ナレッジベース

RPAと内部統制報告制度対応

UiPathをご活用いただく範囲が拡大しつつあるなか、「内部統制対応」についての疑問をお寄せいただく機会が増えてきました。本稿では、UiPathその他のRPA製品を活用する企業が、内部統制報告制度(財務報告に係る内部統制報告制度。いわゆるJ-SOX)対応を行うにあたっての基本的な考え方を述べるとともに、推奨されること・避けるべきことの例を挙げます(あくまで例であり、網羅的な列挙ではありません)。なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします

 

1. 基本的な考え方

既存の制度対応の枠組みで対応すべき

筆者が確認した限り、本稿執筆時点(2018年12月)において、金融庁や日本公認会計士協会といった公的団体からRPAのJ-SOX対応に関するガイダンス等は公表されておりません。したがって、RPAは既存のJ-SOX対応の枠組みの中で対応すべきものであり、語弊を恐れずに少し踏み込んだ表現をすると、RPAはJ-SOX対応上、RPA以外の各種システムと同じように扱うことができ、RPAだから特別対応が難しくなるということにはならないはずです。
また、視点を変えると、RPAを自社の既存のJ-SOX対応の枠組み内に「収める」ことで、効率的な対応が可能になります。

 

2. 推奨されること

例として3つ挙げますが、RPA固有のものではなく、RPA以外にもあてはまります。

 

(1) 既存ITポリシーへの準拠の確認

当たり前のことかもしれませんが、上述の「RPAを自社の既存のJ-SOX対応の枠組み内に『収める』」ために重要です。既存ITポリシーに準拠してRPAの開発・運用を行うことで、J-SOX対応のために追加的な手当てが必要となる可能性が低くなります。
一方で、ITポリシーは、RPA導入・拡大の制約になることもあり、RPA普及の観点からITポリシーを変更する判断もありえますが、変更する場合はJ-SOX対応の観点からも検討を行い、検討結果によって、変更の取り止め、変更内容の修正、追加的な手当ての整備・運用等の対応が必要になります。

 

(2) 自動化対象にキーコントロールが含まれるかの確認

キーコントロールにRPAを導入すると、J-SOXの自己評価・独立的評価や監査に与える影響が大きくなります。評価や監査の計画~実施~報告に要する工数はまず増えると考えられますし、場合によっては監査意見にダイレクトに影響することもありえるので、RPA導入対象にキーコントロールが含まれるか確認することが推奨されます。確認の結果キーコントロールが含まれる場合は、導入後の業務を前提に、改めてコントロールの識別(場合によっては新たなコントロールの整備・運用)とキーコントロールの選定を行うことになるでしょうし、PoCや後述の外部監査人との事前協議における論点となりえます。

 

(3) 監査人との事前協議

企業の立場からは、J-SOX対応の実務的なゴールは「外部監査人から適正意見をもらうこと」と言っても過言ではありません。上述の通り、特にキーコントロールを自動化する場合は、 監査の計画~実施~報告に大きく影響することもありえるので、RPA導入前に監査人と事前協議を行い、監査人と「握り」を行うことが推奨されます。独立的評価を行う内部監査人との事前協議ももちろん重要です。

 

3. 避けるべきこと

避けるべきことの例も限りないですが、RPAで容易に起こるおそれがあることとして、不適切な自動化による「統制の無効化」を例を挙げます。

 

統制の無効化

例えば、購買システムがあり、購買システム上でマネジャーが購買申請の内容を確認して「承認ボタン」を押して承認する、という統制を考えます。
毎日何件もの承認を行わなければならないマネジャーを支援するために、RPAが単純に承認ボタンを押す自動化を導入した場合、承認ボタンを押す行為が「空チェック」であり統制が有効に整備されていないと判断されるおそれがあります。このようなケースでは、RPAが支援すべきなのは、例えば「見積と発注の一致の確認」等 マネジャーが承認する前のチェックであり、承認ボタンを押す行為そのものを自動化することには慎重になるべきでしょう。

 

4. おわりに

以上、簡単な論考になりますが、RPAのJ-SOX対応に関する基本的な考え方と、推奨されること・避けるべきことを述べました。上述の通り現在RPAのJ-SOX対応に関する公的なガイドラインはないので、企業は既存のJ-SOX対応の枠組みをベースに対応を進め、監査人との対話等を行っていく必要があります。UiPathは、機会があれば今後もRPAと内部統制についてKnowledge Baseで発信していきます。