話題の「RPA」にはこんなリスクも――KPMGが指南する対策とは：Weekly Memo（2/2 ページ）

[松岡功，ITmedia]

RPAについてIT部門はどう対処すべきか

　KPGMコンサルティングでは、こうしたさまざまなリスクがあることを踏まえ、注意が必要なRPA導入領域として、「内部統制報告制度や米国SOX法404条の対象企業など」「個人情報や経営情報など、機密性・重要性が高い情報を扱う業務にRPAを導入する場合」「停止や遅延が許容されない業務にRPAを導入する場合」「（当初想定を超えて）大規模にRPAを導入する場合」といった4つを挙げており、それぞれのリスクを表1のように捉えている。

　そして、同社はこの4つの観点から、支援サービスとして次の4つの内容をさらに拡充していくという。

表1　4つのRPA要注意領域

　1つ目は「内部統制報告制度への対応」。RPAを対象として、有効性が高く、既存の枠組みとも整合した内部統制の整備と運用を支援する。システムの変更管理、職務分掌と各種アカウントの管理、バックアップと障害対応などを含む、財務報告の信頼性を確保するうえでの必須の取り組みだとしている。

　2つ目は「情報セキュリティ管理対策の実施・運用」。RPAの導入によって変化する情報の保有形態や方法に合わせて、安全かつ効果的に情報を活用していくための情報セキュリティ管理の体制とプロセスの見直しおよび再構築を支援する。

　3つ目は「業務継続管理の策定」。RPAの導入領域では、業務のやり方が変わるとともに、突然の災害やシステム障害からの業務復旧方法にも変化が生じる。そこでRPAの処理・データ環境、目標復旧時間などに基づいて、業務継続計画の策定から訓練、見直しまでをトータルに支援する。

　4つ目は「RPA管理フレームワークの構築」。RPAの大規模導入を場当たり的に進めてしまうと、RPAの運用環境や処理の安全性・信頼性を組織全体として同じ水準で維持していくことは困難。そこでRPAを全社的に有効活用するための基礎となる管理フレームワークの整備、運用を効果的に支援する。

　ちなみに、図3が同社におけるRPAリスク管理フレームワークである。RPAへの取り組み全体を俯瞰する意味で大いに参考になるだろう。

図3　KPMGコンサルティングにおけるRPAリスク管理フレームワーク

　今回の話で筆者が気になったのは、RPA導入・運用についてIT部門はどのように対処すべきなのか、だ。会見の質疑応答で聞いてみると、田中氏は次のように答えた。

　「まず特定の業務に対してRPAを導入するときは、その仕事内容を熟知している当該業務部門が主導すべきだ。一方で、横展開を含めた全社的なガバナンスの観点からIT部門もしっかりとサポートする必要がある。そして、全社の至るところでRPA導入ニーズが高まってくれば、IT部門は各業務部門と一緒に、全社組織の要として推進役を担うべきだろう」

　RPAについてはこのあたりの管理・運用体制も、企業として当初から明確にしておく必要がある。そして、それをリードするのは、ほかでもない経営トップであることを、筆者としては最も強調しておきたい。