{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
「内部監査部門のためのRPAの活用のポイント」の解説
2018-12-25
ロボティクス・プロセス・オートメーション(以下、「RPA」)をさまざまな業務に適用する取り組みが多くの企業で開始されており、その波は内部監査部門にも及び始めています。このような状況のもと、PwCあらた有限責任監査法人では2018年9月に「内部監査部門のためのRPAの活用のポイント」というレポート(以下、「RPAレポート」)を発行しました。これは、PwCの海外法人が発行した「Robotic process automation; A primer for internal audit professional」の日本語訳に、「日本企業におけるRPA普及に係る示唆」という、日本の企業向けの考察を加えたものです。本コラムでは、このRPAレポートを参照しながら、内部監査部門はRPAという新たなテクノロジーをどのように捉え、活用していくべきかを考察します。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。
内部監査部門を取り巻く環境
従来、業務効率の向上を実現するための取り組みは、ビジネス・プロセス・アウトソーシングなどが主でした。特に、バックオフィス業務を中心に、国内・海外の専門組織へ一括して業務をアウトソースすることで、自社で固定リソースを持つことなく、一定の業務品質を維持しようとする取り組みは、この典型と言えるでしょう。
しかしながら近年、業務効率化のより身近な手段として、RPAが注目を集めています。RPAでは、既存のシステムに手を加えず、パソコン上の操作を自動化することで、システムを用いた諸作業を高速かつミスなく処理させることが可能です。人間が実際にパソコンを操作するかのように、複数のアプリケーションにまたがった複雑な処理を自動的に実行させることを可能にするのがRPAの特徴です。
このようなRPAが、業務部門の中でさまざまに活用され始めている状況は、内部監査部門にとっても一つのチャンスと言えるのではないでしょうか。RPAという新たなテクノロジーの導入・運用は、程度の差こそあれ、業務部門に現行の態勢・プロセスの見直しを求めることになります。こうした機会に、内部監査部門がRPAを活用した内部統制の整備に向けて適切な助言を提供すれば、それは業務部門にとっても非常に有用なものとなるでしょう。内部監査部門は一般的に、確立された業務へのアシュアランスあるいは改善に向けた提言を行うことが求められています。それらに加え、こうした新たな技術導入に伴う業務変革のなかで、内部統制の確立に向けた支援・助言を積極的に提供していく姿勢、すなわちはアドバイザリー機能の発揮は、内部監査部門のもう一つの役割を果たす上で極めて重要なものでもあります。
それでは、内部監査部門はRPAを導入する業務部門に対し、どのようなアクションを行うべきでしょうか。
RPAレポートでは、「内部監査部長として検討しておきたい問い」という、この問いを考えるための3つのポイントを提示しています。
ポイント1:RPAの利用状況やRPAの導入の主導権について理解し、業務部門や他部門のリーダーと連携できているか?
RPAは、複雑なプログラムをコーディングすることを利用者に求めないため、システム開発スキルはほぼ必要ありません。すなわち普段パソコン操作を行っている人であれば、RPAも同様に操作できると言えます。そのためRPAの導入は、従来のシステム開発のように、システム部門への相談を行うことなく、業務部門主体で導入することも可能です。
専門的な開発能力なしに導入可能なRPAは、同時に、既に確立された内部統制を侵食するリスクをはらんでいます。そのため内部監査部門は、社内のIT戦略を考慮しつつ、各部門との連携のもとでRPAの利用状況を把握し、現行の内部統制を損なうことがないようにするという観点からRPAの導入/運用管理が図られているかどうかを確認し、モニタリングしていく必要があります。
なおRPAレポートでは、モニタリングに際して準拠すべきフレームワークとして、「RPA導入に係るガバナンス/リスク管理態勢フレームワーク」(図1)を紹介しています。これらを踏まえ、戦略、組織、人材、プロセス、システムの切り口で、RPAに係る内部統制が十分であるかどうかについてモニタリングを行っていくことが推奨されます。
ポイント2:業務を単純化することにより自動化できるプロセスがないか、検討できているか?
いわゆるSOX法の対象となる企業、例えば日本において金融商品取引法によって上場会社等における内部統制報告書の提出義務等が求められる企業では、同法の対象となる業務(以下、「SOX対象企業」)についてフローチャートや業務定義書などの文書整備が行われ、業務プロセスが標準化/単純化されているケースが多くあります。また、業務プロセス上の内部統制は、決まった照合や承認作業等、繰り返し何度も行われる手続きの多いことが特徴の一つです。
RPAの導入に際しては、業務プロセスの標準化(単純化)が求められますが、このような意味で、実はSOX対象業務の多くは、この条件を満たしているケースが多いと言えます。
しかし、SOX対象業務は会計監査人の視線に晒されるため、RPAを利用して業務効率の向上を図りたいと考えながらも、その利用に慎重になっているケースも想定されます。こうしたケースにおいて、例えば、内部監査部門がRPAの利用に際して内部統制上のリスクの評価・助言を行い、しかるべき水準への底上げを図ることで、新たな技術の導入に伴う業務面の効率向上・内部統制の高度化をスムーズに実現することができれば、これは内部監査部門としてのアドバイザリー的な機能の発揮と言ってよいものでしょう。
なおあくまで筆者の私見となりますが、内部統制についての検証を担う外部監査人の立場から、SOX対象業務へのRPAの導入自体は、適切なリスク評価および評価結果に基づく適切な対応が行われていれば、大きな問題はないと考えます。内部監査部門がRPA導入のための助言を主導的に行い、業務面・内部統制面の見直しを手助けしているという事実は、かえって外部監査人を安心させる材料にもなり得ると考えられます。
ポイント3:内部監査の業務プロセスを調査し、ロボットに置き換えることができるタスクを特定できているか?
ここまで、RPA導入を行う業務部門に対し、内部監査部門がどのように関与していくかについて述べてきましたが、そもそも内部監査部門自体の業務・タスクにおいて、RPAを利用することで効率化可能なものがないかを棚卸をすることも重要です。
例えば、今までは検証範囲が広範・膨大なため、サンプリングベースで検証を行わざるを得なかった内部監査のアプローチも、RPAを有効活用することで、サンプルベースでなく、全件を対象とした検証を効率的に行えるようになり、内部監査の水準を高度化できる可能性があります。RPAレポートで紹介した通り、以下のような内部監査に係る業務範囲は、RPAにより見直し可能なタスク群となります。
- 未出荷や未納等の異常な監査対象となるような異常なデータの特定
- 電子メールでの締め切りの催促やステータス更新の自動化
- 進捗状況やリスク指標の確認やモニタリング
- テンプレート化されている監査報告書の入力
- データアナリティクスのためのデータ作成
- マスタデータの完全性や検証など、決まった検証項目の自動化
内部監査部門でも、進捗管理や監査のためのデータ作成等、多くの定型業務を抱えています。これらの業務をRPAの導入によって自動化し、内部監査部門に本来求められる専門的な職務へのリソース集中を可能にすることは、業務水準の高度化にもつながります。
まとめ
内部監査部門は、RPAという新たなテクノロジーの導入による業務/内部統制環境の変化に積極的に関与することによって、効率的かつ効果的な組織変革の実現に向けて大きな役割を果たすことができます。さらに、このテクノロジーを内部監査上の業務においても利活用することで、より実効的な監査を行うことが可能となります。
PwCでは、今回のコラムで紹介したRPAレポートに加え、「内部監査部門のためのRPAの活用のポイント」、「コントロール高度化のツールとしてのRPAの有効性」という別のレポートでも、内部監査または内部統制の高度化に向けてRPAを利活用するためのヒントを紹介しています。これらも併せてご参照いただきながら、内部監査部門として、RPAという新たなテクノロジーに対してどのように対応していくかを改めてご検討いただければ幸いです。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
