R3 AU PM2-1 RPAツールを利用した業務処理の自動化に関する監査について

1.関係する組織において計画しているRPAを利用した業務処理の自動化において、その概要と期待される効果について

　Z社は、自社開発のネットワーク機器を開発、販売から設置、導入後の保守対応までをワンストップで実施する通信事業者である。Z社の保守対応はZ社技術部が対応している。Eメールや電話を中心としたサービス要求（以下、入電という）に対し、受付業務をしサポートデスク対応をする。
　Z社では、AIやRPAといった新技術を積極的に業務に取り入れ、業務効率の改善や付加価値の創出を経営戦略の一つとして採用している。Z社技術部では、RPAを利用可能な業務（以下、RPA化という）を順次、業務処理を自動化していくことで、サポート業務に携わる社員が別の業務に取り組むことが可能となり、その品質向上が期待された。
2.ロボットを開発、運用及び保守するための体制
　Z社技術部のRPA化の主管部門は管理課である。管理課によるRPA化は月次のRPA化推進計画会議でZ社の要人が集まり検討される。
　Ｚ社のRPA化にはRPAツール「A」（以下、Aという）を利用しソフトウェアロボット（以下、ロボット）を開発する。Zは、開発の専門的な知識がなくとも簡易的な操作でロボットの開発が可能となる。
　Z社技術部が最初に取り組んだのは、サポート時間外のEメールのサービス要求に対する受付処理のRPA化（以下、メール受付という）である。サポート対応外のEメールのサービス要求は、サポート要求全体に占める割合が少なく、サポート対応に与える影響が少ないため、スモールスタートに最適であるとの判断から選択された。
　結果として、メール受付は業務に支障がなく、Z社管理課はRPA化の次の対象を検討することとなった。
734-1434

2.業務処理の自動化に関わるリスクを低減するためのコントロールについて

1.業務処理の自動化に関わるリスクについて
　Z社管理課は、メール受付のRPA化が支障なく運用が可能であることを受け、引き続きRPA化の取組を進めることとなった。
　私は、Z社システム監査部門のシステム監査人として、Z社管理課によるRPA化の適切性を監査する者である。
1.1　RPA化に関わるリスクについて
　私は、予備調査としてZ社技術部のRPA化に関する資料を確認し、その結果を基に以下のリスクを洗い出した。
（1）自動化の対象とする業務処理の選定を誤り、業務の効率化を損なうリスク。
（2）運用に関するルールが明確ではないため、業務に支障を来すリスク
（3）RPAの最新の知見や脆弱性に対して情報を更新しないと、これらを利用したインシデントに対応できないリスク
2.リスクを低減するためのコントロールについて
　上記のリスクに対して、以下のコントロールが有効と考えられる。
（1）自動化の対象とする業務処理の選定の基準が作成されており、その作成にRPAとサポート対応のそれぞれで知見を十分に持つもの意見が反映されている。また、自動化の対象とする業務の基準が明確であり、周知徹底されている。
（2）運用に関して、ルールの策定に権限者の承認のうえでルールが策定され、かつそのルールが周知徹底されていること。また、担当者、権限者といった役割が明確になっていて、ルールの準拠性に関して日常的にチェックが可能であること。
（3）RPAに関する最新の知見や脆弱性を内部、外部問わずに取り入れる仕組みが存在している。また、それらの取り入れた情報を共有する仕組みが存在し活用する。
　以上が、必要と考えるコントロールである。　
1500-2200

3.コントロールが適切に機能しているかどうかを確かめるための監査手続について

3.　前項の3つのコントロールを対象に、RPA化の適切性を監査するための手続きを以下に述べる。
（1）RPA化の選定に関するコントロールについて
　次の監査項目を設定する。
①自動化の対象とする業務処理の選定の基準が、RPAと業務の両方の知見の有る者が参加したうえで適切に策定されているか
②自動化の対象とする基準の明確さと、その内容が関係者に周知徹底されているか
　監査は、予備調査において組織図を閲覧し、技術部のRPA化に携わる要人を確認する。また、RPA化推進計画会議の議事録を閲覧し、RPAと業務の両方の知見の有る者が参加し、かつその内容が妥当であることを確認する。本調査では、RPA化推進計画会議の参加者にアンケートを実施し、上記基準の内容についてが周知されているを確認する。また、アンケートの結果に基づき、RPA化推進計画会議の参加者にヒアリングを実施し、明確さに不足はないかを確認する。
（2）運用に関するコントロールについて
　次の監査項目を設定する。
①運用のルールが、権限者の了承のうえで策定されているか
②運用に関するルールは周知徹底されているか
③運用に関するルールが実際の運用において準拠されているかを確認できる環境か
　監査は、運用のルールを策定したドキュメント及び組織図を閲覧し、策定に関して権限者の了承のうえで策定されているかを確認する。運用メンバにヒアリングを実施し、運用に関するルールのヒアリングを実施し、周知の度合いを確認する。また、実際の運用の環境を確認し、運用に関する上長の準拠性のチェックが可能かを確認する。
（3）RPAの最新情報に関するコントロールについて
　次の監査項目を設定する。
①RPAに関する情報収集に関する取組が検討されているか
②RPAに関する新たな知見や脆弱性が確認された場合、迅速にRPA運用に取り入れることは可能か
　監査は、RPA化推進計画会議の議事録を閲覧し、内外からの情報収集に関する取組の有無を確認する。また、RPA化推進計画会議のメンバにインタビューを実施し、RPA運用の変更が適切に検討されているかを確認する。