RPA(ロボティック・プロセス・オートメーション)が普及するにつれて、メリットだけでなく、導入・運用上の様々なリスクが明らかになってきた。回避策を押さえておこう。
RPAを適切に利用しなければ、コンプライアンス(法令順守)違反になる可能性があることは前回指摘した通りだ。ではそのような事態を防ぐために、どのような内部統制を整備・運用する必要があるのだろうか。
RPAは定型作業の自動化という観点から、表計算ソフトのマクロと同様に考えられることがある。J-SOX対応などで、マクロに対する統制の整備の経験がある場合、「マクロと同様の統制を実施すればよい」と考える人もいるのではないだろうか。
この考え方は実は危険だ。RPAはマクロに近い点も確かにあるが、大きく異なる点があるからだ。RPAに対する統制は、マクロとは別と考えて実行しよう。
RPAとマクロで大きく異なるのが、対象となる自動化の範囲だ。マクロは、個々のアプリケーションに付随する機能との位置付けだ。同一のアプリケーション内でデータを取得したり、転記・集計したりといった作業をこなす。業務プロセスの一部を対象として、自動化するものだ。
これに対しRPAは、アプリケーションやシステムを越えて適用が可能になる。自動化の対象は、業務プロセス全体となる。先の例で言えば、「アプリケーションAのデータを転記・集計し、それを別のアプリケーションBに入力して、アプリケーションBの申請ボタンを押す」といったことまで可能だ。
内部統制の観点では、RPAはシステムを問わず業務プロセス全体で利用できるため、権限の設定方法などによってはRPAの開発や運用を行う担当者が操作可能なシステムの範囲が広くなる。