商社も悩むRPAと内部統制

先週、日本内部統制研究学会のシンポジウム
「内部統制報告制度の実効性確保について―制度導入10年を経ての教訓と課題―」
というものを聞きに行きました。

監査業界で知らないものはいない八田進二先生や、以前（内部統制というテーマでありながら）メチャ面白いお話が聞けた日立製作所監査室の蓮沼さんがパネリストとして登壇するとのことで参加したのですが、RPAの話も出てきました。

商社の業界団体である日本貿易会の方が同じくパネリストとして参加されていたのですが、同会の内部統制連絡会（こんなニッチな分野でも連携されていることも驚き）にて2018年10月に参加企業にアンケートを実施、内部統制上のお悩みを共有する機会を持ったらしいです。

で、その中で３社からRPAに関するお悩みがあったと。

まず2社は、全般的に新しいツールであるRPAと既存のJ-SOXの枠組みをどうマッチさせるか悩んでいる、ということみたいでした。

（※資料中にあった「お悩み」文章）

・RPA導入と業務プロセス評価
・RPA導入に係るIT統制の整備、および運用評価手法

もう1社は具体的に、内部統制3点セット（業務フローチャート、業務記述書、リスクコントロールマトリックス）への影響についてお悩み。

（※資料中にあった「お悩み」文章）

全社共通の３文書（３点セット）に影響を与えるRPAが、一部の部門に限り導入される際の対応について：全社システムへの導入（変更）であれば、ITGC（IT全般統制評価）等を含め、これまでも対応してきたが、RPAの場合、対象は一部の部門、複数部署が同様のロボットを導入する場合であっても、カスタマイズが容易である為、部門毎に３文書への影響を検討を要することが予想され、対応に苦慮している

（手前味噌ながら）私が過去投稿で指摘してきた、
「RPAロボが作られると業務プロセス・コントロールが変更されてしまう。しかもロボは気軽に現場部門で開発・変更されることも多い。どうやってJ-SOXと整合させる？」
という問題意識と共通していて何だか安心しました。安心している場合じゃないけど。

総合商社と言えば当然ながら日本を代表する巨大企業。超優秀・経験豊富な方々が世界中で数百億・数千億円レベルの投資をする。
その商社の内部統制部門であれば、普段から不正をどう防止するか・ダメージコントロールするか頭を絞りまくっているはず。
それでも、RPAへの対応には悩んでいるらしい。

やっぱり19年3月期の期末も近づいてきて、会計監査・J-SOXの観点からもRPAへの注目が高まってくると思います。

RPAユーザや推進チームメンバーは今のうちから理論武装しておかないと、いきなり偉い人から
「RPAって思ったより社内で広まってないし怖い話も聞くから凍結ね」
と言われて仕事が無くなる、なんてことが来年あるかも・・・

とりあえず、継続的な情報収集は欠かせませんね！