マクロやRPAに潜むリスクとIT統制の実務的な整理

「マクロやRPAに潜むリスクとIT統制の実務的な整理」

近年、多くの企業でExcelのマクロやRPA(ロボティックプロセスオートメーション)が日常業務に取り入れられています。これらは業務効率の向上に大きく寄与する一方で、内部統制上のリスクもともないます。

現場には、「これらはIT全般統制(ITGC)の対象となるのか?」と疑問を持つ方も少なくありません。実務上は、すべてを一律に統制の対象とするのではなく、財務報告に与える影響の度合いや利用実態に応じて対象を整理することが重要です。

マクロやRPAに潜むリスクとIT全般統制の方向性

実務上想定される代表的なリスクと、それらに対応するコントロールを整理すると以下のとおりです。

  1. 利用ツール把握の網羅性の欠如
    業務で使用されているマクロやRPAが網羅的に把握されず、統制が不十分となるリスク。
    → 各業務の責任者がツールを一覧化し、財務報告に影響を与えるものはIT全般統制に準じて管理する。
  2. 検証不足による正確性の欠如
    ツールの作成者が十分な検証を行わずに使用を開始することによるリスク。
    → 情報システム部や上席者によるレビュー体制を整備する。
  3. 変更の自由度が高い
    利用者がツールの処理内容やデータを容易に変更できることによるリスク。
    → 編集権限を制限し、職務分掌を通じて改ざんリスクを抑制する。
  4. 広範な権限の付与
    RPAなどで利用されるアカウントに過剰な権限が付与され、不正利用されるリスク。
    → アカウントの申請・承認プロセスを整備し、アクセス制限を強化する。
  5. 開発環境と本番環境の未分離
    本番ファイルを直接編集することで、誤更新が発生したりデータが失われたりするリスク。
    → コピーの保管や直接更新禁止などの運用ルールを明確化する。
  6. 変更履歴の追跡不可
    バージョン管理がされず、変更内容が把握できなくなるリスク。
    → 管理者による履歴管理や定期的なファイル比較によるモニタリングを実施する。

統制の種類と整理の考え方

これらのコントロールを検討する際に重要なのは、「すべてをIT全般統制の対象として管理すべき」とするのではなく、財務報告への影響の度合いや、利用実態、管理体制に応じて統制の適用を判断することです。

統制の種類適用対象管理方法の例
IT全般統制 会社の財務報告に影響を与える可能性のあるマクロやRPAの開発、変更、運用業務 上述の2~6の変更管理、アクセス管理、運用管理
IT業務処理統制 マクロやRPAが自動で実行する個別の処理(データの入力、計算、出力など) 入力チェック、二重処理防止、エラー処理
マニュアル統制 RPAやマクロが生成したデータの最終確認や突合作業 照合、目視チェック
適用例(適用業務)統制の選択例理由
財務報告に直接影響を与える業務
(例:決算処理、給与計算、納税関連のRPA)
すべてを実施 誤りや不正が発生した場合の影響が甚大なため、厳格な統制が必要。
影響が中程度以下の業務
(例:社内のレポート作成、データ集計のマクロ)
IT業務処理統制とマニュアル統制 IT全般統制にかかる手間を抑えつつ、業務処理の正確性を確保し、人が最終確認することでリスクを軽減。
影響が限定的な処理
(例:個人的なタスク管理のマクロ、簡易的なデータ整形)
マニュアル統制のみ リスクが非常に低く、エラーが発生してもすぐにリカバリーできるため、人による簡単なレビューのみで十分と判断。

内部統制部門による点検の重要性

これらの統制に加え、企業として定期的にマクロやRPAの利用状況を棚卸しし、内部統制部門が点検を行う仕組みを整備することが望まれます。これは現場任せの運用による形骸化を防ぎ、統制の実効性を維持するうえで有効です。

まとめ

マクロやRPAは業務効率化に大きく寄与する一方、適切にコントロールしないまま放置すれば内部統制上の弱点となるリスクがあります。重要なのは、財務報告への影響の度合いに基づくリスク評価を行い、「IT全般統制」「IT業務処理統制」「マニュアル統制」の枠組みを踏まえて、リスクに応じて適切に統制を適用し、必要な場合は複数の統制を組み合わせることです。企業は自社の利用実態に応じたコントロールを組み合わせることで、効率化と内部統制の両立を図ることができます。まずは自社で利用しているマクロやRPAの現状を棚卸しし、どの統制で管理すべきかを確認することが第一歩です。
BBSの公認会計士コンサルタントは、クライアントの実務に即した統制の整備・運用を支援します。

※本コラムの内容は筆者個人の見解であり、BBSの公式見解ではありません。