【実務思考】【AU-R03-1-PM2-Q1】RPAツールを利用した業務処理の自動化に関する監査

🍀概要

　システム監査技術者試験 令和3年 午後2 問1について、AIを活用して、詳細分析した結果を示します。
　本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセスや問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問（AU-R03-1-PM2-Q1）

　出典：情報処理推進機構 システム監査技術者試験 令和3年 午後2 問1(🔗取り扱いガイドライン)

📘問題

■タイトル
　RPAツールを利用した業務処理の自動化に関する監査について
■内容
　近年，少子高齢化に伴う労働人口の減少，働き方のニーズの多様化などの課題に対して，企業などには働き方改革の推進が求められている。また，広域災害，感染症拡大などの状況下において，テレワークの活用も広がっている。
　このような中，RPAツール（以下，RPAという）を導入する事例が増えてきている。RPAを利用してソフトウェアロボット（以下，ロボットという）を開発することによって，これまでPC上で人手を介して行っていた一連の業務処理を自動化することができる。また，RPAには，自動化したい業務処理の操作を記録する機能のほか，標準的な部品なども用意されているので，ユーザ部門でもドラッグアンドドロップなどの比較的簡単な操作でロボットを開発することができるという特徴もある。
　一方で，ユーザ部門は，情報システムの開発，運用及び保守には必ずしも精通しているわけではない。したがって，ユーザ部門がRPAを導入してロボットを開発する場合，例えば，自動化の対象とする業務処理の選定を誤ったり，テストパターンが不足したりするなどのおそれがある。また，開発したロボットの運用管理，改変対応などの，運用及び保守体制・ルールなどが明確でないことから，ロボットが正しく稼働しなくなることもある。システム監査人は，このような状況を踏まえて，RPAを利用した業務処理の自動化において，ロボットの開発，運用及び保守に関わるリスクを低減するためのコントロールが適切に機能しているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

📗設問

■設問ア
　あなたが関係する組織において計画又は実施しているRPAを利用した業務処理の自動化において，その概要と期待される効果，ロボットを開発，運用及び保守するための体制を，800字以内で述べよ。
■設問イ
　設問アで述べた業務処理の自動化において，ロボットの開発，運用及び保守に関わるリスクを低減するためには，どのようなコントロールが必要か。リスクと関連付けて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたコントロールが適切に機能しているかどうかを確かめるための監査手続について，700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
　働き方改革の推進，テレワークの拡大などに伴い，RPA を利用した業務処理の自動化の事例が増えてきている。RPA には，ドラッグアンドドロップなどの比較的簡単な操作でソフトウェアロボット（以下，ロボットという）を開発できるという特徴があるので，ユーザ部門でも容易に導入することができる。
　一方で，ユーザ部門は，情報システムの開発，運用及び保守には必ずしも精通しているわけではない。したがって，ユーザ部門だけでロボットを開発し，運用及び保守するには，さまざまなリスクが生じる。
　本問では，システム監査人として，RPA を利用した業務処理の自動化において，ロボットの開発，運用及び保守に関わるリスクを低減するためのコントロールが適切に機能しているかどうかを確かめるための知識・能力などを問う。
■採点講評
　＜全問共通＞システム監査技術者試験では，問1 で監査手続の作成について，問2 でシステム監査計画の策定について，システム監査人としての知識と能力・見識を問うているが，問題文の趣旨と設問の内容を踏まえずに論述している解答が散見された。また，システム担当者の立場で論述している解答も目立った。システム監査人の立場から，どのようなリスクを想定し，コントロールの適切性などをどのように確かめればよいと考えるか，経験と考えに基づいて，具体的に論述するように心掛けてほしい。
　＜問1＞問1では，ユーザ部門がRPA を導入して業務処理を自動化する場合のリスクとコントロール及び監査手続を求めたが，システム部門やベンダ委託によるツール導入の一般的な開発，運用・保守の内容にとどまり，RPA の特徴を踏まえた論述になっていない解答が多かった。設問イでは，コントロールが具体的でなかったり，開発段階のリスクとコントロールだけを論述していたり，監査手続を論述していたりする解答が散見された。また，設問ウでは，監査手続が具体的でなかったり，監査の手順や実施結果，改善提案の論述であったりする解答が目立った。問題文の趣旨と設問の内容を踏まえて，論述してほしい。

🪄詳細分析(AI)

📝3行まとめ

1. 【背景】RPAは労働力不足や働き方改革への対応策として急速に普及し、業務効率化を実現する重要な手段となっています。
2. 【監査視点】システム監査では、ユーザ部門主体のロボット開発に伴う統制不在や品質リスク、保守体制の脆弱性を重点的に評価します。
3. 【行動・着眼点】監査人は、全社的なRPAガバナンス（CoE）やライフサイクル管理の有無を確認し、野良ロボット化防止や業務継続性への影響を具体的に検証すべきです。

🧭RPAツールを利用した業務処理の自動化に関する監査についての考察

1. 問題の背景と現状分析

• 現状の課題・問題点:
  • 労働人口の減少や働き方改革を背景に、PC上の定型的な手作業を自動化する「RPA（Robotic Process Automation）」の導入が急速に進んでいる。
  • RPAは、プログラミングの専門知識がなくても、比較的容易にソフトウェアロボット（以下、ロボット）を開発できるという特徴がある。
  • そのため、IT部門ではなく、業務をよく知る「ユーザ部門」が主導してロボットを開発・導入するケースが多い（市民開発）。
  • しかし、ユーザ部門は、システム開発や運用・保守の専門家ではないため、様々なリスクが生じている。
    • 野良ロボットの増殖: ガバナンスが効かないまま、各担当者が無秩序にロボットを開発し、品質やセキュリティに問題のある「野良ロボット」が乱立する。
    • 不適切な開発: 自動化対象の業務選定ミス、不十分なテスト、エラー処理の考慮漏れなど、開発プロセスに不備があり、ロボットが誤動作したり、すぐに止まったりする。
    • 属人化と保守不能: 開発した担当者が異動・退職すると、誰もロボットの仕様が分からなくなり、修正やメンテナンスができなくなる（ブラックボックス化）。
• 変化の必要性の背景:
  • DX推進と生産性向上: RPAが、デジタルトランスフォーメーション（DX）を推進し、全社的な生産性を向上させるための、手軽で効果的なツールとして注目された。
  • 市民開発の潮流: ITの担い手が、IT部門だけでなく、ビジネスの現場にいるユーザ自身へと広がる「市民開発（Citizen Development）」という大きな潮流の一つとして、RPAが位置づけられた。
  • 新たなリスクへの対応: RPAの導入が進むにつれて、その利便性の裏にある、統制不在、品質劣化、業務継続リスクといった問題が顕在化し、適切なガバナンスと監査の必要性が認識されるようになった。

2. 理想像の抽出と具体化

• あるべき理想的な状態:
  • 全社的なRPAガバナンス体制（CoE）の確立: ユーザ部門による自由な開発を認めつつも、無秩序に陥らないよう、全社的なRPA推進と統制を担う専門組織「CoE（Center of Excellence）」が設置されている。CoEは、開発標準やガイドラインの策定、ツール管理、教育、優れたロボットの共有などを行う。
  • 規律ある開発・運用ライフサイクル管理: ロボットの開発が、①自動化対象業務の選定、②開発、③テスト、④リリース、⑤運用・保守、⑥廃棄という、明確なライフサイクルプロセスに沿って管理されている。特に、開発前の「業務プロセスの標準化・最適化」が重視される。
  • ロボットの品質とセキュリティの担保: 全てのロボットは、CoEが定めた開発標準（命名規則、エラー処理、ログ出力など）に準拠して開発される。本番稼働前には、ピアレビューやテストが義務付けられ、品質が保証される。ロボットに与えるIDや権限は、最小権限の原則に基づき、厳格に管理される。
  • ロボットの資産管理とドキュメント化: 開発された全てのロボットは、管理台帳に登録され、誰が、いつ、何の目的で開発したかが管理される。業務フロー図や設定内容といったドキュメントの作成が義務付けられ、属人化を防止する。
• 克服すべき障壁:
  • 手軽さゆえの統制欠如: 「RPAは簡単だから」という理由で、ITガバナンスの対象外と見なされ、ユーザ部門が好き勝手に導入・開発を進めてしまう。
  • CoEの役割と権限の曖昧さ: CoEを設置しても、その役割が単なる相談窓口に留まり、ユーザ部門に対して品質や標準遵守を強制する権限がない。
  • 既存業務の複雑さ: そもそも自動化の対象となる業務プロセス自体が、標準化されておらず、例外や担当者の暗黙知が多いため、ロボット化が困難、あるいは非常に複雑になる。
  • 保守・運用フェーズの軽視: ロボットを「作ること」にばかり注力し、その後のメンテナンスや、関連システムの仕様変更にどう追従していくか、といった運用・保守の体制やコストが見過ごされがち。
• 利害関係者の視点:
  • 経営層: 全社的な生産性向上というRPA導入のメリットを享受しつつ、野良ロボットの乱立による業務混乱やセキュリティリスクを、CoEによるガバナンスを通じて統制できる。
  • ユーザ部門: CoEの支援を受けながら、自らの手で業務を効率化できる。開発したロボットが、組織の資産として適切に管理・共有される。
  • IT部門/CoE: 全社のRPA活用を推進・支援する、イネーブラーとしての役割を担う。ITガバナンスの範囲を、市民開発の領域にまで広げることができる。
  • 監査人: RPAという新たな統制対象に対して、その特有のリスク（市民開発、野良ロボット、属人化など）を評価する。CoEの設置・運営状況や、RPAのライフサイクル管理プロセスの有効性を、監査の重点項目とする。

3. 要約

• [200文字]要約:
  ユーザ部門主導のRPA開発は、「野良ロボット」の乱立や属人化のリスクを伴う。理想像は、CoE（専門組織）が全社的なガバナンスを効かせ、開発・運用プロセスを標準化すること。監査人は、このCoEによる統制の仕組みが有効に機能しているかを評価する。
• [400文字]要約:
  ユーザ部門が手軽に開発できるRPAは、統制が効かない「野良ロボット」の増殖や、開発者の異動による保守不能といったリスクを抱える。あるべき理想像は、ユーザの自由な開発を支援しつつ、全社的な統制を担う専門組織（CoE）を設置することだ。CoEが開発・運用の標準ルールを定め、品質を担保し、ロボットを資産として管理する。監査人は、このRPAガバナンスの仕組みが有効に機能しているかを重点的に評価する。
• [800文字]による詳細な考察:
  本問題は、「市民開発」という現代的なテーマをRPAという具体的なツールを通じて取り上げ、そのガバナンスのあり方を問うている。これは、ITの民主化がもたらす「自由」と「統制」の最適なバランスをいかにして見出すか、という普遍的な課題である。
  • あるべき理想像とは、「RPAを、組織の継続的改善（Kaizen）を加速する、統制されたプラットフォーム」として位置づけることである。この状態では、RPAは単なる自動化ツールではなく、従業員一人ひとりが業務改善のアイデアを形にするための武器となる。これを支えるのが、強力なCoE（Center of Excellence）である。CoEは、①戦略策定（全社的な導入ロードマップの策定）、②基盤提供（RPAツールのライセンス管理、実行環境の提供）、③標準化（開発・ドキュメント標準の策定）、④人材育成（教育コンテンツの提供、コミュニティ運営）、⑤品質保証（開発されたロボットのレビュー、承認）、⑥資産管理（ロボット管理台帳、再利用可能な部品のライブラリ化）といった、包括的な役割を担う。ユーザ部門は、このCoEが整備した「ガードレール」の中で、安全かつ自由にロボットを開発し、活用する。
  • 理想像実現へのアプローチとして、システム監査人は、まずこのCoEの機能が、上記の6つの観点などから網羅的かつ有効に設計・運用されているかを評価する。監査手続としては、①CoE関連規程のレビュー：RPAの開発・運用標準や、CoEの役割定義書などを評価。②ロボット管理台帳の分析：どのようなロボットが、どの部署で、どれだけ作られているかを分析し、野良ロボットの存在や、特定部署への偏りがないかを確認。③個別ロボットのレビュー：いくつかのロボットをサンプリングし、その設計書や設定内容が開発標準に準拠しているか、エラー処理やログ出力は適切か、ID・パスワードの管理は安全か（ハードコーディングされていないか）などを検証する。④運用・保守体制の評価：ロボットが停止した場合の対応プロセスや、担当者不在時の引き継ぎ体制が確立されているかを確認する。
  • 期待される効果は、ボトムアップでの業務改善の加速と、それに伴う全社的な生産性の向上である。
  • 考慮すべきリスクは、CoEによる統制が過度に厳しくなり、ユーザ部門の自発性や開発のスピード感を削いでしまうことだ。監査人は、CoEが「ブロッカー」ではなく「イネーブラー」として機能しているか、そのバランス感覚を評価する必要がある。