RPAについて会計士協会に意見を送った（2:散らかってる日本のRPA）

前回の話をまとめると、
「RPAの機能・使い方は色々。それに対して会計士協会の草案は書くべきことを網羅できてないんじゃないの？」
ということでした。

では、何でRPAの機能・使い方は色々散らかってるのか。

そもそもRPAはインドのアウトソーシング請負会社において単純作業の効率を向上させるために生まれたものです。であれば、もうちょっと標準的な機能が揃っていても良いはずでは？

２つ理由が思い当たります。

１つ目は、RPAは先端技術じゃないということ。10年以上前に完成している技術であるため、ベンダーはずっと前から細々と販売or自社利用してきた。多くの顧客に販売する過程で標準的な機能が大体揃ってくる、そんな過程を経ないままに各ベンダーがそれっぽいソフトウェアをRPAというラベルで大売出しを始めたのが数年前、という印象があります。つまり初期の時点で随分と違いがあるものに皆で同じラベルを付けてしまった。

２つ目は、急拡大市場ということ。急成長する需要に対して多くのベンダーが、良く言えば柔軟に/悪く言えば場当たり的に開発競争を行い、結果として個々のソフトウェアの機能や使い方（ユーザー側でも自社に合った活用法を手探りしている）がどんどん多様化している。
例えば、ソフトウェアAは機能aがあるけどソフトウェアBは機能bしかなかった。Bのユーザーはaの類似機能を実現するために機能bと上流・下流の業務プロセスの工夫で対応、しかし直後にBがa’をリリース、でも使いづらいから更にユーザーは工夫を・・・というのはあるあるでは。

色々なRPAソフトウェアたち

ここで、イメージを持っていただくためにもRPAソフトウェアを比較紹介。

2017年RPA業界における顔と言えば何といってもBizRoboを展開するRPAホールディングスグループとアビーム（安部慶喜氏）でした。彼らの手掛けた書籍・ニュース記事が一気に広まり、一時的にせよ「RPAといえばBizRobo」くらいの状況になっていました。
一方、2018年の特に後半になってUiPathの攻勢が顕著になってきており、BizRobo & WinActor２強という感じだった国内マーケットに割って入ってきています。

ややこしいのが、海外3強と日本3強のズレ。海外でRPAソフトウェアはAutomation Anywhere、Blue Prism、UiPathが3強と言える状況ですが、日本においてはBizRobo、WinActor、UiPath。
Automation AnywhereとBlue Prismも日本市場に力を入れてきていますが、一歩出遅れの印象です。Automation Anywhereは統制面やセキュリティ面を売りにしており、会計監査関連では米国SOX対応も謳っています。デモをちょっと見た限りでは、例えば権限管理をかなり細かく設定できるようでした。

で、更にややこしいことを言うとBizRoboは全く海外で存在感がありません。何故ならBizRoboはRPAソフトウェアの名称ではなく、Kofax KapowというRPAソフトウェアを基にしたRPAテクノロジーズ社によるサービスの名称であるからです。そして、Kofax Kapowのプレゼンスは海外では３強に及ばないのが現状のようです。
なおWinActorも海外で存在感がないですが、これは国産（NTTデータ）だから。一応英語対応もされていますが、未だ国内版と互換性が乏しいなどまだ発展途上の印象。

https://www.uipath.com/ja/reports/forrester-wave-2018-robotic-process-automation

クライアント型 / サーバ型で使い方は全然違う

そして、これらRPAソフトウェアは何が違うのか。
良く使われる分類で行くと、WinActorはクライアント型（たまにRDAと呼ばれる）で個々のPCにインストールして動かすのが主流です。一方BizRoboその他はサーバ型。UiPathは両方の使い方が出来ることをアピールポイント。この他、BizteX cobitなどクラウド型まで出てきましたが良く知らないので割愛。

WinActorもWinDirectorという管理ツールを出したり、クラウドサービス版を出したりと動いていますがここでも発展途上な感じ。
よくよく見ると、WinActorとクラウドサービス版はNTT-ATが開発、WinDirectorはNTTデータが開発、でも販売は全部NTTデータ、というNTTグループの巨大さに起因する足並みのズレも感じられます。

それはともかく、クライアント型とサーバ型では当然使い方も違うし、使い方が違うなら統制手法も変わってきます。
クライアント型は各ユーザーが主体となって手軽に開発運用保守される傾向がありますし、サーバ型では社内専門チームが集中的に開発する傾向があります。
統制面でいえば、サーバ型なら一括した権限管理やログ取得も出来ますが、クライアント型ではユーザー側で工夫が必要。

その上、クライアント型とサーバ型はコスト体系も変わってくる。
大雑把に言えば、クライアント型はライセンス単位で数十万円レベルの段階的課金、サーバ型は最低ユーザー数が決まっていて一千万円単位の年間コスト、という印象。
となると、コストの回収方法まで変わってきます。サーバ型の一千万円単位のコストをちまちま現場単位の自動化で回収することは難しい。
全社で最も手間のかかっている業務にターゲットを絞った上で、経営者からのトップダウンで「営業部隊の事務作業をRPAで全廃する。期限は半年。以上！」と言うようなやり方になる。するとRPA専任部隊が経営企画部門やIT部門に設けられて開発・運用・保守そして統制まで一括管理するようになってくる

で、こうした傾向は傾向としてありながらも、上述の「ユーザー側の多様な使い方」もファクターに入ってくる。上手く会社にRPAを定着させるため、クライアント型を専門部隊主導で厳しい統制で進める会社もあれば、サーバ型でも数百人レベルの開発者が全社に散らばっている会社もある。

カオスなRPA。そして草案に欠けている統制法とは？

では、こんな多様でカオスなRPAに対して、会計・監査上あるべき統制をどう考えるか。
言葉足らずにはならず、でも全体まで目配りして、どう報告書にまとめれば良いのか。

サーバ型については何らかの統制機能があるため、ITGC/ITACを既存の業務システムと同様に作りこむことも可能ではあるでしょう。ただし、個人的には今のところ事例を聞いたことはない。
クライアント型は更に統制機能が貧弱。とても既存の業務システムに並ぶような統制の作りこみは無理。

ここでそもそも論を言っちゃえば、統制の厳しさと利用の手軽さはトレードオフになります。そのためサーバ型で統制機能があっても、あえて使わずに利便性を取る、という選択肢もありえる。それは会社が個々の業務に応じて判断することです。

であれば、一律にRPAロボにITGC/ITACの作りこみを要求するのは現実的ではない。「ロボ＝ぺーぺーの新入社員」のように捉えて、ロボの仕事は人がチェックして統制することも必要になる。
これが、草案は「現状のRPAの利用状況について半分くらいしか射程に入れていない」と私が思う理由です。