RISK OVERSIGHT VOL.68 ​ 内部監査の真に意義ある活動を確実とする　

主要な考慮事項

最近のプロティビティの調査報告書によると、内部監査担当役 員と内部監査部門は、より高い先見性、変化への志向性、およ び適応性を備えるべく努力しています。1 内部監査部門は、絶 え間なく生じる新たな課題を予期し、それらに対応しなければ ならないため、そのような行動が大いに求められています。そ のような課題は、新たなテクノロジや新たな監査要件・基準か ら始まり、急速に変化する事業環境にまで至ります。これらの 課題の多くは組織に不確実でかつ全貌の見えないリスクを生 じさせています。

プロティビティの調査結果によると、変化は今日最も大きな関心事であり、内部監査も変化についていかなければなりません。 この目的を達成するために、プロティビティの考える「次世代の 内部監査人」について考察します。考察を行うにあたっては、 内部監査の成熟度は業種によって異なるため、以下で挙げる 特性の中には、金融サービスなどの特定の業種においては既 に一般的なものが含まれているかもしれません。

次世代の内部監査人とは、事業部門、業務プロセス、および共 通職能に対して客観的な立場にあり、取締役会に対する直接 的な報告ラインを有する内部監査担当役員のことです。内部 監査担当役員は、企業の事業目的や戦略を理解しており、重 要な事業目標の達成に対して障害を作り出すリスクを認識でき るため、より多くの価値を取締役会に提供することができます。

さらに、次世代の内部監査人は、組織の重要な業務、コンプラ イアンス、および報告リスクに対応するガバナンス、リスクマネジ メント、および内部統制プロセスの整備状況と運用状況の有 効性について評価し、疑義を投げかける権限を有しています。 次世代の内部監査人はまた、それらのプロセスの強化につい て推奨を行い、未対応事項を適切な関係者に通知することに より、価値を作り出します。

これらの責任と独立的な地位を有することで、次世代の内部 監査人は組織の成功に最も重要な活動の十分性と有効性 を確保する上で、建設的な変革の推進者として、また価値あ る相談役として、取締役会を助ける立場にあります。例として、 次世代の内部監査人が価値をもたらす 10の方法を以下に示 します。

1. リスクの検証や監査計画立案の際に「（経営）戦略」を考 慮する─内部監査人は伝統的に業務、コンプライアンス、および報告に関する事項に焦点を当ててきましたが、次 世代の内部監査人はリスク評価と監査計画の策定にあ たってより戦略的に思考します。例えば、次世代の内部 監査人は、戦略を成功裏に実行する上での障害を特定・ 予測し、組織の最上層部におけるリスク選好に関する対 話を促進し、変化し続ける状況を反映するために会社の リスクプロファイルを更新し、そして新たなテクノロジの趨 勢が会社にどのような影響を与えているかを理解します。
2. 新たなリスクに関して早期に警告を発する─リスク評価 を定期的に更新しなければならないことはあまねく受け入れられていますが、次世代の内部監査人の視線は新たな リスクの適時の認識に向けられています。例えば、現行 の想定とは反対の立場から分析を行うことにより、会社の ビジネスモデルに破壊的な影響を与える可能性のある戦 略リスクやシナリオを識別することができます。
3. 業務やコンプライアンス、非財務報告（財務報告以外の 事項）に視野を広げる─長期間にわたってステークホルダーに提供される持続的価値を明示する観点からは、内 部監査が財務統制のみに焦点を当てることは十分ではあ りません。次世代の内部監査人は、ITセキュリティやプ ライバシー、事業継続や危機管理、サプライチェーン管理、 経費、人材管理、コンプライアンス管理を含めた、企業の 業務の重要な側面にも焦点を当てます。
4. リスクマネジメントが機能するようにディフェンスラインを 強化する─内部監査が実行可能なディフェンスラインとして機能するために、次世代の内部監査人は、組織のリス ク選好に従ってリスクを管理し得る水準にまで確実に低 減する上で必要な規律を組織がどのように確立している かについて評価します。次世代の内部監査人はまた、主 たるリスクオーナーと、独立的な立場にあるリスクマネジメ ントおよびコンプライアンス部門が、別個のディフェンスライ ンとしてそれぞれの責務を果たしているかどうかについて 判断します。これらの重点領域は、上申プロセスの有効 性に焦点を当てることと相まって、内部監査計画の焦点を 定める上での背景を提供します。
5. 意思決定のための情報の質を改善する─次世代の内 部監査人は、組織が有する業績測定指標、モニタリングの仕組み、および分析ツールや技法について、それらの信 頼性を評価します。それは、破壊的なリスク事象の発生 予兆を捉えるための一連の先行指標や遅行指標や傾向 指標が整備されていることを確かめるためです。次世代 の内部監査人が組織全般にわたるリスク情報の改善に 重点を置くことにより、事業の意思決定において用いられ る情報の改善につながり得ます。
6. リスク文化の弱体化の兆候を監視する─次世代の内部 監査人は、リスク文化の弱体化は有効なリスク管理の持続に対する手ごわい障害となることを理解しています。こ のため、次世代の内部監査人は、上級経営者や取締役 会と協力し、望ましいリスク文化との隔たりが存在するか、 それらの隔たりを是正するために組織の改革が必要であ るか、そしてそれらの変革を実行するための具体的な方 策が必要であるかを確認します。
7. テクノロジを活用する─テクノロジは、特定の内部統制の継続的モニタリングを自動化し、課題への対応状況を把 握し、必要に合致したダッシュボードと例外事項の報告機 能を整備する上での助けとなります。テクノロジを活用す ることにより、次世代の内部監査人は、影響度の高い領域 との関係を構築し、その領域に関する専門知識を備える ことに、より多くの時間を費やすことができます。テクノロジ に焦点を当てた監査アプローチは、より少ない労力でより 広い範囲をカバーし、より多くの分析的洞察を提供し、早 期警戒機能を備えることにより、次世代の内部監査人が 戦略的課題や重要な全社的リスクへ重点を移す上での 助けとなります。
8. 自動コントロールの活用を含めた内部統制の仕組みを改 善する─次世代の内部監査人はコントロールの仕組みを評価し、コントロールを取り除き、単純化し、焦点を定めたも のにし、自動化する機会を特定します。例えば、次世代の 監査人は、自動コントロールがマニュアルコントロールに比 べてコントロールの仕組みの透明性を改善し、リスクオー ナーと独立的なリスク管理部門が業務プロセスと重要な コントロールがどのように機能しているかについてより多く の洞察を得られると認識しています。プロティビティが行っ た調査によると、広範なプロセスとコントロールの自動化を 計画している組織は2014 年の 3 倍近くに増加しているこ とから、これは重要な点であると言えます。2
9. コンプライアンス管理を改善、合理化するためのアドバイ スを提供する─次世代の内部監査人は、多くの場合に組織が中核的な業務プロセスの改善に取り組むのと同様 の熱意を持って、コンプライアンス管理の品質に焦点を当 てます。例えば、次世代の内部監査人は、より合理化され、 端から端までを視野に入れたコンプライアンス管理を構築 するために、コンプライアンス管理部門と協働します。この 結果として、コントロール要件の設定、管理活動とコントロー ル活動の整合性確保、コンプライアンスやその他のリスク に関する報告の合理化と統合、および複雑性と重複の削 減についての組織全体にわたる連携が改善されます。
10. 常に不正リスクを警戒する─次世代の内部監査人は、包括的な全社的不正・汚職リスク評価ならびに組織の不 正・汚職防止プログラムの強固さの評価の重要性を理解 しています。例えば、次世代の内部監査人は、データマ イニングや分析手法を採用し、取引データを分析し、内部 統制の運用状況の有効性について洞察を得、更なる調 査が必要な不正の可能性のある活動のパターンやその 他の兆候を識別します。

取締役は、自社の内部監査担当役員が上記の価値ある事柄 の全てについて貢献することを期待していないかもしれません が、内部監査が重要なことを行っているかを定期的に評価す べきです。次世代の内部監査人というビジョンを受け入れる 内部監査担当役員は、包括的にリスクに焦点を当て、先見的 で変化を志向する適応性に富んだ行動を取ることにより、上級 経営者と取締役会に対して内部監査が貢献する価値をより 明確に示すことができるものと、プロティビティは考えています。

取締役会は、自社の内部監査担当役員に対する期待を明示 し、その期待に応えるために必要なリソースが備わった組織に おける地位を内部監査担当役員に確保することにより、次世 代の内部監査人への移行を促進することができます。

1. 内部監査部門の優先事項に関する調査報告書「Assessing the Top Priorities of Internal Audit Functions: 2014 Internal Audit Capabilities and Needs Survey」は、以下のサイトから入手可能です：www.protiviti.com
2. SOX法対応に関する調査報告書「SOX Compliance – Changes Abound Amid Drive for Stability and Long-Term Value: Highlights from Protiviti’s 2015 Sarbanes-Oxley Compliance Survey」は、以下のサイトから入手可能です： www.protiviti.com