全2回　RPAに見る業務プロセス自動化のリスクとガバナンスの問題 《連載:第2回》 RPA導入におけるガバナンス整備の必要性と推進方法

RPAは専門知識を不要とせずに手軽に業務の自動化を実現できる一方で、人間の想定を超えた自体を引き起こす可能性もゼロではありません。つまり単に個人の管理の問題ではなく、組織としての管理の仕組みやルール化、システム化などによっていかにガバナンスを効かせるかという問題にも関わってくることを理解しておくべきです。

ITサービス運用でお困りなら、ITサービス管理ツール「SmartStageサービスデスク」へ

RPA導入には「ガバナンス」が不可欠

RPAのリスクは外部からの攻撃だけではありません。合わせて注意すべきなのが、内部からの不正行為です。デスクトップで稼働するRDAであれば、社内の人物が悪意を持って情報を持ち出そうとし、その手段としてロボットを悪用するといったことが簡単にできてしまいます。意図的であるかないかにかかわらず、ロボットの設計・開発・運用が無秩序に行えるような体制のままでは、事故発生のリスクをはらんでいます。また、業務プロセスの多くをロボットに任せた環境では、システム障害や災害によってRPAが停止し、業務自体が止まってしまうというリスクも考えられます。そのため、業務停止の影響が大きいプロセスを自動化する際には、RPAが停止した場合に人手で業務を継続できるようにしておくことが欠かせません。

こうしたリスクを回避するために必要になるのが、RPAにガバナンスを効かせることです。既存のITガバナンスを見直し、システムと人の関わりに加えてロボットの利用を想定した統制を実現するのです。

RPAの利用を想定したガバナンスは、ロボットを利用する業務部門、RPAシステムを運用管理するIT部門だけでなく、経営層・経営企画部門や総務・人事・リスク管理などの間接部門も含め、全社的に波及させることが重要です。導入にあたっては、まずは各部門の担当者を集めた“RPA導入推進チーム”を立ち上げ、ロボットに実行させる業務プロセスを明確化するとともに、万一の際の人手による代替作業を考慮したルール、マニュアルを作成します。

もちろん、RPAの活用はまだまだ発展途上であり、まだ部分的な導入にとどまっている企業も多いでしょう。しかし、RPAに多くの役割を担うようになれば、場合によってはシステム監査への対応なども考える必要があるのです。

RPA導入で重要になるIT部門の役割

RPAの利用は主に業務部門が主体になりますが、IT部門の役割も非常に重要です。RPAの導入・開発・運用について全体的な内部統制が取れているか、常に目を光らせておく必要があります。

基幹システムに対するロボットのアクセスコントロール、ロボットによる自動化処理の開発・テスト・リリース・変更管理、24時間365日運用を想定したRPAシステムの障害監視とインシデント管理、ロボットによる操作ログ・証跡の取得など、既存システムと変わらない運用管理体制を設ける必要があります。決してRPAシステムを放置し、何を実行しているのか把握できない“野良ロボット”の存在を許してはいけません。クライアントPC上のExcelのマクロに厳密な統制を施している組織はごく少数でしょう。しかし、より高度な自動化ができるRPAに対しては、そうしたマクロと同等に考えてはいけないのです。

最近では、RPAシステムが正常に動作しているかどうか、ロボットが実行する業務プロセスを監視するために、別の専用のロボットを用意するといったソリューションもあります。また、単一のRPAシステムにこだわらず、実際の業務部門で利用するロボットはRDAを使い、全社的な業務プロセスやRDAの監視にサーバー型のRPAと業務プロセス管理（BPM）ツールを導入して使い分けるといった方法もあります。

いずれにせよRPAを導入する際には、業務プロセスを自動化するリスクを知った上でガバナンスを見直すなどの事前準備を怠ってはなりません。RPAシステムのツールだけでなく、運用管理全般に関するコンサルティングサービスを提供している事業者もあるので、そうしたRPAに関する知見を持った事業者に相談することをお勧めします。