R3 AU PM2-1 RPAツールを利用した業務処理の自動化に関する監査

1.計画しているRPAを利用した業務処理の自動化の概要と効果、及び体制について

1.RPAを利用した業務処理の自動化の概要と期待される効果について
　Z社は、自社開発のネットワーク機器、およびネットワークサービスを販売する通信事業者である。Z社では、自社製品、およびサービスに関するインシデント対応などのサービス対応を自社にて実施している。
　Z社では、AIやRPAといったDXの技術を利用し、業務改善を推進している。これを受け、Z社のサービス対応を実施する技術部では、RPAを利活用しサービス対応の一部、具体的には窓口処理などの簡易的な業務処理を自動化することとなった。
　利用するRPAツールは、Z社のシステム開発課が開発したアプリケーションA（以下、Aという）である。Aは、開発の経験のないユーザーでもGUIを利用して簡易的に開発できるアプリケーションである。
2.Aを利用した業務処理自動化の開発、運用及び保守するための体制について
　Aを利用したサービス対応の自動化（以下、業務自動化という）はZ社技術部サポート課が中心となって実施する。業務自動化では、サポート課の要員が定期的に会議を開催する。Aの利用には開発経験のないユーザー部門で対応が可能だが、今後の本格的なRPA化やDX推進に必要と考え、システム開発課の要員に参画を依頼した。ただし、システム開発課の要員は本来の業務があるため、不定期、かつ必要に応じて参画をして、その知見をもって協力する。
　私は、Z社内部監査室に所属するシステム監査人として、計画段階のAを利用したサービス対応の自動化の有効性、及びリスクアセスメントを監査する者である。

2.業務処理の自動化において、開発、運用及び保守に関わるリスクと、そのコントロールについて

2.1開発、運用及び保守に関わるリスクについて
　私は、設問アで述べた計画段階のAを利用したサービス対応の自動化についてのITガバナンスを評価するにあたり、そのリスクを特定し、対応するコントロールを評価を実施すべきと考えた。また、開発、運用及び保守というITシステムの一連の稼働を時系列順にし、網羅的に判断すべきである、と考え、それらを踏まえ、検討したリスクは以下の通りである。
①開発段階におけるリスク
　業務自動化は、開発に不慣れなユーザー部門が主導で実施する。従って、要件定義や利用範囲の定義が曖昧なまま業務処理の選定をし、作業効率が減少、また運用時に本来のサービス対応の業務に支障を来すリスクがある。
②運用段階におけるリスク
　業務自動化は、運用を実施するものが特定の人員だった場合に、自動化された業務処理の障害発生時に特定の人員が不在時などに、運用に支障が出るリスクがある。
③保守段階におけるリスク
　法改正などで業務自動化に改修が必要な場合に、業務自動化の開発経緯などの詳細を示したドキュメントが保存されていない場合に、改修ができない、あるいは困難となるリスクがある。
2.2開発、運用及び保守に関わるコントロールについて
　上記の検討したリスクに対して、以下のコントロールが有効と考えられる①開発段階のコントロール
　開発段階のリスクは、開発利用目的が明確であること、及び稼働時の影響予測の適切性によるコントロールが有用と考えられる。
②運用段階におけるコントロール
　運用段階のリスクは、特定の人員のみが運用に携わることがないようにするコントロールが有効と考えられる。
③保守段階におけるコントロール
　保守段階のリスクは、業務自動化に関するドキュメントを保存し、業務上必要な人員が利活用可能であるコントロールが有効と考えられる。
　以上が、業務処理自動化におけるリスク、及びそのコントロールである。

3.業務自動化のコントロールが適切に機能しているかを確かめるための監査手続について

3.業務自動化のコントロールの適切性についての監査手続について
　設問イで述べたリスク、及びコントロールが適切に機能しているかを確認する監査手続について、以下に述べる。
①開発段階の監査手続について
　監査段階の監査手続は、開発利用目的が明確か、を確認するため、サポート課の要員が開催した会議資料を閲覧し、確認する。また、不明な点はサポート課の要員にインタビューを実施し、監査証拠を得る、を設定する。
　運用時に影響があるリスクについてのコントロールである業務処理の影響予測は、サポート業務だけではなくRPAについての十分な知見が採用されているか、を上記会議資料を閲覧し、確認する。会議資料から参加要員がRPAの知見についてシステム課の要員の十分な参画が認められるか、を確認する。
②運用段階の監査手続について
　運用を実施するものが、特定の人員のみが携わらないようにする仕組み、具体的には手順書のような形で別の者でも対応が可能なような配慮が計画されているかを確認する。監査手続としては、サポート課の要員にインタビューを実施し、上記のような計画が存在するかを確認する。特に、障害発生時の手順書のような、障害対応を考慮したものであるか、も併せて確認をする。
③保守段階の監査手続について
　保守段階の監査における監査手続は、業務自動化に関するドキュメントを作成する仕組みが企画されているかを、業務自動化に関する企画書を閲覧し確認する。
　また、保守段階においてはシステム開発課の十分な協力体制の確認が必要と考え追加の監査手続として、システム開発課の要員に、業務自動化の回収に関して、上記のドキュメントのアクセス権限や利活用についての計画が存在するかを、インタビューを実施し確認する。
　以上が、私が検討した業務自動化のコントロールが適切に機能しているかを確認する監査手続である。