応用情報技術者 2019年 春期 午後 問11
RPA (Robotic Process Automation) の監査に関する次の記述を読んで、設問1~7に答えよ。
保険会社の X社は、ここ数年、経営計画の柱の一つとして "働き方改革" を掲げており、それを実現するために業務の効率向上に取り組んできた。こうした中、全国の X社拠点の業務処理の統括部門である事務部は、約 1年前に、ITベンダの Y社の提案を受け、X社で初めて RPA を導入した。
事務部が Y社に委託して、RPA を導入して開発したシステム(以下、事務部 RPA という)は、導入後、おおむね順調に稼働してきたが、一度だけシステムトラブルが発生し、稼働不能になったことがある。
X社の社長は、システムトラブルが発生したこともあり、また RPA 導入の効果についても関心があったことから、内部監査部に対して、事務部と情報システム部を対象に監査を実施することを指示した。監査の主な目的は、事務部 RPA の運用・保守体制の適切性、X社全体の RPA 管理体制の適切性、及び事務部 RPA 導入の目的達成状況を確認することである。
〔RPA の特徴と対象業務〕
(1) RPA の特徴
Y社の提案によると、RPA の主な特徴は次のとおりである。
① 複数の業務システムを利用する定型業務の自動化に適しており、業務の効率向上、ミスの削減などに有効である。例えば、複数の画面を参照し、必要なデータを表計算ソフトに反映して電子メールを送信するなどの一連の業務の自動化に適している。
② 実際の PC操作を基に開発できるので、プログラミングは不要であり、業務知識があれば容易に開発できる。変更や複製も同様に、容易に行うことができる。
(2) 事務部 RPA の対象業務
事務部は、X社拠点の定型業務のうち、RPA を導入することによって効率向上の効果が期待できる複数の業務を、対象業務として選定した。選定した業務の例として、生命保険料控除証明書(以下、控除証明書という)の再発行業務がある。
この業務は、顧客から X社への控除証明書の再発行依頼に対して、複数の業務システムの情報を参照して控除証明書を作成し、顧客に送付するものである。
〔事務部 RPA 導入による業務プロセスの主な変更点と効果〕
(1) 事務部 RPA 導入による業務プロセスの主な変更点
各拠点の対象業務を事務部に集約し、集約した業務に RPA を導入した。控除証明書の再発行業務の場合、事務部 RPA 導入前の業務プロセスでは、顧客の依頼を受け付けた拠点の担当者が、控除証明書の再発行に関わる全ての業務を行っていた。これに対して、事務部 RPA 導入後の業務プロセスは、次のとおりである。
① 顧客から控除証明書の再発行の依頼を受け付けた拠点は、事務部の所定のメールアドレス宛てに、電子メールで控除証明書の再発行依頼を行う。
② 事務部の担当者は、拠点からの依頼メールに基づいて事務部 RPA を稼働させ、自動的に作成された控除証明書を顧客に送付する。
(2) 事務部 RPA 導入による効果
事務部は、事務部 RPA 導入によって一定の効率向上効果が得られることを、処理時間などが記録された事務部 RPA の実行ログを基に確認した。控除証明書の再発行業務の場合、従来は1件当たり15分程度要していた処理時間が1分程度に短縮された。
〔事務部 RPA の開発体制及び運用・保守体制〕
(1) 事務部 RPA の開発体制
事務部 RPA の開発は、Y社のシステムエンジニア2名が約2か月間、事務部の開発用ブースに常駐して行われた。開発に当たって、事務部は、投資効果などを記載した“導入計画書”を作成し、Y社は、開発及び変更に必要なドキュメントとして“事務部 RPA 開発用資料”を作成した。
(2) 事務部 RPA の運用・保守体制
事務部の担当者2名が、事務部 RPA の運用・保守業務を行っている。事務部は、以前のシステムトラブルを踏まえて、情報システム部と連携して、再発防止策を講じて運用・保守面を強化することにした。
〔システムトラブルの概要〕
事務部 RPA が稼働不能になった原因は、事務部 RPA と連動している複数の業務システムのうち、あるシステムの画面レイアウトの変更に伴い、事務部 RPA とのインタフェースに不整合が生じたことである。本来であれば、事務部が、事前に画面レイアウトの変更に関する情報を把握して対応すべきであったが、画面レイアウトが変更されたシステムは、事務部以外の部署が主管していたので、事務部が変更に関する情報を事前に把握することができなかった。こうした変更に関する情報を事前に把握できるのは、情報システム部である。
システムトラブルが判明した直後、事務部の担当者から連絡を受けた Y社のシステムエンジニアが原因を特定して対応を行った。ただし、あらかじめ障害対応手順を定めていなかったので、システムトラブルの対応に時間が掛かってしまった。
〔情報システム部へのヒアリング結果〕
情報システム部へのヒアリング結果は、次のとおりである。
① 今後、RPA がより広く利用されるようになることを想定して、早急に RPA に関する管理方針を定める予定である。
② RPA の管理には、全社の RPA の管理責任部署が必要であり、その部署として情報システム部が適任であると考えている。
③ 現在、社内のシステム関連規程類の改訂案の策定を終えた段階である。
〔本調査における監査項目及び監査手続〕
内部監査部は、以上の予備調査の結果を踏まえ、本調査に向けて監査項目及び監査手続きを表1のとおりまとめた。
設問1:
表1中の項番1のaに入れる適切な字句を、15字以内で答えよ。
模範解答
a:事務部RPAの実行ログ
解説
解答の論理構成
- 表1 項番1の監査手続には「処理件数と処理時間を把握して」とあります。
- 【問題文】では「事務部は、事務部 RPA 導入によって一定の効率向上効果が得られることを、処理時間などが記録された事務部 RPA の実行ログを基に確認した。」と明記されています。
- 処理件数・処理時間を具体的に取得できる資料は、この「事務部 RPA の実行ログ」しか該当しません。
- したがって、a に入る適切な字句は「事務部 RPA の実行ログ」です。
誤りやすいポイント
- 「導入計画書」は導入目的や投資効果を記載する文書であり、実運用データ(件数・時間)は含みません。
- 「事務部 RPA 開発用資料」は開発仕様に関するドキュメントであって、処理実績を直接示すものではありません。
- 「控除証明書の再発行依頼メール」や「集約業務の報告書」を選んでしまうと、対象業務の一部にしかデータが限定され、監査手続の趣旨を満たせません。
FAQ
Q: 実行ログはなぜ監査証拠として信頼できるのですか?
A: 【問題文】に「処理時間などが記録された」とあり、システムが自動で生成する客観的データで改ざんリスクが低いからです。
A: 【問題文】に「処理時間などが記録された」とあり、システムが自動で生成する客観的データで改ざんリスクが低いからです。
Q: 実行ログ以外に補助的な資料は使えますか?
A: 可能ですが、表1 の監査手続では「処理件数と処理時間を把握」する一次資料として実行ログを指定しているため、まずはこれを査閲することが前提です。
A: 可能ですが、表1 の監査手続では「処理件数と処理時間を把握」する一次資料として実行ログを指定しているため、まずはこれを査閲することが前提です。
Q: RPA 導入効果の定量的な評価方法は?
A: 代表的には処理件数・時間・エラー件数を導入前後で比較し、費用対効果(ROI)を算出します。本設問では処理件数と処理時間が評価軸です。
A: 代表的には処理件数・時間・エラー件数を導入前後で比較し、費用対効果(ROI)を算出します。本設問では処理件数と処理時間が評価軸です。
関連キーワード: RPA, 実行ログ, 内部監査, 業務効率化
設問2:
表1中の項番2のbに入れる適切な字句を、15字以内で答えよ。
模範解答
b:事務部RPA開発用資料
解説
解答の論理構成
- 監査手続の目的
表1 項番2では「変更に必要となる情報(対象業務、正常処理と異常処理、関連する業務システム、入出力データなど)が明示されているかどうか」を確認するとあります。これは RPA の変更管理に必要な詳細設計・フローなどがまとめられた資料を監査対象に選ぶべきであることを示しています。 - 該当資料の特定
【問題文】には、開発時に用意したドキュメントとして
「Y社は、開発及び変更に必要なドキュメントとして “事務部 RPA 開発用資料” を作成した。」
と明記されています。 - 「変更に必要となる情報」を網羅する資料
引用のとおり “事務部 RPA 開発用資料” は「開発及び変更に必要なドキュメント」と位置付けられています。したがって、監査人が変更情報の整備状況を確認するために査閲すべき資料はこれであることが論理的に導かれます。
以上より、b には “事務部 RPA 開発用資料” が入るのが適切です。
誤りやすいポイント
- 「導入目的」と「変更情報」を混同し、“導入計画書”を選んでしまう
- 監査人が見る資料は1種類とは限らないと考え、複数資料の併記を試みてしまう
- 「開発用資料」という語句を略したり順序を入れ替えたりしてしまい、原文どおりに記述できない
FAQ
Q: 「導入計画書」は変更管理にも使えませんか?
A: 「導入計画書」は投資効果や導入目的を記載した資料であり、処理フローや入出力仕様など変更作業に直接必要な詳細情報は含まれていません。変更管理の観点からは “事務部 RPA 開発用資料” が優先されます。
A: 「導入計画書」は投資効果や導入目的を記載した資料であり、処理フローや入出力仕様など変更作業に直接必要な詳細情報は含まれていません。変更管理の観点からは “事務部 RPA 開発用資料” が優先されます。
Q: 監査手続ではなぜ“査閲”という言葉を使うのですか?
A: “査閲”は書類を確認し内容の妥当性を判断する監査固有の用語です。ヒアリングや実地調査に対して、文書で裏付けをとる行為を明示しています。
A: “査閲”は書類を確認し内容の妥当性を判断する監査固有の用語です。ヒアリングや実地調査に対して、文書で裏付けをとる行為を明示しています。
Q: 他部門が主管するシステム変更情報はどこで管理すべきですか?
A: 情報システム部が全社の変更情報を一元管理し、RPA 担当部門へ速やかに共有する体制を整えることが望ましいです。
A: 情報システム部が全社の変更情報を一元管理し、RPA 担当部門へ速やかに共有する体制を整えることが望ましいです。
関連キーワード: RPA, 変更管理, 監査手続, ドキュメント整備, インタフェース管理
設問3:
表1中の項番3のcに入れる適切な字句を、5字以内で答えよ。
模範解答
c:再発防止策
解説
解答の論理構成
- 【問題文】には
“事務部は、以前のシステムトラブルを踏まえて、情報システム部と連携して、再発防止策を講じて運用・保守面を強化することにした。”
と明記されています。 - 表1の項番3では
“事務部 RPA のシステムトラブルに対する c が講じられているか。”
と、システムトラブル対応のために講じるべき具体的な施策を問うています。 - 上記引用箇所のキーワード “再発防止策” が、トラブル対応後に講じる施策として一致します。
- よって c に入る語句は “再発防止策” となります。
誤りやすいポイント
- “障害対応手順” と混同する
→ 問題文では “障害対応手順” は “あらかじめ定めていなかった” もの、表1で確認したいのは“講じられているか”であり位置付けが異なります。 - “復旧手順” と誤記する
→ “復旧” はトラブル発生直後の作業、監査項目は “再発” を防ぐための恒常的な取り組みを指します。 - 字数制限を意識し過ぎて “再発防止” など末尾を省略
→ 【問題文】の語句を正確に引用する必要があります。
FAQ
Q: “再発防止策” には具体的にどんな内容が含まれますか?
A: 原因分析、恒久対応の設計・実装、変更管理プロセスの整備、定期レビューなどです。
A: 原因分析、恒久対応の設計・実装、変更管理プロセスの整備、定期レビューなどです。
Q: “障害対応手順” と “再発防止策” の監査ポイントの違いは?
A: 前者はインシデント発生時の即時対応フロー、後者は同じ事故を繰り返さないための仕組み・ルールが整っているかを確認します。
A: 前者はインシデント発生時の即時対応フロー、後者は同じ事故を繰り返さないための仕組み・ルールが整っているかを確認します。
Q: “再発防止策” が未整備だと指摘された場合の是正勧告例は?
A: “原因分析書の作成義務化”“インタフェース変更の事前共有プロセス確立”“定期的なレビュー会議の設置” などが挙げられます。
A: “原因分析書の作成義務化”“インタフェース変更の事前共有プロセス確立”“定期的なレビュー会議の設置” などが挙げられます。
関連キーワード: インシデント管理, 変更管理, 予防統制, ロボティックプロセスオートメーション
設問4:
表1中の項番3のdに入れる最も適切な字句を、解答群の中から選び、記号で答えよ。
解答群
ア:事務部及びY社
イ:事務部及び拠点の一部
ウ:事務部及び情報システム部
エ:情報システム部及び拠点の一部
模範解答
d:ウ
解説
解答の論理構成
- 監査手続では、“誰にヒアリングすれば必要な情報が得られるか”を判断する必要があります。
- 【問題文】「こうした変更に関する情報を事前に把握できるのは、情報システム部である。」と明記されています。すなわち、連動システム側の画面レイアウトなどの変更情報は「情報システム部」が持っています。
- 一方、その情報を利用して RPA を実際に運用しているのは「事務部」です。したがって、インタフェース変更情報を“事務部が適時に把握できる体制”を確認するには、両部門へのヒアリングが欠かせません。
- 以上より、表1 項番3の d に入るべきは「事務部及び情報システム部」となり、解答群「ウ」が最も適切です。
誤りやすいポイント
- 「Y 社のシステムエンジニアが原因を特定して対応した」という一文に引きずられ、ヒアリング対象をベンダと誤認する。変更情報を“事前に把握できる部署”は「情報システム部」である点を見落としがちです。
- RPA を操作するのは事務部のため、事務部単独で十分だと判断してしまう。実際には“連動システムの変更情報を持つ部署”も必須です。
- “拠点”は依頼メールを送るだけで、インタフェース変更管理には関係しません。役割分担を正しく整理することが重要です。
FAQ
Q: ベンダである「Y 社」をヒアリング対象に含めなくてもよいのですか?
A: はい。インタフェース変更情報を事前に把握できるのは【問題文】で「情報システム部」と明言されています。Y 社は障害発生後の対処を行っただけで、恒常的な情報管理の主体ではありません。
A: はい。インタフェース変更情報を事前に把握できるのは【問題文】で「情報システム部」と明言されています。Y 社は障害発生後の対処を行っただけで、恒常的な情報管理の主体ではありません。
Q: 監査手続のヒアリング対象は複数部署でも良いのですか?
A: 監査目的を果たすために必要な部署であれば複数指定することが一般的です。本設問では「事務部」と「情報システム部」の双方が欠かせません。
A: 監査目的を果たすために必要な部署であれば複数指定することが一般的です。本設問では「事務部」と「情報システム部」の双方が欠かせません。
Q: 拠点担当者の業務は監査範囲に含まれないのですか?
A: 今回の項番3は「インタフェース変更情報の把握体制」がテーマです。拠点担当者は当該情報を管理していないため、ヒアリング対象外となります。
A: 今回の項番3は「インタフェース変更情報の把握体制」がテーマです。拠点担当者は当該情報を管理していないため、ヒアリング対象外となります。
関連キーワード: RPA, 内部監査, インタフェース管理, 変更管理, 情報共有
設問5:
表1中の項番3のeに入れる適切な字句を、5字以内で答えよ。
模範解答
e:変更
解説
解答の論理構成
- 監査手続の対象
表1 項番3 では「事務部 RPA と連動している業務システムのインタフェースのeに関する情報を、事務部が適時に把握できる体制が整備されているかどうか」を確認すると述べています。 - システムトラブルの原因
【問題文】には、- 「あるシステムの画面レイアウトの変更に伴い、事務部 RPA とのインタフェースに不整合が生じた」
- 「こうした変更に関する情報を事前に把握できるのは、情報システム部である」
と記載されています。
つまりインタフェースにかかわる“変更”情報を事務部が受け取れなかったことがトラブルの要因でした。
- 求められる情報の種類
監査ではトラブル再発防止の観点から「インタフェースの何の情報を把握する必要があるか」に着目します。システムトラブルの直接原因が“変更”であるため、把握すべきはインタフェースの変更情報です。 - 結論
以上より、eには「変更」を挿入するのが適切です。
誤りやすいポイント
- 「仕様」「設定」などを選んでしまう
仕様や設定そのものが問題なのではなく、“仕様が変わった”という変更を把握できなかった点が根本原因です。 - 「改修」「更新」と書き換える
監査手続では原文と同じ用語を使うのが基本です。【問題文】は「変更」という語を繰り返し用いています。 - システム全体の変更管理と読み違える
ここで確認するのは「業務システムのインタフェース」の変更情報に限定される点に注意が必要です。
FAQ
Q: 「仕様」でも意味は通じるのでは?
A: 仕様そのものではなく、仕様が変わったという“変更”を事前に共有できなかったことが問題です。原文でも「画面レイアウトの変更」が原因と明記されています。
A: 仕様そのものではなく、仕様が変わったという“変更”を事前に共有できなかったことが問題です。原文でも「画面レイアウトの変更」が原因と明記されています。
Q: 監査ではなぜインタフェースの変更情報だけを確認するのですか?
A: RPA は外部システムの画面やデータ構造に強く依存します。インタフェースが変わるとロボットが動かなくなるため、変更情報を早期に把握する体制が最優先事項になります。
A: RPA は外部システムの画面やデータ構造に強く依存します。インタフェースが変わるとロボットが動かなくなるため、変更情報を早期に把握する体制が最優先事項になります。
Q: 情報システム部が適任とされている理由は?
A: 【問題文】「変更に関する情報を事前に把握できるのは、情報システム部である」とあるように、同部門が全社システムの変更管理を一元的に行っているからです。
A: 【問題文】「変更に関する情報を事前に把握できるのは、情報システム部である」とあるように、同部門が全社システムの変更管理を一元的に行っているからです。
関連キーワード: RPA, インタフェース, 変更管理, 内部監査, トラブルシューティング
設問6:
表1中の項番4のfに入れる適切な字句を、10字以内で答えよ。
模範解答
f:障害対応手順
解説
解答の論理構成
-
監査手続の目的
表1 項番4では、システムトラブル発生時の対応策が整備されているかを確認する旨が示されています。事務部を対象にヒアリングし、システムトラブル発生時のfが策定されているかどうかを確認する。 -
事務部 RPA で問題となった点
トラブル時の教訓として、事前の手順未整備が原因で復旧が遅れた事実が記載されています。ただし、あらかじめ障害対応手順を定めていなかったので、システムトラブルの対応に時間が掛かってしまった。 -
監査手続に必要な文書名
“策定されているかどうか” を確認する対象は、上記引用で不足が指摘された「障害対応手順」そのものです。 -
結論
よって f に入る字句は
「障害対応手順」 となります。
誤りやすいポイント
- 「復旧手順」「異常時対応フロー」など類義語を選択しがちですが、問題文は固有表現である「障害対応手順」を明記しています。
- 監査手続のチェック対象は “策定” の有無であり、「報告書」「マニュアル」といった成果物全般を指しているわけではありません。
- トラブル原因(画面レイアウト変更)と解決策(手順整備)を混同し、「変更管理体制」等を入れてしまうミスが見られます。
FAQ
Q: 「障害対応手順」と「インシデント管理プロセス」は同じ意味ですか?
A: 目的は共通しますが、問題文では「障害対応手順」という具体的文書の有無を確認しているため、その語を採用します。
A: 目的は共通しますが、問題文では「障害対応手順」という具体的文書の有無を確認しているため、その語を採用します。
Q: 他部署が主管するシステム変更まで含む体制はどこで確認しますか?
A: 表1 項番3で “事務部が適時に把握できる体制” を確認しており、当設問の対象外です。
A: 表1 項番3で “事務部が適時に把握できる体制” を確認しており、当設問の対象外です。
Q: 監査で手順が未策定だった場合、推奨される是正措置は?
A: 速やかに手順を整備し、定期的な見直し・演習を実施して有効性を担保することが一般的です。
A: 速やかに手順を整備し、定期的な見直し・演習を実施して有効性を担保することが一般的です。
関連キーワード: RPA, 監査手続, インシデント管理, 運用保守
設問7:
表1中の項番5のg、hに入れる適切な字句を、それぞれ20字以内で答えよ。
模範解答
g:システム関連規程類の改訂案
h:全社のRPAの管理責任部署
解説
解答の論理構成
-
監査手続で参照すべき文書
- 表1 項番5には「gを査閲し」とあります。
- 【問題文】〔情報システム部へのヒアリング結果〕③では「“現在、社内のシステム関連規程類の改訂案の策定を終えた段階である.”」と述べられています。
- 監査で最新版の規程類を確認するのは自然な流れから、gには「システム関連規程類の改訂案」を当てるのが妥当です。
-
管理方針内で確認すべき内容
- 同じく表1 項番5の手続には「RPA に関する管理方針として、hが定められているか」を確認する、とあります。
- 【問題文】〔情報システム部へのヒアリング結果〕②に「“RPA の管理には、全社の RPA の管理責任部署が必要であり、その部署として情報システム部が適任であると考えている.”」と記載されています。
- 従って、管理方針で必ず明示すべきポイントは「全社のRPAの管理責任部署」であり、これが h の適切な解答になります。
-
まとめ
よって、- g:システム関連規程類の改訂案
- h:全社のRPAの管理責任部署
となります。
誤りやすいポイント
- 「改訂案」ではなく完成版の「規程類」と書いてしまう。ヒアリング結果では策定“案”の段階であることに注意が必要です。
- hに部署名(例:情報システム部)を直接書くミス。監査手続が確認したいのは“責任部署を定めているか”という方針レベルです。
- 〔情報システム部へのヒアリング結果〕①の「管理方針を定める予定」を引用し、未決定だから空欄と誤解すること。
FAQ
Q: 解答に具体的な部署名を書いてはいけないのですか?
A: 監査手続は「管理責任部署を定めているか」を確認する趣旨なので、文言は「全社のRPAの管理責任部署」とするのが適切です。
A: 監査手続は「管理責任部署を定めているか」を確認する趣旨なので、文言は「全社のRPAの管理責任部署」とするのが適切です。
Q: 「システム関連規程類」だけでは不十分ですか?
A: ヒアリング結果で「改訂案」が存在すると明言されており、監査ではその最新案を査閲するため「システム関連規程類の改訂案」と明記する必要があります。
A: ヒアリング結果で「改訂案」が存在すると明言されており、監査ではその最新案を査閲するため「システム関連規程類の改訂案」と明記する必要があります。
Q: “全社”という表現は必須ですか?
A: はい。情報システム部は全社横断でRPAを管理する意図であり、監査でも“全社の”責任部署が定義されていることを確認するためです。
A: はい。情報システム部は全社横断でRPAを管理する意図であり、監査でも“全社の”責任部署が定義されていることを確認するためです。
関連キーワード: 内部監査, 管理方針, 責任分担, 変更管理, 文書化
