変容する企業のリスクに対応する専門チームの仕事とは？

DXを実現する各種最先端テクノロジーの浸透、地政学リスクの高まりなどを受け、企業やビジネスを取り巻く環境は大きく変化している。その結果、企業がリスクを十分に把握できず、企業としての適切な経営決定が難しい場面が少なくない。このような課題への対応を専門家としてサポートするのが、デロイト トーマツ リスクアドバイザリーだ。未来を見据え監査の変革と高付加価値化に向けた取り組みを進める有限責任監査法人トーマツ Audit Innovation部長 外賀友明が、デロイト トーマツ リスクアドバイザリーの齋藤雅司と村野裕和に、会計監査におけるリスクアドバイザリーの役割や担当領域、具体的な事例などを聞いた。

グループの総合力も活用し、各領域の専門家がワンチームで対応

外賀：デロイト トーマツのリスクアドバイザリーには、具体的にどのような専門家がいるのでしょうか。

齋藤：リスクアドバイザリーには、情報システムやその管理体制の評価、年金債務等の特殊な数理計算、金融商品の評価、不動産の評価、事業価値評価、複雑な税額計算、不正調査、データアナリティクス等の専門領域の知見を要するメンバーが在籍しています。リスクアドバイザリーのメンバーは、会計監査業務だけではなく、アドバイザリー業務にも従事しているため、最新のリスクやテクノロジーに精通しており、こういったメンバーが会計監査業務参画することによって、高品質な監査の実践を推進出来ていると考えます。例えば、人数が最も多いITの専門家チームは、最新のIT技術とITガバナンスを実践で鍛えた600名超を擁しており、複雑かつ大規模なIT環境の監査においても十分に対応できる組織力を維持しています。 また、IT専門家は、外部委託先の内部統制の状況を確認するための保証業務や、ITガバナンスに関する助言・指導業務、システム導入・移行プロジェクトマネジメントの第三者評価業務等にも対応しており、様々な業務を通じて、社会、企業の要請に応じながら、様々なITリスクに対応してきています。

さらにデロイト トーマツ グループには、税務・法務、ファイナンシャルアドバイザリー、コンサルティング、サイバーセキュリティなど、それぞれ専門に特化しているグループ企業があり、そういった専門家と連携することもあります。

村野：ITの専門家の知見の財務表監査への活用の事例をご紹介すると、近年、基幹システムの更改時期にさしかかった企業が数多くあります。システム更改時に、多くの企業は外部のベンダーに対応を依頼しますね。その際、ベンダーがシステムやアプリケーションへのアクセス権限を必要以上に多くの関係者に付与してしまうケースがあります。これは開発効率を考えての選択ですが、一方で開発完了後も過剰に権限を付与している状態が続くと、サイバー攻撃を受けるリスクの増大につながります。しかしこういったリスクは、特にIT部門のリソースが限られた企業にとって発見するのは容易ではありません。

そこで私たちは専門家として、こういったリスクを提示するとともに、その解決に向けたアクションをサポートします。基幹システム更改の例でいえば、私たちは「誰にどのような種類の権限をどの程度付与しているか」を可視化する独自ツールを持っているため、そのツールを活用して適切な権限を付与し直すことでサイバー攻撃のリスクを低減できます。

外賀：幅広い分野の専門家が連携するからこそ、企業内部だけでは気づかないようなリスクまで見つけられるのですね。

村野：まさに、デロイト トーマツの強みは、グループの総合力も生かして多様な専門家が連携し、ワンチームでリスクの識別・評価・対応にあたることです。デロイト トーマツ グループには「MDM（Multi-Disciplinary Model）」という考え方があります。これはグループが有する多岐にわたる知見やサービスを融合し、独自の価値を生み出していこうという考え方で、会計監査やリスクアドバイザリーだけでなく、他分野のサービスにも適用されています。

クルマでいえば、複数の多様で強力なエンジンを持っているようなもので、だからこそデロイト トーマツはどのような企業の課題にもワンストップで応えることができます。公認会計士と各専門家の関係性についても、「どちらが上」ということはなく、フラットな立場で連携するという企業風土があります。この風通しの良さも、デロイト トーマツならではのカルチャーではないでしょうか。

齋藤：これまで現場で得たさまざまな課題やトラブルを解決するための知見を、方法論としてフレームワークに落とし込むなど、ツール化して企業に提供するなどしています。先ほど村野がご紹介した、基幹システムの権限付与を可視化するツールなどはまさにその一例で、デロイト トーマツ グループで開発されたツールを会計監査業務に活用し、システムの実機の設定値を分析することにより、企業の中では、気づくことが難しい、ガバナンス上の課題を識別し、会計監査の高度化を図るとともに、ケースによっては、企業のガバナンス向上に資する提言もさせていただくこともあります。またアナリティクスの専門部隊は、財務データを分析して、不正傾向を検知するAIモデルを開発しています。企業にこのツールを提供することで疑わしい動きをいち早くキャッチして不正を未然に防ぐことができます。また業界ごとに不正が起こりやすい領域を把握し重点的に監査する領域を特定するなど、監査品質向上に大いに役立っています。

決算直前に会計データが暗号化。増えているランサムウェアのリスク

外賀：リスクアドバイザリーが会計監査品質の向上に寄与した、具体的な事例を聞かせてもらえますか。

齋藤：例えば、近年特に多い案件に、サイバーインシデント、ランサムウェアの被害があります。私の担当企業でも、ランサムウェアにより会計データが暗号化され、手がつけられない状態になっていたことがあります。

その企業には我々のITの専門家が関与していましたので、すぐにそのメンバーが中心となって対策チームを組織。サイバーインシデントに詳しいメンバーにも入ってもらい、まずは被害がどこまで広がっているのかを把握することに注力しました。

被害範囲を特定したら、次は基本的にはバックアップデータの復旧を確認する流れになります。この過程においても、バックアップデータが本当に信頼に値するのか、アナリティクスの専門家等が中心となり精査する必要があります。データ復旧後は、会計システムの正確性や業務プロセスが以前と同じように担保されているのかを監査の専門家である公認会計士が進めます。このように複数の専門家が連携して迅速に対応することで、なんとか監査を終えることが出来ました。

ただ、我々の取り組みはそこで終わりません。今後、同様のサイバーインシデントを発生させないためには、どのような施策やガバナンス構築が必要なのかについての提言も行っていきます。

村野：グローバル展開をしているある別のクライアントにおいても、海外でランサムウェアの攻撃を受けたケースがあります。決算直前というタイミングで、狙われたのはセキュリティが日本よりも脆弱な海外子会社のシステムでした。

そのときは現地のデロイトのセキュリティ専門家から逐次状況報告を受けると共に、東京のチームも現地に飛んで特別対応を開始しました。バックアップデータの復旧を確認し、無事に監査を終えることができましたが、その後は、齋藤が説明したケースと同様、今後同じ被害にあわないよう、グローバル展開するすべての国のセキュリティの改善状況の確認を実施しました。このようにグローバルベースでリスクアドバイザリーの専門家が協働することが出来る点もデロイト トーマツの強みであると考えています。

適切なリスク対応が監査品質を高め、企業価値向上につながる

外賀：リスクアドバイザリーの重要性がとてもよく分かりました。

村野：サイバーインシデント対応やセキュリティ強化については、企業内で対応することも可能です。しかし日本企業の中には、いわゆる縦割りの組織、文化が残っている企業も少なくありません。一方、業務システムは部署を超えて使うものですから、リスク対応に関しても組織横断で実施していくことが求められています。もちろん企業によっては、いわゆる「3線モデル」を導入するなどして全組織的にリスク管理をしているところもあります。しかし、内部統制や内部監査の担当部署が専門領域、特にIT領域を深く把握しているケースが少ないのが現状です。

デロイト トーマツ グループには、各分野の知見を備えた大勢の専門家がいます。また企業の外部にいるからこそ、第三者の観点から俯瞰的にリスクを捉えることができるという側面もあります。これは第三者として会計監査を担うのと同じです。

齋藤：冒頭でもお話しましたが、ビジネス環境の変化が大きくなるにつれ、企業内部にいては気づきにくい、重大なリスクも増えていきます。私たちは、そのようなリスクを明確化して適切な対応をサポートすることで、より高品質な監査を目指しています。これは、リスクアドバイザリー領域で、とても強いビジネスプラクティスを持つデロイト トーマツ グループだからこそ実現できている枠組みだと思っています。この枠組み、取り組みより、監査品質を高め、企業価値の向上、ひいては資本市場の健全化に寄与することが、私たちが達成したいことです。

外賀：リスクアドバイザリーに対する企業ニーズの複雑化・多様化に合わせて、デロイト トーマツ グループの強みであるMDMの実践を通じたアドバイスが増々求められてくることが想定されます。多岐にわたる専門家の知見・ノウハウとデジタル・AI活用を組み合わせながら、監査の価値向上につながるよう、Audit Innovationを推進していきたいと感じました。本日は、ありがとうございました。