マクロやRPAに潜むリスクとIT統制の実務的な整理

近年、多くの企業でExcelのマクロやRPA（ロボティックプロセスオートメーション）が日常業務に取り入れられています。これらは業務効率の向上に大きく寄与する一方で、内部統制上のリスクもともないます。

現場には、「これらはIT全般統制（ITGC）の対象となるのか？」と疑問を持つ方も少なくありません。実務上は、すべてを一律に統制の対象とするのではなく、財務報告に与える影響の度合いや利用実態に応じて対象を整理することが重要です。

実務上想定される代表的なリスクと、それらに対応するコントロールを整理すると以下のとおりです。

1. 利用ツール把握の網羅性の欠如
   業務で使用されているマクロやRPAが網羅的に把握されず、統制が不十分となるリスク。
   → 各業務の責任者がツールを一覧化し、財務報告に影響を与えるものはIT全般統制に準じて管理する。
2. 検証不足による正確性の欠如
   ツールの作成者が十分な検証を行わずに使用を開始することによるリスク。
   → 情報システム部や上席者によるレビュー体制を整備する。
3. 変更の自由度が高い
   利用者がツールの処理内容やデータを容易に変更できることによるリスク。
   → 編集権限を制限し、職務分掌を通じて改ざんリスクを抑制する。
4. 広範な権限の付与
   RPAなどで利用されるアカウントに過剰な権限が付与され、不正利用されるリスク。
   → アカウントの申請・承認プロセスを整備し、アクセス制限を強化する。
5. 開発環境と本番環境の未分離
   本番ファイルを直接編集することで、誤更新が発生したりデータが失われたりするリスク。
   → コピーの保管や直接更新禁止などの運用ルールを明確化する。
6. 変更履歴の追跡不可
   バージョン管理がされず、変更内容が把握できなくなるリスク。
   → 管理者による履歴管理や定期的なファイル比較によるモニタリングを実施する。

これらのコントロールを検討する際に重要なのは、「すべてをIT全般統制の対象として管理すべき」とするのではなく、財務報告への影響の度合いや、利用実態、管理体制に応じて統制の適用を判断することです。

これらの統制に加え、企業として定期的にマクロやRPAの利用状況を棚卸しし、内部統制部門が点検を行う仕組みを整備することが望まれます。これは現場任せの運用による形骸化を防ぎ、統制の実効性を維持するうえで有効です。

マクロやRPAは業務効率化に大きく寄与する一方、適切にコントロールしないまま放置すれば内部統制上の弱点となるリスクがあります。重要なのは、財務報告への影響の度合いに基づくリスク評価を行い、「IT全般統制」「IT業務処理統制」「マニュアル統制」の枠組みを踏まえて、リスクに応じて適切に統制を適用し、必要な場合は複数の統制を組み合わせることです。企業は自社の利用実態に応じたコントロールを組み合わせることで、効率化と内部統制の両立を図ることができます。まずは自社で利用しているマクロやRPAの現状を棚卸しし、どの統制で管理すべきかを確認することが第一歩です。
BBSの公認会計士コンサルタントは、クライアントの実務に即した統制の整備・運用を支援します。