調査結果：内部監査部門リーダー、AIとサイバーセキュリティのスキルギャップへの早急な対応が必要と認識

今日の混沌としたビジネス環境において、多くの取締役会や経営陣は、リスクや変化を乗り切るために内部監査に信頼できるアドバイザーとしての役割を期待しています。内部監査部門のリーダーがチームのスキル向上を優先することにより、このようなビジネスの期待に沿って、プロアクティブで付加価値の高いアシュアランスを提供することが可能になります。

プロティビティは、米国で3月に開催された内部監査協会（IIA）のGreat Audit Minds（GAM）カンファレンスにおいて、内部監査部門のリーダーを対象に、内部監査部門における現在の能力と、今後の監査人にとってそれらの能力の重要性を調査しました。約100名の参加者を対象に実施した調査では、データ分析からソフトスキルまで、今後の監査人の発展と成功に不可欠な分野について掘り下げました。
調査により、急速に進化する今日の監査環境において、効果的な監査業務の遂行のために求められる技術や実務的な知識についての洞察を得ることができました。調査結果を詳しく見ていく前に、プロティビティが過去に以下の2つのコンセプトについてどのように説明してきたかを振り返ります。

• 監査人の将来 - IIAのビジョンである「価値を付加し、組織の運営を改善する、独立した客観的な保証・コンサルティング活動」の実現に向けて、決定的な一歩を踏み出すことが一層重要になる点が当社の見解です。 
• 次世代内部監査機能 - 次世代内部監査機能 とは、「効率性の向上、より強力な保証、より価値あるビジネスインサイトを提供する、ガバナンス、方法論、テクノロジーの新しい方向性を中心とした、機敏で総合的なアプローチ」を取り入れた機能であると考えています。

内部監査部門の次世代機能への変革を考えている内部監査部門のリーダーにとって、適切な技術的スキルと対人的スキルを兼ね備えることは必須です。しかし同時に、大半の内部監査部門にとって、人材の採用と確保はかつてないほど困難なものとなっています。また、内部監査組織を次世代レベルに引き上げるには、「新しいテクノロジーやアプローチに適応し、展開する能力、急速な変化に対応する能力、迅速に方向転換する能力」が必要となるかもしれないと、以前から述べてきていました。

最近の調査の結果で、内部監査のリーダーの多くが、次世代への進化を妨げる可能性のある重要なスキルの欠如に直面していることが示されました。ここから調査の結果をご説明します。

1. 内部監査チームはAIの基礎知識を早急に強化する必要がある

ビジネスにおける人工知能（AI）ツールの日常利用は、生成AIの台頭によりこの1年で急速に増加しました。人工知能はこれからの監査にとって不可欠であり、手作業での監査業務を大幅に削減し、リスク予測や知識発見などに注力する機会を実現することが可能です。また、内部監査人は、組織のAI利用形態（どこでどのように利用しているのか）、AI利用によるコンプライアンスやセキュリティへの影響、そしてAI利用がビジネスおよびその他のリスクをもたらす可能性があるのかという観点を踏まえて、自社事業の展開を正しく理解する支援が必要になってきます。

未来志向で先進的な内部監査部門のリーダーおよび内部監査部門においては、AI時代の到来に向けた準備が進められてきました。こうした部門では、AI利用の計画策定あるいはすでにAIツールの利用を実現しており、ビジネスにAIを組み込み、利用範囲を拡大する中で、AI利用による監査への影響を理解しようと努めています。しかし、調査の結果によると、ほとんどの内部監査部門のリーダーは、自部門におけるAIに関する中核的な知識の構築に関しては、改善の余地が大きいと考えています。

2. サイバーセキュリティは内部監査にとって不可欠な分野となっている

データ流出やその他重大なサイバーインシデントが、大手企業やそのパートナー、顧客に影響を与えたというニュースがない週はほとんどありません。FBIのインターネット犯罪苦情センター（IC3）のInternet Crime Report によると、サイバー犯罪による損失は昨年125億ドルを超え、2022年から22％増加し、過去最高を更新しています。

プロティビティの最新のTop Risks Survey では、取締役や経営幹部がサイバー脅威を今年および今後10年間のビジネスのトップリスクと考えていることが分かりました。GAMカンファレンスで実施した調査の結果は、内部監査部門のリーダーがサイバーセキュリティを自社のビジネスと部門にとって重要性の高い分野と考えていると示唆しています。同時に、チームがサイバーセキュリティの領域で能力を向上させる必要があり、場合によっては即座にスキルアップが必要であることも認識しています。

3. テクノロジー活用が内部監査の柔軟な対応力を高める

次世代の内部監査部門では、ガバナンス、リスク、コンプライアンス（GRC）プラットフォーム、データ分析、データ可視化、プロセスマイニング、スクリプト作成、自動化など、さまざまなテクノロジーツールを駆使して、監査の効率性、スピード、精度を向上させることができます。

当社の調査によると、多くの内部監査部門にとって、テクノロジーの活用に関して、まだ長い道のりが残されていることが示唆されました。しかし、多くの回答者は、動的なリスク評価、継続的な監査とモニタリング、そして整合性の取れたアシュアランス活動を推進するために、テクノロジーを活用する能力が不可欠であるとも回答しています。

テクノロジー活用の実現に重点を置くことが、内部監査機能をより敏捷にし、変化に迅速に対応し、リアルタイムの評価を実施できるようにするために役立つと考えられます。

内部監査のスキルギャップを埋める： 成功のための戦略

サイバー脅威の拡大AIによる変革の時代において、内部監査部門のリーダーはチームのスキル向上を停滞させるわけにはいけません。何も対策を講じなければ、将来的に大きな盲点やリスクを招く可能性があり、ビジネスに深刻な影響を及ぼす可能性が一層高まります。

以下の戦略は、内部監査部門のリーダーが組織内のスキル向上を優先し、将来に備えた内部監査チームを育成する上で役立ちます。

• スキルアセスメントとギャップ分析の実施 - 技術の進歩や新たなリスクなどの変化に照らし合わせ、監査人のスキルレベルを定期的に評価し、育成や改善を急ぐべき分野を特定します。
• 対象を絞ったスキルアッププログラムの作成 - スキル評価の結果に基づき、AI、サイバーセキュリティ、データ分析などの優先領域に合わせたトレーニングプログラムを設計します。人事部門やL＆D部門（人材開発部門）と協力して、プログラム実施および成果の追跡・測定を行います。
• 継続的な学習と知識共有の文化を醸成する - 内部監査部門に継続的な学習を促す環境を醸成します。セッションの共有、オンライン学習リソースのデータベース作成、メンターシッププログラムの開始など、知識共有の実践によって達成することができます。

上記のような取り組みを通じて、内部監査部門のリーダーは、現状の課題に対処する準備だけでなく、今後のニーズに対応するためのより良い設備を備えたチームを作ることができます。リーダーは、組織内のガバナンス、リスク管理、統制の実践において、その機能が最前線にあり続けるよう支援することができます。

（2024年9月3日）

英語版ブログ「https://blog.protiviti.com/2024/05/17/survey-finds-internal-audit-leaders-see-urgent-need-to-confront-skills-gaps-in-ai-and-cybersecurity/」へのリンクはこちら