Skip to content Skip to footer
Search

Loading Results

RPAガバナンス概説(第3回)~重点管理するロボットの特定-ロボットの重要度/リスク度合いという考え方~

2019-04-15

労働人口の不足や働き方改革など、生産性に関わる経営課題を解決する手段の一つとして、多くの企業がロボティック・プロセス・オートメーション(「Robotic Process Automation」。以下、「RPA」)の導入を進めています。早いタイミングで導入を決定した企業では、今やさまざまな業務でRPAが活用され、その効果も目に見える形で現れ始めています。一方で、意図しない利用やルールに基づかない管理に伴うインシデントの発生といった、一昔前は「野良ロボ」と言われていた問題に加え、より具体的な問題も見受けられるようになりました。本コラムでは、こうした問題への解決策を、RPAのガバナンスの観点から複数回に分けて解説します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。

前回のおさらい

「RPAガバナンス概説(第2回)~RPAガバナンスの構成要素~」では、RPA(Robotic Process Automation)ガバナンスの構成要素である「戦略」「組織」「人材」「プロセス」「インフラ」の視点、そしてRPA導入・利用のステージに合わせてガバナンスを整備する必要があることを説明しました。今回は、ガバナンスの具体的な内容を説明する前に、その大前提となる「ロボットの重要度/リスク度合い」という考え方について説明します。

ロボットは便利ツールからデジタルレイバーまでさまざま

RPAで言うロボットは多種多様です。MS OfficeにおけるExcel/Accessなどで用いるマクロのように手軽な便利ツールから、人間の仕事を代わりに行う「デジタルレイバー」と呼ばれるものまでさまざまです。そしてそれらロボットに対し、私たちは必要に応じた機能を搭載することで、労働時間の短縮や生産性の向上などを実現することができるのです。例えば、以下のようなロボットがあげられます。

(1)エラーチェックを都度、または業務の合間にまとめて実施するロボット

(2)これまで人間が毎日行ってきたデータのダウンロードを実施するロボット

(3)24時間営業型の複数店舗における従業員の労働時間をモニタリングするロボット

(4)顧客情報や会計情報の取り扱いに係る内部統制機能を担うロボット

(1)は人間が行ってきたエラーチェックのルーティン作業をロボットに担わせたもので、まさにマクロの延長のようなものと言えます。データのダウンロード条件・対象範囲により機能面の複雑度は多少異なりますが、(2)もおおむね(1)と同型と考えられます。

(1)と(2)が、どちらかと言うと単純な作業を補完する役割であるのに対し、(3)のような労働時間のモニタリング機能は、企業のコンプライアンスにも係る重要なタスクとなります。また(4)のように、顧客情報や会計情報といった慎重な処理が求められるものの管理を担うロボットも存在します。もし、そうした重要な情報を取り扱うロボットが誤処理や停止をした場合、想定外の影響が社内外に発生することは、想像に難くありません。ロボットを使用するにあたっては、そうしたリスクを十分に認識し、管理体制を構築する必要があるのです。

全てのロボットに対して同じ管理水準を求める必要はあるのか

とはいえ、前述のとおり、ロボットと一言でまとめても、その役割やリスクの度合いはまちまちです。果たして私たちは、全てのロボットに同じ管理水準を求めるべきなのでしょうか。実際、多くの企業から「RPAの管理を強化しようとすると負荷が高くなり、そもそも何のためのRPA導入か分からなくなる」「管理が厳しくて利用部門がそっぽを向き、導入が進まなくなる」「そもそもリソース不足で、そこまで管理できない」といった声が聞かれます。

そこで重要になってくるのが、「業務重要度/リスクの高いロボットを特定し、それらを重点管理する」という考え方です。業務上で重要な役割を担うロボットを見極めるべくリスクアセスメントを行い、重要度に応じた管理アプローチを構築するというものです。以下より具体的に見ていきましょう。

図1:重要度/リスクに応じてロボットを管理する

重要度/リスクという視点でロボットを評価する

例えば、ロボットが処理したり取り扱ったりする情報を「機密性」「完全性」「可用性」という三つの<軸>で考えてみましょう。

図2:ロボットの重要度/リスク評価の例

例えば、ロボットが取り扱う情報が「顧客情報」の場合、メールの誤送信によって情報が外部漏えいし、顧客へ迷惑を及ぼすリスクを勘案すれば、「機密性」の観点では重要度は「高」と判断できます。しかしながら、ロボットが取り扱う情報が「売り上げ」の場合は、もちろんその内容にもよりますが、外部に漏えいしたとしても影響は限定的と想定されるので、重要度は「顧客情報」より相対的に低い水準、つまり「中」と考えることができます。

一方で、ロボットが「財務情報」を取り扱う場合、その情報の信頼性(完全性)は極めて重要であるため、「完全性」の観点より、そのロボットの重要度は「高」と言えるでしょう。また、顧客への支払い業務で利用されるロボットであれば、機能停止は顧客からの信頼を損ねるリスクにつながるため、常に正しく機能しなければならないという意味で、「可用性」の重要度は「高」と判断できます。

ロボットは用途に応じて機能も異なるため、必ずしも上記の整理に当てはまらないケースもありますが、重要な点は、何らかの<軸>に基づいて重要度/リスク度合いの高いロボットを特定し、重点管理を行う体制を整備することにあります。

重要度/リスクが低いロボットでも、周辺環境・設定の管理は必要である

誤解のないように言うと、重要度が「低」であれば管理せず放置してよいかというとば、もちろんそうではありません。「完全性」の軸で「低」と判断されたロボットであっても、誤入力・誤処理が蓄積し、ひいては業務に重要な影響が生じる、といったケースは十分に考えられます。

また、例えばロボットに各システムにアクセスするための専用のIDを保有させる場合に、当該IDの管理スキームを構築することも大切です。ロボット本体の重要度の見極めとともに、ロボットを稼働させるための周辺環境・設定の管理も忘れてはなりません。

<次回について>

次回はRPAガバナンスの構築方法について解説する予定です。

執筆者

米山 喜章

ディレクター, PwCあらた有限責任監査法人

Email

{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}