RPAの運用に際して、十分なリスク分析がされず、導入を進めているケースが少なからず見られるのが現状です。リスク管理をおろそかにしてしまうと、業務効率化といった効果をRPAから得ることが難しくなる可能性があります。リスクになりそうな項目を予め把握し、対策を予め立てておくことで、実際に発生した場合に迅速に対処できます。
今回は、RPAを導入するにあたって考えられるリスクについて解説します。
RPAのリスクが軽視されがちな理由
RPA導入の際には、リスクの可能性を十分に検証されないケースが少なくありません。この傾向は、導入直後の部署やプロジェクトに多くみられます。ではなぜ、RPA導入のリスクは軽視されがちなのでしょうか。それには、以下の状況が影響しているものと考えられます。
- 業務担当を人からRPAに変更しただけなので、リスクの発生状況などに影響がほとんどないと判断されてしまう。
- RPAに何か不具合が発生しても、RPA導入前の業務手順で対応すれば問題ないと判断されている。
- 利便性や効率化に魅せられて、早期導入を優先。リスク管理は後回しになるか、そもそも考慮されない。
- RPA導入予定の部署に、RPAに詳しい社員が不在。またはIT職や情報システム部門との連携がないまま、RPA導入を積極的に進めている。
- リスク管理のノウハウを持たない開発委託先に、RPA管理を丸投げにしてしまっている。
リスクになりそうな項目を把握する
RPAを導入して業務効率化を実現できたとしても、処理エラーが完全にゼロになったり、大幅に削減されたりすることを過渡に期待するのは危険です。RPAを導入する際の方法・手順に問題があった場合、どのようなリスクについて考慮しておく必要があるのでしょうか。
リスクになりそうな項目の典型として、次の4つが挙げられます。
RPAの誤動作の見過ごしによるリスク
誤動作や誤処理に気づかないまま、RPAが業務を継続することで発生するリスクです。例外処理対策が十分になされていないと、RPAが誤動作を起こしたり、誤った処理をし続けたりする可能性があります。同様に、システムの変更によるRPAの停止や誤動作なども、発生しやすいリスクの1つです。RPAの連携先に変更が生じても、RPAが対応していないとトラブルを招くことになります。
ブラックボックス化によるリスク
RPA導入・運営を担当していた社員が異動または退職により、RPAがブラックボックス化してしまうリスクです。後任の担当者を必ず置いたうえで、RPAの業務フローを引き継いでおかないと、将来的に業務プロセスを改善できなくなるおそれがあります。
RPAの不正使用や誤動作による情報漏洩リスク
RPAの誤動作や管理権限のない社員の不正使用が発覚した際に、社外に機密情報が自動送信されてしまうことで発生するリスクです。機密情報や個人情報を取り扱う業務にRPAを導入する場合は、セキュリティ対策も必要不可欠です。
RPA停止時の業務停止リスク
業務を任せきりにしていたRPAが停止してしまった場合、それまで円滑に遂行されていた業務が完全に停止してしまうことで発生するリスクです。自然災害やシステム障害などでRPAが停止したときのことを想定して、バックアップ体制を構築しておく必要があります。
発生するリスクへの対応策
管理体制の確立
RPAの本格導入にあたっては、情報システム部門に作成権限・管理権限を付与するなど、社内管理体制の確立が重要です。現場でRPAを作成しつつ、稼働状況や連携システムの変更を情報システム部門が常時把握できるよう、管理体制を確立しましょう。
RPAの処理内容をドキュメント化しておく
RPAを導入した直後は、既存のルールや文書において求められているソフトウェアの品質管理やセキュリティ管理などの要件開発や管理の要件を明示した文書が作成されていないことが少なくありません。また、システム開発・運用におけるルールや手順書、セキュリティポリシーについても、RPA対応のための見直しと改訂が欠かせません。RPAを効果的に活用していくうえでは、組織共通で、業務内容やRPAの処理内容などを以下の事項について取り決め、文書化しておくことが必要です。
- RPAの導入・展開・活用・リスク管理に関わる各種ルールなどの制定
- RPA管理の体制・役割・責任
- RPAの開発・運用・セキュリティ管理のルール
業務継続計画の作成
「業務継続計画」は、大きな自然災害や深刻なシステム障害などの発生によって、業務遂行が困難になる状況を想定して策定されているものです。企業内で業務継続計画を制定していて、なおかつ業務継続計画の対象となっている業務にRPAを導入する場合は、RPAに関する代替策を準備しておかなければなりません。具体的には、RPAが停止しても業務を遂行できるように、RPAの停止を想定したRPAの復旧方法と、RPAが停止している間の業務の継続方法を検討・用意することが必要となります。
全社的にRPA運用のガバナンス徹底を
RPAを使用しているとあまり意識しないかもしれませんが、RPAもサーバー同様ITシステムの1つです。社内に情報システム管理部門を置いている企業では、ITガバナンス(※)を設けているところがほとんどでしょう。そうしたケースでは、RPAに対しても、以下の項目において、他の稼働しているシステムと同程度の運用管理体制を設ける必要があります。
- RPAの障害監視・インシデント管理
- 基幹システムに対するRPAのアクセスコントロール
- RPAによる自動化処理の変更管理
- RPAによる操作ログ・証跡の取得など
RPA導入後の企業では、取り扱う情報のコントロールできるかどうかが、RPA運用の成功の鍵といえます。情報システム部門をはじめ、経営陣や経営企画部門、さらにはリスク管理を行う間接部門などが主体となり、社を挙げてRPAを想定したセキュリティ対策を確立していくことが大切です。
※ITガバナンス:CIO(最高情報責任者)などのIT部門担当役員や情報システム部門などと経営陣が一体となり、会社内におけるIT戦略の立案や実行を推進すること。またはその指針。
