東南アジアにおける地域統括会社が考慮すべき内部統制、内部監査のデジタル化のポイントについて

はじめに

2023年4月に公表された「アジア進出日系企業におけるリスクマネジメントおよび不正の実態調査」では、東南アジアにおける日系企業の経営管理者におけるリスク認識に大きな変化が見られました。前年度まで最上位であったパンデミックへのリスク認識が大きく低下する中、人材流出や人材獲得の困難による人材不足が全体での最大のリスクと認識されている結果となりました。

また、今後1年程度で必要なリスク対策として、コスト削減および企業戦略の見直しに次いで、3位に内部統制強化が挙げられています。昨年度の調査でも同順位であったことから、上記のようなリスクへの対応策を効果的に地域内で実行するための重要な要素として内部統制（およびその実行手段のひとつである内部監査）の重要性に関する認識が高まってきている、といいうことができるでしょう。

東南アジアでの日系企業における内部統制上の課題

コロナ後の状況を踏まえ、東南アジアにおける日系企業からは内部統制、内部監査について下記のような課題が聞かれています。

• 過去から内部統制を強化し続けているものの、未だに業績や業務品質に大きな影響を与える不正やミスがなくならない
• 内部統制を強化し続けてきた結果、オペレーション上のコントロールが過剰になり、業務部門に多大な負荷をかけている
• 内部統制の効率化の議論は常に出ているものの、すでに導入されたコントロールを削減、緩和できていない。過去にたった一度だけ発生した小規模の不正やミスを防止するために、多大な負荷をかけてコントロールを実装し、それが固定化しているケースもある
• 業務プロセス上のコントロール整備が十分でなく、属人的に運用されている。この結果、部門や担当者によって内部統制の水準にばらつきがあり、要員の離職時に引継ぎがうまくいかないことや、過去に気づかれなかった問題が露呈することがある
• 内部監査を含む内部統制に関する業務について、情報収集やそのとりまとめ、分析、報告等に多大な負荷がかかっている
• 内部監査の対象範囲や手法が進化しておらず、コロナ後の新たな業務のやり方や最新のデジタルに関するリスク、あるいはESGやSustainabilityなどに関するリスク把握が漏れているのではないとの懸念がある

課題への対応策

上記のような課題に対して、内部統制・内部監査に関連するマニュアル整備、要員の増員やトレーニング等の施策を講じることに加え、最近はデジタルを活用した内部統制の高度化への関心が非常に高まっています。今回は下記のとおり3つの対策をご紹介します。

1. データアナリティクス
   
   ERPや業務システムに蓄積されたデータを分析し、人間が直感的に理解できるようにダッシュボードやグラフなどで可視化をすることで、通常の取引や業務から逸脱した不正やミスの兆候を発見するものです。
   
   対象データの全件を分析対象にできることから、従来のサンプルベースの分析では見逃していたケースを発見することが期待されます。特に東南アジアでは購買、在庫管理、営業プロセス等に潜む不正の兆候を発見するための分析例が増えています。
   
   
   
   
   
   
   COVID-19の期間中に東南アジア拠点に対する現地往査を行えなかったことから、データを活用した監査の実施を決定し、アナリティクスツールを用いた現状プロセスの分析・リスクの把握を行ったケースも多く見られました。
   
   
2. プロセスマイニング
   
   
   上記アナリティクスの一部と分類されることが多いですが、ERPなどのデータ、特に業務上のシステム操作のログを使い、取引の流れや業務の全体像をフローとして可視化するものです。また、何か異変を感じた際にはその業務の部分を深堀し、多面的な分析が可能となります。
   
   
   特に東南アジアでは、最近の人件費の高騰・離職率の増加に伴い、オペレーションを支える要員が確保できず、事業継続に関わるリスクとして認識されるケースも増えています。その対策として、可能な限り人に依存しないオペレーションを実現するためのデジタル化が注目されています。プロセスマイニングは業務上の非効率な部分の特定や不正の兆候を発見することで、業務の自動化や効率化、品質向上を通じ業務改善を強力に後押しするツールとしての認識が広まっており、実際の導入事例も増えてきています。
   
   
3. GRC(Governance Risk Compliance)ツール
   
   内部統制やリスク管理、内部監査等の業務を支援するツールです。従来はスプレッドシートやメール等のバケツリレーとも呼ばれるようなマニュアル作業で処理されてきた業務を、ERPなどと連動して自動化するものです。
   
   内部統制に関する業務では、システム間連携をすることで証跡の収集を自動化することや、証跡間の照合作業やテストの自動化、レポート作成の自動化などができることや、関係者のコミュニケーションを一元的に管理することでタスク管理や指摘事項の進捗報告や消込管理なども可能となります。
   
   
   
   東南アジアでは、地域内の各国に対する内部監査業務の効率化と品質の平準化を目指し、内部監査を管理するシステムを導入するケースや、ERPの追加モジュールとしてERP内のデータを活用し、自動で内部統制のコントロールテストを実施しその結果を報告するような活用事例も出始めています。

地域展開時の留意点

上記のようなデジタルを活用したソリューションは非常に高い効果が見込めるものの、分析の元になるデータの品質や業務の複雑さ、あるいは電子化の度合いなどで導入の難易度が左右されることに留意が必要です。東南アジアでは、各国でばらばらのシステムを運用していることやデータの定義が揃っていない、システム化が十分でなくマニュアル業務が多数存在するためデータ取得が困難等の課題もよく見受けられます。そこで、多くの企業ではパイロット導入拠点を決め、PoCという形式で効果を検証するアプローチにより導入時のリスクを減らすような取り組みも増えています。

また、ある拠点で成功したデジタル施策が他の拠点で容易に展開できるかは、各国での組織の成り立ちや歴史、事業特性やシステム基盤の仕様等に大きく影響を受けることから、地域内での横展開時には拠点間のその重要な差異を認識したうえで、綿密な計画を立案することが重要です。

さらに、このような取り組みを社内で強力に推進するためにCoE（Center of Excellence）というチームを立ち上げ、小さく始めて大きく育てる、という発想の元にPoCで得られた知見を共有し、他国に展開するためのサポートや推進役となるような活動も数多く見られるようになりました。

さいごに

デジタル活用を一回限りの活動で終わらせることなく、継続的な内部統制の高度化を目指すためには、内部統制部門のみならず業務部門の協力を引き出すことが不可欠であり、そのためにはキーマンの巻き込みや継続的な活動をサポートするためのチーム作り、および経営からのサポートが望まれます。