次世代の内部監査~アナリティクスの活用~ ブックマークが追加されました
ナレッジ
次世代の内部監査~アナリティクスの活用~
内部監査の新潮流シリーズ(24):グローバル化やデジタル化を背景とした内部監査の変革には、アナリティクスが必要不可欠です。
企業のグローバル化やデジタル化の進展に伴い、企業の最も重大な潜在的なリスクに対して、適切な保証、助言、予測を実現するためにデータ分析を活用している内部監査部門が増えています。また、リスク管理にデータを活用する流れが加速していますが、多くの企業でデータを活用したモニタリング導入の課題が発生しています。このような課題への対応として、デロイトではクラウドベースのリスク分析サービス「Risk Analytics Connect」や企業の実情に応じたカスタム分析・内製化支援など様々なサービスを提供しています。
デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。
データを活用したモニタリングの必要性
企業のグローバル化やデジタル化に伴い、内部監査部門の役割は大きく変化しています。企業が抱えているリスクを適時に報告するだけでなく、リスクが顕在化する前にインパクトを予測し、その対応について助言することが期待されています。しかし、定型的な作業による慢性的な人手不足に加え、グローバル化やデジタル化への対応が遅れている内部監査部門が多く、企業の最も重大な(潜在的)リスクに対する助言の提供まで手が届かないケースが多く見られます。経営への有益な示唆をもたらすために、内部監査の変革が必要です。さらに近年、企業における相次ぐ不正事件を背景に、内部監査における不正リスク対応への期待が高まっています。
特に不正を発見するためにモニタリングの仕組みは必要ですが、従来型の監査アプローチ(オンサイトモニタリング)では①取引数が多く詳細にチェックしきれない、②経験と勘によるサンプルテストが前提、③リスクがない領域にも監査資源を充てることで非効率な監査となる、④外出制限下では往査が出来ない、⑤各拠点にモニタリングの人材を設置した場合に人件費が固定的に発生する、といった限界があります。
例えば、取引数が多すぎて、取引の全部をチェックしきれないという点を考えてみましょう。取引の全部をチェックできない場合、経験と人の勘によって、高リスクの取引を定義し抽出します。このような状況のときにCOVID-19等で外出制限がかかってしまうようなことがあれば、現場の状況が見えず、高リスクの取引を本当に抽出できているのか疑問が残ります。
データ分析の活用は異常値や高リスクの取引を勘に頼らず、事実ベースで抽出することを可能とします。統計的な異常発見手法を利用すれば、母集団の全体の理解および全体傾向から乖離する取引/店舗/部門/従業員を可視化できます。このアプローチを標準化することで属人化の予防にもなります。子会社への展開も容易であり、モニタリングのプロセス改善によって分析の結果の精度が高まり、高リスクのものを更にピンポイントで抽出できるようになります。
※画像をクリックすると拡大表示します
データ分析を活用したモニタリング導入の課題
アナリティクスを活用するモニタリングの仕組みを実現している企業は増えています。ExcelやAccessなどの汎用アプリケーションやACLなどのCAATツールを活用したり、SaaSなどのクラウドベースのツールを利用したり、自前でSQL、SASなどのプログラムを組んで実施したりするなど様々な形で導入されています。このようにリスク管理にデータを活用する流れが加速していますが、多くの企業でデータを活用したモニタリング導入の課題が発生しています。
- People(人材面の課題)
リスク管理を担当する部門は少ない人員体制であることが多いため、本業の傍ら分析スキルを持つ人材を育成することは難しいといえます。人事異動によって分析ノウハウが継承されないという問題もあります。また、統計分析スキルを持つデータサイエンティストや、データ加工のプログラミングができる人材は市場に少なく、外部から確保するのも容易ではありません。 - Process(プロセス面の課題)
リスクの兆候を捉えるリスクシナリオ(分析の観点)の立案が難しいという問題があります。また、分析結果からどのようにリスクを捉え、監査の現場に生かすのかについて検討することは容易ではありません。さらに、分析が属人的で自動化されていない場合には業務負荷が高くなるという問題もあります。 - Technology(テクノロジー面の課題)
社内にデータが散在し、加工しなければ分析に活用できない形式である場合には、結合作業やデータクレンジングが難しく、データを活用するためのハードウエア・ソフトウエアの選択が難しくなります。また、分析環境を導入・維持管理するのに費用がかかり、限られた予算の中で導入に踏み切れないという問題も発生します。
※画像をクリックすると拡大表示します
クラウドベースのアナリティクスツールの利点
このようなデータを活用したモニタリング導入の課題への対応として、標準のリスクシナリオと分析ロジックを実装したクラウドベースのアナリティクスツールを導入するという解決策が考えられます。
このようなアナリティクスツールの最大の特徴は、データ抽出がある程度可能である環境下においては、最新のリスクに対応した分析をすぐにいつでも利用できて適時・適切なリスク対応に寄与するという点です。内部監査部門においてプログラミング出来る人材を雇う必要がないため、プログラム化の工数を削減しつつリスクにフォーカスした内部監査の実現に役立つツールとなります。本来はCAATツール等の操作にリソースをあてるのではなく、データ分析結果をどう解釈するのか、どう対応(サンプル抽出、実地調査、現場からの報告の徴求、改善指示等)するのかに十分な時間をあっけるべきと考えます。
一般にクラウドベースのアナリティクスツールの特徴は、
- 標準のリスクシナリオが継続提供され、データ蓄積によって過年度と比較ができるので、分析精度が継続的に向上することが期待できること
- 難しいプログラミング習得は不要で手軽なこと
- 初期投資を抑えて短時間で導入できること
であり、会計データや売上データなどをクラウド上にアップロードすることで分析が実行され、不正リスクが高い取引や、財務上懸念される子会社の把握がクイックにできるというメリットがあります。クラウドベースのアナリティクスツールは、データアナリティクス導入や実施のための工数や費用を削減でき、分析結果を内部監査で活用することができるため、採用に踏み切っている企業が増えています。
※画像をクリックすると拡大表示します
デロイトには、クラウドベースのアナリティクスを使ったリスク分析サービス「Risk Analytics Connect」があります。豊富な分析事例をもとに、標準のリスクシナリオと分析ロジックを分析アプリケーションとして独自開発しリスクにフォーカスした内部監査の実現に役立つことを目的としています。また、これ以外にも各社の実態に応じたカスタム分析サービスや内製化支援サービスを提供しております。より高度な内部監査の実現を目指し、効率的な異常発見と重要なリスクの識別、企業全体のリスク管理能力の向上に貢献します。「Risk Analytics Connect」に関する詳しいご説明をご希望される方はトーマツのプロフェッショナルにお問い合わせいただくか、当ウェブサイトよりお問い合わせください。
***
トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせいただくか、当ウェブサイトよりお問い合わせください。
内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。
プロフェッショナル
仁木 一彦/Kazuhiko Niki
デロイト トーマツ リスクアドバイザリー パートナー
カイル ランネルズ/Kyle Runnels
デロイト トーマツ リスクアドバイザリー パートナー
菊永 ブルース/Bruce Kikunaga
デロイト トーマツ リスクアドバイザリー パートナー
