに加え、新たにコントロールを整備・運用するというのは、そのリスクの重要度が高いものであったとしても、企業にとっては大きな負担となります。
よって、RPA(Robotic Process Automation)をコントロールに活用する、即ちRPAをコントロール高度化のためのツールとして使用するというのは、選択肢の1つとして検討する価値があるのではないかと考えられます。
本題に入る前に、RPAをよく御存じでない方もいらっしゃると思いますので、少しRPAについて解説します。
人は仕事をするときパソコンに向かい、複数のシステムやメール、Excelなどといった各種アプリケーションを使います。ある時は、複数のデータを収集・集計したり、Excelに記載されている内容を1件1件検索したり、大量の申請内容を台帳化したり、また内容に応じた督促メールを1件1件対象者に送ったりなど、客観的に考えると非常に複雑かつ気の遠くなる作業を行っています。もしこれらを効率化するにはどうすればいいのでしょうか。無駄な作業を省くというのも1つの手ですが、それには限界があります。システム化すればいいのではないかという議論もありますが、システム構築・改修にはコストがかかるため、費用対効果がないのであれば、却下される可能性は高いと考えられます。また既存システムの改修となると、改修による各種システムへの影響も考えられます。ではどうやって業務効率化を図るのか。それを実現するのがRPAです。
具体的には、前述のパソコン上で人が行う操作をソフトウェアロボットに記憶させ、業務を自動化させる方法です。その結果、業務の中でルーティンワークとなっている単純作業部分はソフトウェアロボットが行い、人は判断を要する箇所に注力することができ、また人が操作するより早く動きますし、24時間365日動くことも可能ですので、生産性を大いに向上させるなど、昨今の人手不足、働き方改革を実現するツールとしても有効なものとなっております。
では次に、なぜRPAはコントロールを高度化するためのツールになるのか考えてみたいと思います。
本来コントロールとは、リスクを低減するためのもの、即ちリスクの顕在化を予防・発見するための高度な仕組みです。しかしながら、集計作業や照合作業など、ルーティンワークも多く、人が判断するような高度なスキルが要求される割合は少ない場合があります。このため、IT予算に余裕のある会社であれば、ルーティンワークとなる部分をシステム化することも可能ですが、その様な対応を行えない場合、人がそのルーティンワークを行うこととなります。またそのルーティンワークを人が行えないのであれば、リスクを許容し何も対策をとらないという選択を取らざるを得ず、重要度の高いリスクが残存し続けることとなります。加えて、人がルーティンワークを行うことで、コントロールを運用していたとしても、場合によってはコントロール自体が形骸化やチェック漏れが発生するなど、リスクが低減されない可能性があります。
このため、既存システムの改修が不要で、また短期間で構築できるRPAの特徴を生かし、コントロールの中でルーティンワークの部分を自動化し、人は判断を伴う箇所に注力するというアプローチは、より良いコントロールを整備・運用するうえで非常に有効なアプローチであると考えられます。
ではその様な使い方を行っている企業はあるのでしょうか。実際に私がアドバイザーとして従事した大手重要インフラ企業A社における事例をご紹介します。
A社は、サイバーセキュリティ対策などを高度化する取り組みを行っており、さまざまなセキュリティ製品を導入していましたが、コントロールとしては十分ではなく、リスクが残存しておりました。具体的には、サイバー攻撃を防ぐための対策は講じていましたが、攻撃を検知、特に何らかの被害が発生したことを検知する仕組みが十分に整備されていませんでした。その最たる例がログモニタリングで、各種セキュリティ製品の標準機能を上手く使えばモニタリングは行えるものの、人員不足がボトルネックとなり、モニタリングを行えない状況でした。
この時、「第1案:ログを統合的に管理・モニタリングするようなシステムの導入」、「第2案:外部委託を含め人員を増やす」、「第3案:RPAを活用しセキュリティ製品の標準機能を駆使することでログモニタリングを行う」という3案を検討し、第3案を採用、現在少しずつRPAによるログモニタリング領域を広げております。最終的には人はRPAが集計した結果などを分析、さまざまなアクションを取るための判断に注力するようなコントロール(ログモニタリング業務)を整備・運用されようとしております。
RPAは、主に既存業務の効率化目的に導入されるケースが多く、「新たなリスクに対するコントロールの実現」、「コントロールの高度化」という観点はまだまだ少ないです。近年、さまざまなリスクがクローズアップされるようになり、また今後もさまざまなリスクが増えると考えられます。RPAの様なツールを活用し、さまざまな重要リスクに対し効率的なコントロールを実現、高度化を図って頂きたいと思います。また今からRPAなどを活用し、リスクに係る情報を蓄積し、将来はAIなどを活用したコントロールを実現、更なるコントロールの高度化を図っていって頂きたいと思います。