-
財務・会計分野におけるRPAの活用と内部統制上の留意点
RPAがもたらす影響
企業は、ロボティック・プロセス・オートメーション(RPA)により様々な業務の自動化を急速に進めています。RPAは、人の業務を代替し自動的に作業するよう設計されたロボットを意味します。RPAは定型的な業務を代替することは可能ですが、コグニティブコンピューティングや機械学習等の人工知能(AI)とは異なり、自身でデータパターンから学習したり、判断したりすることはできません。しかし、RPAは、基礎となるITインフラを損なうことなくユーザーインターフェース層で自動的に処理を行い、既定のプロトコルや手順に正確に従い、コンプライアンスとコスト効率性を向上させます。すなわちRPAとは、これまでユーザーのセキュリティ設定に基づいて人が行っていたコンピューター上の業務を再現するように設計されたテクノロジーソリューションなのです。図1はRPAが対応可能な作業の一部を示しています。
Robotic Process Automation
課 題
・ RPAがもたらす影響
・企業におけるRPAの活用
・RPA導入における財務報告 リスクと内部統制の検討事項
・全社統制
・開発フェーズ
・導入フェーズ
・モニタリングフェーズ
・外部監査に向けた準備
・コンタクト
コンタクト
仁木 一彦有限責任監査法人トーマツリスクアドバイザリー事業本部パートナー[email protected]
大沼 靖秀デロイト トーマツ リスクサービス株式会社パートナー[email protected]
Member ofDeloitte Touche Tohmatsu Limited
© 2019. For information, contact Deloitte Touche Tohmatsu
LLC.
デロイト トーマツ グループは、日本におけるデロイト アジア パシフィック
リミテッドおよびデロイトネットワークのメンバーであるデロイト
トーマツ合同会社並びにそのグループ法人(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング合同会社、デロイト トーマツ
ファイナンシャルアドバイザリー合同会社、デロイト トーマツ税理士法人、DT弁護士法人およびデロイト トーマツ コーポレート
ソリューション合同会社を含む)の総称です。デロイト トーマツ
グループは、日本で最大級のビジネスプロフェッショナルグループのひとつであり、各法人がそれぞれの適用法令に従い、監査・保証業務、リスクアドバイザリー、コンサルティング、ファイナンシャルアドバイザリー、税務、法務等を提供しています。また、国内約40都市に1万名以上の専門家を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はデロイト
トーマツ グループWebサイト(www.deloitte.com/jp)をご覧ください。
Deloitte(デロイト)とは、デロイト トウシュ トーマツ
リミテッド(“DTTL”)ならびにそのグローバルネットワーク組織を構成するメンバーファームおよびそれらの提携法人のひとつまたは複数を指します。DTTL(または“Deloitte
Global”)および各メンバーファーム並びにそれらの関係法人はそれぞれ法的に独立した別個の組織体です。DTTLはクライアントへのサービス提供を行いません。詳細は
www.deloitte.com/jp/about をご覧ください。デロイト アジア パシフィック
リミテッドはDTTLのメンバーファームであり、保証有限責任会社です。デロイト アジア パシフィック
リミテッドのメンバーおよびそれらの提携法人は、オーストラリア、ブルネイ、カンボジア、東ティモール、ミクロネシア連邦、グアム、インドネシア、日本、ラオス、マレーシア、モンゴル、ミャンマー、ニュージーランド、パラオ、パプアニューギニア、シンガポール、タイ、マーシャル諸島、北マリアナ諸島、中国(香港およびマカオを含む)、フィリピンおよびベトナムでサービスを提供しており、これらの各国および地域における運営はそれぞれ法的に独立した別個の組織体により行われています。
Deloitte(デロイト)は、監査・保証業務、コンサルティング、ファイナンシャルアドバイザリー、リスクアドバイザリー、税務およびこれらに関連する第一級のサービスを全世界で行っています。150を超える国・地域のメンバーファームのネットワークを通じFortune
Global 500®の8割の企業に対してサービス提供をしています。“Making an impact that
matters”を自らの使命とするデロイトの約286,000名の専門家については、
(www.deloitte.com)をご覧ください。
本資料は皆様への情報提供として一般的な情報を掲載するのみであり、その性質上、特定の個人や事業体に具体的に適用される個別の事情に対応するものではありません。また、本資料の作成または発行後に、関連する制度その他の適用の前提となる状況について、変動を生じる可能性もあります。個別の事案に適用するためには、当該時点で有効とされる内容により結論等を異にする可能性があることをご留意いただき、本資料の記載のみに依拠して意思決定・行動をされることなく、適用に関する具体的事案をもとに適切な専門家にご相談ください。
-
図1. RPAが出来ること
図2. RPAのメリット
Cost Reduction
Quality
Talent
Scalability24/7 Operations
Decision Making
Internal Control
Reduce turn-around time
Reduce cost through automating activities and requiring fewer
full-time equivalents
Increase quality by avoiding human error
Boost employee engagement by shifting personnel to more
interesting tasks
Increased capacity without long build-up phase
Nonstop performance
Improve executive decision making
Reduce potential for unintentional or intentional human
error
Accounting & Finance54%Human
Resources8%
IT6%
Internal Audit2%
Tax5%
Operational25%
RPAは他の自動化技術と比べて低コストで導入でき、財務上・非財務上の様々なメリットを業務にもたらすことになります。RPAのメリットの概要は図2の通りです。
Read/write to DB’s Follow decision rules
Open, read, and create emails
Log into enterprise apps
Move files & folders
Copy/paste
Fill in forms
Pull data from the Web
Make calculations
Extract data from documents
Collect statistics
Obtain human input via email/workflow
企業におけるRPAの活用
デロイトが2017年に実施したRPA調査の結果、市場トレンドとして、今後5年間を通して世界中でRPAの導入が進むことが予想されています。また、RPA導入における平均支出額に関する調査では、試験的な導入費として150万ドル(約1億7,000万円1)、本格的な導入費として300万ドル(約3億4,000万円)を各企業が支出していることが判明しています。これらの調査からも分かるように、各企業は業務自動化への投資をこれまでにないレベルで進めています。更に、各企業はRPAの新たな活用方法も継続的に模索しています。では、実際に自動化技術はどの分野で最も利用されているのでしょうか。
RPA Benefits
Speed Increase
1 1ドル113円で換算。
デロイト ロボティクス・コグニティブ
オートメーションデリバリーセンターの調査によると、デロイトのクライアントの間では、財務・会計分野が効果的なRPA導入先として挙げられており、また最もRPAの導入が進んでいる業務分野であることも判明しています。特に以下のような業務において自動化が進められています。
・ 高レベルの精度・整合性が求められる処理・ 反復的で、マニュアルなトランザクション処理・ 多様なシステムからの情報収集・
定型的なデータ入力・データ操作・レポート作成
以上のように、管理部門の財務・会計分野についてはその相当数が自動化できる可能性があります。2一例として下図では、財務・会計分野の特定のプロセスにおける自動化の可能性について、「高・中・低」の度合いで示しています。
一般的に、以下のような財務・会計分野におけるプロセスが各社において自動化されています。
【受注・入金・売掛金管理プロセス】・ 顧客マスターデータの作成と更新・ 顧客の与信限度額に照らした注文の確認と承認・
顧客からの入金の確認と記帳
【発注・出金・買掛金管理プロセス】・ ERPシステム(統合基幹業務システム)へのインボイス入力・
PO(注文書)の変更処理およびERPシステムの更新・ インボイスと対応するPO(注文書)・領収書の照合
【決算・財務報告プロセス】・ 仕訳入力の確認・ 低リスク勘定の照合確認・
財務情報の生成と連結財務諸表用テンプレートへの反映
2 “The Robots Are Coming — Driving Efficiencies in Contracting,”
Deloitte Financial Services White Paper (2015)参照
Transaction Processing
Accounts Receivable
Maintain Customer Master Data
Manage Customer Credit Exposure
Process Invoices
Process Payments
Manage Collections
Period-End Processing & Reporting
Accounts Payable
Maintain Supplier Master Data
Process Invoice
Perform Payments
Period-End Processing & Reporting
Payroll
Maintain Employee Master Data
Manage Payroll
Authorize & Process Payments
Cash Management
Perform Banking & Cash Mgmt. Activities
Manage Foreign Exchange
General Accounting
Maintain General Ledger Master Data
Perform Journals
Process Intercompany Transactions
Inventory Accounting
Perform InventoryAccounting
Transfer Pricing
Period-End Processing & Reporting
T&E Processing
Receive & Compile Reimbursement Request
Audit & Document Expense Reports
Authorize & ProcessPayments
Project Accounting
Perform Project Accounting
Tax Accounting
Perform Tax Accounting
Fixed Asset Accounting
Perform Fixed Asset Accounting
Period-End Processing & Reporting
Close, Consolidate, & Report
Close the Books
Perform Closing
Legal & Ext. Reporting
Perform Legal and External Reporting to Regulatory Bodies
Mgmt. Reporting
Perform Mgmt. Reporting to Internal Stakeholders
Consolidation
Perform Consolidation
Low HighMediumRPA
2
サステナビリティと取締役会2018年、取締役が認識すべき事柄は何か
-
図1. RPAが出来ること
図2. RPAのメリット
Cost Reduction
Quality
Talent
Scalability24/7 Operations
Decision Making
Internal Control
Reduce turn-around time
Reduce cost through automating activities and requiring fewer
full-time equivalents
Increase quality by avoiding human error
Boost employee engagement by shifting personnel to more
interesting tasks
Increased capacity without long build-up phase
Nonstop performance
Improve executive decision making
Reduce potential for unintentional or intentional human
error
Accounting & Finance54%Human
Resources8%
IT6%
Internal Audit2%
Tax5%
Operational25%
RPAは他の自動化技術と比べて低コストで導入でき、財務上・非財務上の様々なメリットを業務にもたらすことになります。RPAのメリットの概要は図2の通りです。
Read/write to DB’s Follow decision rules
Open, read, and create emails
Log into enterprise apps
Move files & folders
Copy/paste
Fill in forms
Pull data from the Web
Make calculations
Extract data from documents
Collect statistics
Obtain human input via email/workflow
企業におけるRPAの活用
デロイトが2017年に実施したRPA調査の結果、市場トレンドとして、今後5年間を通して世界中でRPAの導入が進むことが予想されています。また、RPA導入における平均支出額に関する調査では、試験的な導入費として150万ドル(約1億7,000万円1)、本格的な導入費として300万ドル(約3億4,000万円)を各企業が支出していることが判明しています。これらの調査からも分かるように、各企業は業務自動化への投資をこれまでにないレベルで進めています。更に、各企業はRPAの新たな活用方法も継続的に模索しています。では、実際に自動化技術はどの分野で最も利用されているのでしょうか。
RPA Benefits
Speed Increase
1 1ドル113円で換算。
デロイト ロボティクス・コグニティブ
オートメーションデリバリーセンターの調査によると、デロイトのクライアントの間では、財務・会計分野が効果的なRPA導入先として挙げられており、また最もRPAの導入が進んでいる業務分野であることも判明しています。特に以下のような業務において自動化が進められています。
・ 高レベルの精度・整合性が求められる処理・ 反復的で、マニュアルなトランザクション処理・ 多様なシステムからの情報収集・
定型的なデータ入力・データ操作・レポート作成
以上のように、管理部門の財務・会計分野についてはその相当数が自動化できる可能性があります。2一例として下図では、財務・会計分野の特定のプロセスにおける自動化の可能性について、「高・中・低」の度合いで示しています。
一般的に、以下のような財務・会計分野におけるプロセスが各社において自動化されています。
【受注・入金・売掛金管理プロセス】・ 顧客マスターデータの作成と更新・ 顧客の与信限度額に照らした注文の確認と承認・
顧客からの入金の確認と記帳
【発注・出金・買掛金管理プロセス】・ ERPシステム(統合基幹業務システム)へのインボイス入力・
PO(注文書)の変更処理およびERPシステムの更新・ インボイスと対応するPO(注文書)・領収書の照合
【決算・財務報告プロセス】・ 仕訳入力の確認・ 低リスク勘定の照合確認・
財務情報の生成と連結財務諸表用テンプレートへの反映
2 “The Robots Are Coming — Driving Efficiencies in Contracting,”
Deloitte Financial Services White Paper (2015)参照
Transaction Processing
Accounts Receivable
Maintain Customer Master Data
Manage Customer Credit Exposure
Process Invoices
Process Payments
Manage Collections
Period-End Processing & Reporting
Accounts Payable
Maintain Supplier Master Data
Process Invoice
Perform Payments
Period-End Processing & Reporting
Payroll
Maintain Employee Master Data
Manage Payroll
Authorize & Process Payments
Cash Management
Perform Banking & Cash Mgmt. Activities
Manage Foreign Exchange
General Accounting
Maintain General Ledger Master Data
Perform Journals
Process Intercompany Transactions
Inventory Accounting
Perform InventoryAccounting
Transfer Pricing
Period-End Processing & Reporting
T&E Processing
Receive & Compile Reimbursement Request
Audit & Document Expense Reports
Authorize & ProcessPayments
Project Accounting
Perform Project Accounting
Tax Accounting
Perform Tax Accounting
Fixed Asset Accounting
Perform Fixed Asset Accounting
Period-End Processing & Reporting
Close, Consolidate, & Report
Close the Books
Perform Closing
Legal & Ext. Reporting
Perform Legal and External Reporting to Regulatory Bodies
Mgmt. Reporting
Perform Mgmt. Reporting to Internal Stakeholders
Consolidation
Perform Consolidation
Low HighMediumRPA
3
サステナビリティと取締役会2018年、取締役が認識すべき事柄は何か
-
RPA導入における財務報告リスクと内部統制の検討事項
業績を上げている企業は、業務の効率化に継続的に取り組んでいます。ここ20年ほどは、幅広い業務を海外に移転することで、安い労働力を確保しコスト削減を図ることが一つのトレンドでした。現在では、企業各社が人的資本活用モデルにさらなるディスラプション(創造的破壊)をもたらすべく、財務・会計に類する業務(例えば、勘定照合、インボイス処理、再計算、ソースデータ照合、基準値適用等の特定業務)を自動化する傾向にあります。つまり、より低コストで優れた効率性と信頼性を有するRPAによって、これまで人が行っていた特定の業務が代替又は強化されつつあるといえます。
RPA導入のメリットとして、意図的・非意図的なヒューマンエラーの減少が挙げられます。一方、RPA導入には新たなリスクが伴うことから、リスクを把握し適切に対処することが導入企業には求められています。RPAの急速な導入に伴う具体的なリスクとしては、財務報告に係る内部統制(ICFR)、特にIT内部統制に及ぼす影響の検討を組織が怠ることが挙げられます。このような新たなリスクを適切に評価・特定し、管理しなかった場合、自動化の効果が損なわれたり、限定されたりする可能性があります。また、外部のシステム、ウェブサイト、およびコラボレーションツールが関わる場合、RPA導入に伴うリスクはさらに増加する傾向があります。
オペレーションの自動化における恩恵を十分に享受するためにも、企業各社はRPAが及ぼす様々な領域への影響とリスクを考慮する必要があります。
RPAが影響を及ぼすこれらのリスクから生じる問題は、財務上の損失を招く恐れがあります。例えば、誤ったプロセスを不適切に実行したり自動化したりすること(すなわち、オペレーショナルリスク)は、即座に組織に損失をもたらす可能性があります。サイバーセキュリティプログラムの完全性やデータプライバシー規則への準拠に影響を及ぼす自動化に関するエラーは、企業に損失を負わせるだけでなく、市場でのレピュテーションの低下ということにもつながりかねません。そのため企業にとっては、RPAの導入に伴う変化が企業のリスク評価
(特にIT関連リスク)にどのように影響するか、既存の基準・プロセス・体制(すなわち、統制環境)の是正が必要か否かを評価することが極めて重要となります。RPAの導入を図る際には、可能であれば既存の統制環境を活用すると共に、ガバナンスモデルが変化に適切に対応できないと思われる領域に対して何らかの対策を練ることも重要です。また、企業各社は、RPAのライフサイクルの各フェーズ(立案、開発、導入、モニタリング)において、内部統制の検討を行うことが求められています。
Technology• Changes to the IT platform will now impact a new,
critical element of the workforce.• Anomalous bot activity may
severely impact the functions of existing IT systems.• Powerful
algorithms can negatively impact other critical IT
infrastructure.
12
34
5
Organizational• The replacement or repurposing of full-time
equivalents may negatively impact employee morale.• Misalignment
across groups may lead to gaps in roles and
accountability.• Algorithms without proper controls may induce
significant reputational risk.• Communication and coordination may
be necessary among the management team and with
vendors and customers to ensure bot activity does not create the
impression of cyber events or other issues that might create
operational or brand/reputation concerns.
Regulatory• Bot-related errors can impact validity and accuracy
of regulatory reporting processes.• Inadvertent violations of laws
by bots and algorithms.• Lack of clear guidance from regulatory
bodies regarding leading standards for
automation and algorithm design.Financial• Improper
implementation or automation of processes can result in financial
losses to the organization.• Bot-related errors can have negative
impact to the integrity of internal and external financial
reports.• Poorly designed algorithms may make costly mistakes
(e.g., trading errors) or incur other financial costs.
Operational• A single bot may be equivalent to multiple
full-time equivalents, resulting in concentration of operational
risk.• The effects of processing errors can be magnified by
high-paced bots and algorithms.• Failure to create nimble oversight
and control mechanisms may lead to operational inefficiency when
bots or algorithms require changes.
Areas of Key Risks
全社統制
RPAは組織の日常業務、内部統制の一部分、もしくはその両方を大きく変える可能性があります。米国証券取引委員会(SEC)および米国公開会社会計監視委員会(PCAOB)の最新動向をテーマとした2017年度米国公認会計士協会(AICPA)全国会議にて、SEC主任会計士室の専門家たちは、ロボティクスやその他新技術の導入が進む変動期に特に効果的なICFR(Internal
Controls over Financial
Reporting)を維持する取り組みの一環として、COSO内部統制フレームワークの原則93を考慮することが重要であると強調しています。原則9を考慮することは、全社的なRPA管理体制への円滑な移行を確実にする適切なガバナンスフレームワークの確立等、企業がRPAの導入に向けた準備をする上で役立つことになります。効果的なガバナンスモデルによって、RPAの戦略立案から、その機能やアウトプットの設計・検証、導入、事後的な効果のモニタリングに至るRPAのライフサイクルを通して、企業の説明責任が確立されます。そのためには、プロジェクトを支持し、リードするための適切な能力と権限を有するスポンサーを特定することが重要ですし、ガバナンス担当者は、以下概要を含むRPA憲章を作成することが推奨されます。
・ 運営モデルのタイプ(分散型、集中型、連合型)
・ RPAの開発・導入に係る基準および方針(成功度測定基準や主要性能指標等)
・経営陣、RPA導入を監督する担当者(管理者)を含む事業主、および内部監査部門が、RPA導入による企業のリスク評価に与える影響について十分に理解し、自動化やモニタリングに必要となる新たな統制や統制の変更を見極めることを支援する教育・研究プログラム
各企業にとって最適な運営モデルの選択にあたっては、RPA機能の成熟度、リソースの可用性、基礎となるITインフラの設計、組織全体のRPAニーズに共通する特長等、複数の要素を考慮することになります。RPA機能を成熟させようとしている企業には、集中型や連合型、またはその2つを組み合わせたハイブリッド型が推奨される一方で、包括的なRPA導入経験を持つ企業は、各事業セグメントにより高い自律性を認める分散型のガバナンスモデルを導入することができるかもしれません。これらの要素が運営モデル(分散型・連合型・集中型)の選択に及ぼすと予想される影響について、次表にまとめました。
3 トレッドウェイ委員会支援組織委員会(Committee of Sponsoring Organizations of the
Treadway
Commission:COSO)の内部統制の統合的フレームワーク、原則9「組織体は、内部統制システムに重大な影響を与え得る変化を識別し評価する」
6. Detect and report‘Bots’ should be configured to detect and
report errors, and raise exceptions to ‘bot’ managers to be
addressed in near-real-time.
5. Manage a changing environmentExisting change management
models should be extended to account for the existence of bots, and
to track the impacts of internal or external changes which could
affect the ‘bot’ environment.
7. Monitor and escalate Compliance processes should be equipped
with tools and transparency to oversee and control operational
risks through monitoring of bots’ audit-trail records.
1. Establish Governance Framework• Ownership and responsibility
for running and maintaining bots should be defined. • Organization
should establish a policy to define parameters around where
robotics can and
cannot be applied within the organization.• The organization
should train and appoint ‘bot managers’ to oversee the work
being
conducted by ‘bots’, to monitor the output the bots produce.
3. Leverage existing controlsBusinesses should review the
adequacy of existing controls, and—to the extent possible—leverage
and enhance existing controls in the robotics environment
4. User accessAccess management for Bots should be defined by
system, services, applications and user accounts
2. Select tool and develop automation
coding/configurationBusinesses may select RPA tools and develop
rules-based systems that mimic human behavior to automate parts of
repeatable processes (e.g., Control Checks, Regulatory
Reporting).
Development
Implementation
Monitoring
Risk-Controlled Robotics
Environment
4
サステナビリティと取締役会2018年、取締役が認識すべき事柄は何か
-
RPA導入における財務報告リスクと内部統制の検討事項
業績を上げている企業は、業務の効率化に継続的に取り組んでいます。ここ20年ほどは、幅広い業務を海外に移転することで、安い労働力を確保しコスト削減を図ることが一つのトレンドでした。現在では、企業各社が人的資本活用モデルにさらなるディスラプション(創造的破壊)をもたらすべく、財務・会計に類する業務(例えば、勘定照合、インボイス処理、再計算、ソースデータ照合、基準値適用等の特定業務)を自動化する傾向にあります。つまり、より低コストで優れた効率性と信頼性を有するRPAによって、これまで人が行っていた特定の業務が代替又は強化されつつあるといえます。
RPA導入のメリットとして、意図的・非意図的なヒューマンエラーの減少が挙げられます。一方、RPA導入には新たなリスクが伴うことから、リスクを把握し適切に対処することが導入企業には求められています。RPAの急速な導入に伴う具体的なリスクとしては、財務報告に係る内部統制(ICFR)、特にIT内部統制に及ぼす影響の検討を組織が怠ることが挙げられます。このような新たなリスクを適切に評価・特定し、管理しなかった場合、自動化の効果が損なわれたり、限定されたりする可能性があります。また、外部のシステム、ウェブサイト、およびコラボレーションツールが関わる場合、RPA導入に伴うリスクはさらに増加する傾向があります。
オペレーションの自動化における恩恵を十分に享受するためにも、企業各社はRPAが及ぼす様々な領域への影響とリスクを考慮する必要があります。
RPAが影響を及ぼすこれらのリスクから生じる問題は、財務上の損失を招く恐れがあります。例えば、誤ったプロセスを不適切に実行したり自動化したりすること(すなわち、オペレーショナルリスク)は、即座に組織に損失をもたらす可能性があります。サイバーセキュリティプログラムの完全性やデータプライバシー規則への準拠に影響を及ぼす自動化に関するエラーは、企業に損失を負わせるだけでなく、市場でのレピュテーションの低下ということにもつながりかねません。そのため企業にとっては、RPAの導入に伴う変化が企業のリスク評価
(特にIT関連リスク)にどのように影響するか、既存の基準・プロセス・体制(すなわち、統制環境)の是正が必要か否かを評価することが極めて重要となります。RPAの導入を図る際には、可能であれば既存の統制環境を活用すると共に、ガバナンスモデルが変化に適切に対応できないと思われる領域に対して何らかの対策を練ることも重要です。また、企業各社は、RPAのライフサイクルの各フェーズ(立案、開発、導入、モニタリング)において、内部統制の検討を行うことが求められています。
Technology• Changes to the IT platform will now impact a new,
critical element of the workforce.• Anomalous bot activity may
severely impact the functions of existing IT systems.• Powerful
algorithms can negatively impact other critical IT
infrastructure.
12
34
5
Organizational• The replacement or repurposing of full-time
equivalents may negatively impact employee morale.• Misalignment
across groups may lead to gaps in roles and
accountability.• Algorithms without proper controls may induce
significant reputational risk.• Communication and coordination may
be necessary among the management team and with
vendors and customers to ensure bot activity does not create the
impression of cyber events or other issues that might create
operational or brand/reputation concerns.
Regulatory• Bot-related errors can impact validity and accuracy
of regulatory reporting processes.• Inadvertent violations of laws
by bots and algorithms.• Lack of clear guidance from regulatory
bodies regarding leading standards for
automation and algorithm design.Financial• Improper
implementation or automation of processes can result in financial
losses to the organization.• Bot-related errors can have negative
impact to the integrity of internal and external financial
reports.• Poorly designed algorithms may make costly mistakes
(e.g., trading errors) or incur other financial costs.
Operational• A single bot may be equivalent to multiple
full-time equivalents, resulting in concentration of operational
risk.• The effects of processing errors can be magnified by
high-paced bots and algorithms.• Failure to create nimble oversight
and control mechanisms may lead to operational inefficiency when
bots or algorithms require changes.
Areas of Key Risks
全社統制
RPAは組織の日常業務、内部統制の一部分、もしくはその両方を大きく変える可能性があります。米国証券取引委員会(SEC)および米国公開会社会計監視委員会(PCAOB)の最新動向をテーマとした2017年度米国公認会計士協会(AICPA)全国会議にて、SEC主任会計士室の専門家たちは、ロボティクスやその他新技術の導入が進む変動期に特に効果的なICFR(Internal
Controls over Financial
Reporting)を維持する取り組みの一環として、COSO内部統制フレームワークの原則93を考慮することが重要であると強調しています。原則9を考慮することは、全社的なRPA管理体制への円滑な移行を確実にする適切なガバナンスフレームワークの確立等、企業がRPAの導入に向けた準備をする上で役立つことになります。効果的なガバナンスモデルによって、RPAの戦略立案から、その機能やアウトプットの設計・検証、導入、事後的な効果のモニタリングに至るRPAのライフサイクルを通して、企業の説明責任が確立されます。そのためには、プロジェクトを支持し、リードするための適切な能力と権限を有するスポンサーを特定することが重要ですし、ガバナンス担当者は、以下概要を含むRPA憲章を作成することが推奨されます。
・ 運営モデルのタイプ(分散型、集中型、連合型)
・ RPAの開発・導入に係る基準および方針(成功度測定基準や主要性能指標等)
・経営陣、RPA導入を監督する担当者(管理者)を含む事業主、および内部監査部門が、RPA導入による企業のリスク評価に与える影響について十分に理解し、自動化やモニタリングに必要となる新たな統制や統制の変更を見極めることを支援する教育・研究プログラム
各企業にとって最適な運営モデルの選択にあたっては、RPA機能の成熟度、リソースの可用性、基礎となるITインフラの設計、組織全体のRPAニーズに共通する特長等、複数の要素を考慮することになります。RPA機能を成熟させようとしている企業には、集中型や連合型、またはその2つを組み合わせたハイブリッド型が推奨される一方で、包括的なRPA導入経験を持つ企業は、各事業セグメントにより高い自律性を認める分散型のガバナンスモデルを導入することができるかもしれません。これらの要素が運営モデル(分散型・連合型・集中型)の選択に及ぼすと予想される影響について、次表にまとめました。
3 トレッドウェイ委員会支援組織委員会(Committee of Sponsoring Organizations of the
Treadway
Commission:COSO)の内部統制の統合的フレームワーク、原則9「組織体は、内部統制システムに重大な影響を与え得る変化を識別し評価する」
6. Detect and report‘Bots’ should be configured to detect and
report errors, and raise exceptions to ‘bot’ managers to be
addressed in near-real-time.
5. Manage a changing environmentExisting change management
models should be extended to account for the existence of bots, and
to track the impacts of internal or external changes which could
affect the ‘bot’ environment.
7. Monitor and escalate Compliance processes should be equipped
with tools and transparency to oversee and control operational
risks through monitoring of bots’ audit-trail records.
1. Establish Governance Framework• Ownership and responsibility
for running and maintaining bots should be defined. • Organization
should establish a policy to define parameters around where
robotics can and
cannot be applied within the organization.• The organization
should train and appoint ‘bot managers’ to oversee the work
being
conducted by ‘bots’, to monitor the output the bots produce.
3. Leverage existing controlsBusinesses should review the
adequacy of existing controls, and—to the extent possible—leverage
and enhance existing controls in the robotics environment
4. User accessAccess management for Bots should be defined by
system, services, applications and user accounts
2. Select tool and develop automation
coding/configurationBusinesses may select RPA tools and develop
rules-based systems that mimic human behavior to automate parts of
repeatable processes (e.g., Control Checks, Regulatory
Reporting).
Development
Implementation
Monitoring
Risk-Controlled Robotics
Environment
5
サステナビリティと取締役会2018年、取締役が認識すべき事柄は何か
-
開発フェーズ
自動化ツールを利用し望ましい結果を達成するには、定められたプロセス選定基準や開発標準に準拠することが欠かせません。RPAの本番導入後、ソフトウェアの設計が非効率であったり、整備された自動化機能が継続的に目的を達成できなかったりといったリスクを軽減するためには、自動化に伴う内部統制が必要となります。このような状況では、ビジネスサイクルをサポートする自動化された内部統制を整備するための財務報告プロセスにおけるRPAテクノロジを類推して使用することが役立ちます。自動化された内部統制の整備状況の検証には、自動化の裏にあるコードや環境設定(該当する場合)といった基盤となる内容が含まれており、企業の定めるビジネスロジック(例外事象の特定・報告に関する方針を含む)に従って整備されていることが確認されます。RPAはエラーの検出・報告および例外事象のRPA管理者への通知が、即時に実施されるように設定されていなければなりません。RPA開発が最終段階となり、ベースラインの作成が完了すれば、IT全般統制はRPAが設計通りに継続して動作することを保証します。
導入フェーズ
導入段階において、企業は自社のITリスク評価にRPA導入が及ぼす影響を改めて考慮する必要があります。RPAの利用に伴い、RPA関連業務に設定されるアクセス権の適切なセキュリティ管理や、設計通りの動作が行われていることを継続的に担保するための技術的な変更に関する監視・監督に関連して、新たなリスクが生じます。そのため、自動化技術を支えるために整備されたITインフラの要素(データベース、オペレーティングシステム、ネットワーク等)と、以下の統制を含むそれらの要素に係るIT全般統制を包括的に理解することが重要となります。
1. アクセスセキュリティ管理:コアシステムがRPAと相互連携するために必要となるユーザーの役割やシステム、データアクセスを理解することにより、データ処理ルールやデータソースへの権限のないユーザーによるアクセスを防止することができます。このような不正アクセスは、機密データへのアクセスや、RPAの行う自動化タスクの操作等に悪用される可能性があるため、事前に防止することが重要となります。具体的な対策としては、職務に応じたアクセス権限の設定を行うことで、組織はアクセス制限やユーザー認証を行うことができ、ユーザーの間で自動化関連の職務内容を分離させることができます。また、RPAの開発や動作の操作といった職務は、ユーザーの社内でのポジションを基に割り当てられます。一般的に、ユーザーのアクセス管理は、①定期的なユーザーアクセス権の棚卸、②ユーザーIDの認証管理により行われます。
2. システム変更管理:社内に既に存在しているソフトウェア開発における変更管理プログラムに従うことを推奨しています。変更管理の手順は、修正中のアプリケーションを使用しているRPAに関しても、同様に考慮されるものでなければなりません。また、変更管理プログラムには、RPAに直接変更を加えるプロセスも含まれています。
3. データセンターとネットワーク管理:ITインフラにおいて処理・保存・伝達される情報の完全性を確保することは、RPAに係る効果的なICFRを維持する上で不可欠です。また、RPAがデータをクラウドに保存する場合、企業各社は第三者が保持するデータ(受託企業やクラウドベンダーが保持するデータ)のプライバシーに関するリスクを評価する必要があります。
モニタリングフェーズ
RPAの効果をモニタリングする仕組みを整備することは、企業にとってこのような変更を統制・維持する上で欠かせません。また、効果的な監視・モニタリングプログラムは、ICFRの基盤を支えることになり、RPAの効果を評価する経営陣にとって重要であり、更に2002年に制定されたサーベンス・オクスリー法404条を順守する能力を高めることにもなります。そのため、企業各社は以下の統制活動を含む多階層のモニタリングアプローチを検討することが考えられます。
・ 自動化要素を網羅する監査・コンプライアンスプロトコルの作成・ 自動化タスクが正しく完了したことを確認するマニュアル統制の実施・ RPAプラットフォームの監査ログのレビューと、RPAが実施した各アクションの有効性と適切性の確認。また、これに伴い発見されたRPAのエラーや悪質なコードから生じた問題の追跡・是正
・ 自動化アルゴリズムの年次レビュー(すなわち、ベースラインの再設定)の実施、事業目標との整合性の確認
・ 内外の監査組織に対する定期的なフィードバックの要請・ 規制条件を満たすための包括的なコンプライアンスチェックリストの保持
今後時間の経過と共に自社のRPA機能が成熟し、長期間にわたりRPAの効果を維持できるようになれば、企業各社はモニタリング活動の数を減らすことを検討できるかもしれません。例えば、経営陣がRPAプログラムの全体的な効果に関してより自信を持てるようになれば、企業はマニュアルでの統制活動を廃止し、自動化統制のみに頼る決断をすることも考えられます。
外部監査に向けた準備
経営陣による会社のICFRの年次評価に加えて、外部監査の要件にも留意することが大切です。外部監査の要件を満たすためには、RPAの開発から運用に至るまでの過程で、監査人と積極的にコミュニケーションを取る必要があります。リスク評価と関連する統制の特定に関して準備担当者と監査人の間で意見調整をしやすくするためには、ICFRがもたらす影響や最新情報について意見交換するための定期的なディスカッションを実施することが推奨されます。それにより、監査プロセスが合理化され、RPAの効果に対する監査人の信頼を得ることができることになります。外部監査への準備を進める際に、その他考慮すべき点は以下の通りです。
1. 内部コンプライアンス担当(例えば、内部監査部門、ITコンプライアンス部門)は、RPAの最新リストを保持し、必要があれば、プロセスや統制の修正がRPAの設計に反映されていることを確認するためのプロトコルを定める必要があります。
2. 会計手順、プロセスフロー図、および内部統制文書には、財務・会計組織内でRPAがどこでどのように使用されているかを明記する必要があります。
3. RPAの整備・運用を強固に統制していれば、企業はインプットやアウトプットの管理を怠っても良いというわけではありません。適切な統制フレームワークには、ソースデータ、RPAのアウトプット、例外対応や意思決定等の人による介入を要する点など、業務処理のサイクル全体の統制が含まれるべきです。これは、RPAが財務報告に直接影響を与える場合には特に重要です。
4. RPAには、財務報告の周辺プロセスにのみ使用されるものもあれば、会計報告書や財務諸表のレビュー活動に直接影響するものもあります。監査人は、財務諸表に最も関連の深いものに対して重点的に対応できるよう、財務・会計組織が採用しているRPAの性質や影響を把握する必要があります。
Business Area 1
Business Area 2
Business Area 3
Business Area 4
Business Area 1
Business Area 2
Business Area 3
Business Area 4
Business Area 1
Business Area 2
Business Area 3
Business Area 4
Federated
Business areas with significant bot demand manage their own
opportunity assessment, build test & deploy, and Operations,
while others with less demand, or complex automation needs, work
with the RPA Control Center.
Decentralized
Business process areas own and manage the entirety of the
process for Governance, opportunity assessment, build, test &
deploy, and operate with ad-hoc coordination between process
owners
Centralized RPA COEGovernance
Intake
IntakeBuild
Operate
IntakeBuild
Operate
IntakeBuild
Operate
Gov.
IntakeBuild
Operate
Gov.
IntakeBuild
Operate
Gov.
IntakeBuild
Operate
• RPA is a mature capability in one or more Business Areas
• Some Business Areas have resources with the requisite RPA
skill set
• Some Business Areas have RPA tool needs that are not
applicable to others
• Business Area platforms and technologies are siloed
• RPA is a mature capability across many Business Areas
• Many Business Areas have resources with the requisite RPA
skill set
• RPA capabilities and tool needs are business specific with
limited overlap
• Business Area platforms and technologies are siloed
BuildOperate
Factors Influencing the Selection
Centralized
RPA Control Center owns and manages the entire process for
automation, build, test & deploy, and operate for all business
areas, with coordination with business area process owners
• RPA capabilities are not mature across Business Areas
• Availability of resources with requisite RPA skill sets is
limited
• Proliferation of RPA capabilities and tools across Business
Areas is limited
• Platforms and systems across Business Areas are common
GovernanceIntakeBuild
Operate
Centralized RPA COE
6
サステナビリティと取締役会2018年、取締役が認識すべき事柄は何か
-
開発フェーズ
自動化ツールを利用し望ましい結果を達成するには、定められたプロセス選定基準や開発標準に準拠することが欠かせません。RPAの本番導入後、ソフトウェアの設計が非効率であったり、整備された自動化機能が継続的に目的を達成できなかったりといったリスクを軽減するためには、自動化に伴う内部統制が必要となります。このような状況では、ビジネスサイクルをサポートする自動化された内部統制を整備するための財務報告プロセスにおけるRPAテクノロジを類推して使用することが役立ちます。自動化された内部統制の整備状況の検証には、自動化の裏にあるコードや環境設定(該当する場合)といった基盤となる内容が含まれており、企業の定めるビジネスロジック(例外事象の特定・報告に関する方針を含む)に従って整備されていることが確認されます。RPAはエラーの検出・報告および例外事象のRPA管理者への通知が、即時に実施されるように設定されていなければなりません。RPA開発が最終段階となり、ベースラインの作成が完了すれば、IT全般統制はRPAが設計通りに継続して動作することを保証します。
導入フェーズ
導入段階において、企業は自社のITリスク評価にRPA導入が及ぼす影響を改めて考慮する必要があります。RPAの利用に伴い、RPA関連業務に設定されるアクセス権の適切なセキュリティ管理や、設計通りの動作が行われていることを継続的に担保するための技術的な変更に関する監視・監督に関連して、新たなリスクが生じます。そのため、自動化技術を支えるために整備されたITインフラの要素(データベース、オペレーティングシステム、ネットワーク等)と、以下の統制を含むそれらの要素に係るIT全般統制を包括的に理解することが重要となります。
1. アクセスセキュリティ管理:コアシステムがRPAと相互連携するために必要となるユーザーの役割やシステム、データアクセスを理解することにより、データ処理ルールやデータソースへの権限のないユーザーによるアクセスを防止することができます。このような不正アクセスは、機密データへのアクセスや、RPAの行う自動化タスクの操作等に悪用される可能性があるため、事前に防止することが重要となります。具体的な対策としては、職務に応じたアクセス権限の設定を行うことで、組織はアクセス制限やユーザー認証を行うことができ、ユーザーの間で自動化関連の職務内容を分離させることができます。また、RPAの開発や動作の操作といった職務は、ユーザーの社内でのポジションを基に割り当てられます。一般的に、ユーザーのアクセス管理は、①定期的なユーザーアクセス権の棚卸、②ユーザーIDの認証管理により行われます。
2. システム変更管理:社内に既に存在しているソフトウェア開発における変更管理プログラムに従うことを推奨しています。変更管理の手順は、修正中のアプリケーションを使用しているRPAに関しても、同様に考慮されるものでなければなりません。また、変更管理プログラムには、RPAに直接変更を加えるプロセスも含まれています。
3. データセンターとネットワーク管理:ITインフラにおいて処理・保存・伝達される情報の完全性を確保することは、RPAに係る効果的なICFRを維持する上で不可欠です。また、RPAがデータをクラウドに保存する場合、企業各社は第三者が保持するデータ(受託企業やクラウドベンダーが保持するデータ)のプライバシーに関するリスクを評価する必要があります。
モニタリングフェーズ
RPAの効果をモニタリングする仕組みを整備することは、企業にとってこのような変更を統制・維持する上で欠かせません。また、効果的な監視・モニタリングプログラムは、ICFRの基盤を支えることになり、RPAの効果を評価する経営陣にとって重要であり、更に2002年に制定されたサーベンス・オクスリー法404条を順守する能力を高めることにもなります。そのため、企業各社は以下の統制活動を含む多階層のモニタリングアプローチを検討することが考えられます。
・ 自動化要素を網羅する監査・コンプライアンスプロトコルの作成・ 自動化タスクが正しく完了したことを確認するマニュアル統制の実施・ RPAプラットフォームの監査ログのレビューと、RPAが実施した各アクションの有効性と適切性の確認。また、これに伴い発見されたRPAのエラーや悪質なコードから生じた問題の追跡・是正
・ 自動化アルゴリズムの年次レビュー(すなわち、ベースラインの再設定)の実施、事業目標との整合性の確認
・ 内外の監査組織に対する定期的なフィードバックの要請・ 規制条件を満たすための包括的なコンプライアンスチェックリストの保持
今後時間の経過と共に自社のRPA機能が成熟し、長期間にわたりRPAの効果を維持できるようになれば、企業各社はモニタリング活動の数を減らすことを検討できるかもしれません。例えば、経営陣がRPAプログラムの全体的な効果に関してより自信を持てるようになれば、企業はマニュアルでの統制活動を廃止し、自動化統制のみに頼る決断をすることも考えられます。
外部監査に向けた準備
経営陣による会社のICFRの年次評価に加えて、外部監査の要件にも留意することが大切です。外部監査の要件を満たすためには、RPAの開発から運用に至るまでの過程で、監査人と積極的にコミュニケーションを取る必要があります。リスク評価と関連する統制の特定に関して準備担当者と監査人の間で意見調整をしやすくするためには、ICFRがもたらす影響や最新情報について意見交換するための定期的なディスカッションを実施することが推奨されます。それにより、監査プロセスが合理化され、RPAの効果に対する監査人の信頼を得ることができることになります。外部監査への準備を進める際に、その他考慮すべき点は以下の通りです。
1. 内部コンプライアンス担当(例えば、内部監査部門、ITコンプライアンス部門)は、RPAの最新リストを保持し、必要があれば、プロセスや統制の修正がRPAの設計に反映されていることを確認するためのプロトコルを定める必要があります。
2. 会計手順、プロセスフロー図、および内部統制文書には、財務・会計組織内でRPAがどこでどのように使用されているかを明記する必要があります。
3. RPAの整備・運用を強固に統制していれば、企業はインプットやアウトプットの管理を怠っても良いというわけではありません。適切な統制フレームワークには、ソースデータ、RPAのアウトプット、例外対応や意思決定等の人による介入を要する点など、業務処理のサイクル全体の統制が含まれるべきです。これは、RPAが財務報告に直接影響を与える場合には特に重要です。
4. RPAには、財務報告の周辺プロセスにのみ使用されるものもあれば、会計報告書や財務諸表のレビュー活動に直接影響するものもあります。監査人は、財務諸表に最も関連の深いものに対して重点的に対応できるよう、財務・会計組織が採用しているRPAの性質や影響を把握する必要があります。
Business Area 1
Business Area 2
Business Area 3
Business Area 4
Business Area 1
Business Area 2
Business Area 3
Business Area 4
Business Area 1
Business Area 2
Business Area 3
Business Area 4
Federated
Business areas with significant bot demand manage their own
opportunity assessment, build test & deploy, and Operations,
while others with less demand, or complex automation needs, work
with the RPA Control Center.
Decentralized
Business process areas own and manage the entirety of the
process for Governance, opportunity assessment, build, test &
deploy, and operate with ad-hoc coordination between process
owners
Centralized RPA COEGovernance
Intake
IntakeBuild
Operate
IntakeBuild
Operate
IntakeBuild
Operate
Gov.
IntakeBuild
Operate
Gov.
IntakeBuild
Operate
Gov.
IntakeBuild
Operate
• RPA is a mature capability in one or more Business Areas
• Some Business Areas have resources with the requisite RPA
skill set
• Some Business Areas have RPA tool needs that are not
applicable to others
• Business Area platforms and technologies are siloed
• RPA is a mature capability across many Business Areas
• Many Business Areas have resources with the requisite RPA
skill set
• RPA capabilities and tool needs are business specific with
limited overlap
• Business Area platforms and technologies are siloed
BuildOperate
Factors Influencing the Selection
Centralized
RPA Control Center owns and manages the entire process for
automation, build, test & deploy, and operate for all business
areas, with coordination with business area process owners
• RPA capabilities are not mature across Business Areas
• Availability of resources with requisite RPA skill sets is
limited
• Proliferation of RPA capabilities and tools across Business
Areas is limited
• Platforms and systems across Business Areas are common
GovernanceIntakeBuild
Operate
Centralized RPA COE
7
サステナビリティと取締役会2018年、取締役が認識すべき事柄は何か
-
財務・会計分野におけるRPAの活用と内部統制上の留意点
RPAがもたらす影響
企業は、ロボティック・プロセス・オートメーション(RPA)により様々な業務の自動化を急速に進めています。RPAは、人の業務を代替し自動的に作業するよう設計されたロボットを意味します。RPAは定型的な業務を代替することは可能ですが、コグニティブコンピューティングや機械学習等の人工知能(AI)とは異なり、自身でデータパターンから学習したり、判断したりすることはできません。しかし、RPAは、基礎となるITインフラを損なうことなくユーザーインターフェース層で自動的に処理を行い、既定のプロトコルや手順に正確に従い、コンプライアンスとコスト効率性を向上させます。すなわちRPAとは、これまでユーザーのセキュリティ設定に基づいて人が行っていたコンピューター上の業務を再現するように設計されたテクノロジーソリューションなのです。図1はRPAが対応可能な作業の一部を示しています。
Robotic Process Automation
課 題
・ RPAがもたらす影響
・企業におけるRPAの活用
・RPA導入における財務報告 リスクと内部統制の検討事項
・全社統制
・開発フェーズ
・導入フェーズ
・モニタリングフェーズ
・外部監査に向けた準備
・コンタクト
コンタクト
仁木 一彦有限責任監査法人トーマツリスクアドバイザリー事業本部パートナー[email protected]
大沼 靖秀デロイト トーマツ リスクサービス株式会社パートナー[email protected]
Member ofDeloitte Touche Tohmatsu Limited
© 2019. For information, contact Deloitte Touche Tohmatsu
LLC.
デロイト トーマツ グループは、日本におけるデロイト アジア パシフィック
リミテッドおよびデロイトネットワークのメンバーであるデロイト
トーマツ合同会社並びにそのグループ法人(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング合同会社、デロイト トーマツ
ファイナンシャルアドバイザリー合同会社、デロイト トーマツ税理士法人、DT弁護士法人およびデロイト トーマツ コーポレート
ソリューション合同会社を含む)の総称です。デロイト トーマツ
グループは、日本で最大級のビジネスプロフェッショナルグループのひとつであり、各法人がそれぞれの適用法令に従い、監査・保証業務、リスクアドバイザリー、コンサルティング、ファイナンシャルアドバイザリー、税務、法務等を提供しています。また、国内約40都市に1万名以上の専門家を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はデロイト
トーマツ グループWebサイト(www.deloitte.com/jp)をご覧ください。
Deloitte(デロイト)とは、デロイト トウシュ トーマツ
リミテッド(“DTTL”)ならびにそのグローバルネットワーク組織を構成するメンバーファームおよびそれらの提携法人のひとつまたは複数を指します。DTTL(または“Deloitte
Global”)および各メンバーファーム並びにそれらの関係法人はそれぞれ法的に独立した別個の組織体です。DTTLはクライアントへのサービス提供を行いません。詳細は
www.deloitte.com/jp/about をご覧ください。デロイト アジア パシフィック
リミテッドはDTTLのメンバーファームであり、保証有限責任会社です。デロイト アジア パシフィック
リミテッドのメンバーおよびそれらの提携法人は、オーストラリア、ブルネイ、カンボジア、東ティモール、ミクロネシア連邦、グアム、インドネシア、日本、ラオス、マレーシア、モンゴル、ミャンマー、ニュージーランド、パラオ、パプアニューギニア、シンガポール、タイ、マーシャル諸島、北マリアナ諸島、中国(香港およびマカオを含む)、フィリピンおよびベトナムでサービスを提供しており、これらの各国および地域における運営はそれぞれ法的に独立した別個の組織体により行われています。
Deloitte(デロイト)は、監査・保証業務、コンサルティング、ファイナンシャルアドバイザリー、リスクアドバイザリー、税務およびこれらに関連する第一級のサービスを全世界で行っています。150を超える国・地域のメンバーファームのネットワークを通じFortune
Global 500®の8割の企業に対してサービス提供をしています。“Making an impact that
matters”を自らの使命とするデロイトの約286,000名の専門家については、
(www.deloitte.com)をご覧ください。
本資料は皆様への情報提供として一般的な情報を掲載するのみであり、その性質上、特定の個人や事業体に具体的に適用される個別の事情に対応するものではありません。また、本資料の作成または発行後に、関連する制度その他の適用の前提となる状況について、変動を生じる可能性もあります。個別の事案に適用するためには、当該時点で有効とされる内容により結論等を異にする可能性があることをご留意いただき、本資料の記載のみに依拠して意思決定・行動をされることなく、適用に関する具体的事案をもとに適切な専門家にご相談ください。
