「内部統制の未来」を通じてコントロールインテリジェント化を目指す

はじめに

リスクを伴わないビジネスはありません。また、重要な点は、リスクの状況自体が絶えず変化していることです。具体的には、規制と標準は進化し続け、終わりのないように見える「いたちごっこ」の中で新しい形の外部リスクが常に発生している中、組織は流動的な状況に陥ることが多くなっています。組織は、時代にとり残されないよう、リスクを予測的に検知するための調査を進めていますが、多くの組織はまだ十分に対応できず、変化のペースについていけていません。

コントロールインテリジェント化を目指す

こうしたビジネス環境が、ダイナミックで予測不可能な中においても、安定性と成功を実現するには、統制が重要な役割を果たします。実際、統制はリスク管理において常に重要な役割を果たしてきました。これは、組織が資産、オペレーション、評判、リソースを脆弱性から保護しつつ、「物事を成し遂げる」ための反復的なプロセスです。こうした背景から、これまで以上に組織が「コントロールインテリジェンス」になることは必要不可欠です。これは、組織が将来に備えて、継続的、柔軟かつ包括的なリスク管理を提供する統制環境を構築し、維持することを意味します。コントロールインテリジェント化において特に重要なのは、統制によって組織が状況の変化に迅速に対応しながら、効果的かつ効率的に業務を遂行できるようにすることです。

デロイトによる最新の「内部統制の未来」ベンチマーク調査に示されているように、先進的でコントロールインテリジェントな組織は自ら道を切り開き、方向性を示唆しています。本レポートには、業界全体にわたる500以上のグローバル組織から得られたデータと洞察が掲載されており、コントロールインテリジェントな組織に共通する行動、ベストプラクティス、テクノロジーエコシステムに焦点を当てています。高度にコントロールインテリジェントな組織は、内部統制を適用してレジリエンスを強化し、将来に備え、最終的には、変動や不確実性の中にあっても成長し続けることに成功しています。

コントロールインテリジェントであるためには何が必要なのか

デロイトのコントロールインテリジェント（CI）インデックスは、5つの主要な要素で構成されています。

• 戦略、成熟度、ガバナンス
• 運営モデル、文化、ケイパビリティ
• リスクと統制のフレームワーク
• 統制のテクノロジー、自動化、デジタル化
• 統制のモニタリングと保証

これらの要素の組み合わせに基づいて、組織の統制環境全体の成熟度を反映したCIインデックスが設定されます。デロイトの「内部統制の未来」ベンチマーク調査では、コントロールインテリジェントな組織と高いCIインデックスの間に明確な相関関係があることが示されています。

デロイトのCIインデックスを効果的に使用することで、組織は価値ある洞察を得て、現実的な改善目標を設定し、成熟度レベルを高めるために的を絞ったイニシアチブを実施することができます。これにより、組織の卓越性、パフォーマンスの向上、競争上の差別化が促進されます。

コントロールインテリジェントインデックス

組織の統制への取り組みは、その戦略、統制環境の成熟度、組織が受ける規制コンプライアンスのプレッシャーのレベル、管理する必要がある特定の業界動向によって異なります。標準的な成熟度フレームワークとの単純な比較では、統制への取り組みの成熟度に関する真の洞察は得られません。また、組織が注力すべき分野を理解し、優先順位を付けるうえでも不十分です。

デロイトのコントロールインテリジェントインデックス（CIインデックス）は、組織が現在の統制の状態と成熟度を評価し、大胆かつ前向きで目的に合った「内部統制の未来」に関するプログラムを定義、設計、実装することに役立ちます。CIインデックスはデータに基づいており、他組織との有意義な比較を可能にし、持続可能な未来を見据えた示唆を提供します。

CIインデックスの算出には、5つの主要要素と20のパラメーターがあります。主要5要素は次のとおりです。

1. 戦略、成熟後、ガバナンス：組織戦略、経営陣の姿勢、リスク管理戦略との連携
2. 運営モデル、カルチャー、ケイパビリティ：3つの防衛ライン、第一ラインの統制アンバサダー、統制文化、統制経験とトレーニング
3. リスクと統制のフレームワーク：プロセスおよびリスク統制マトリックス（RCM）の文書化、リスクと統制の基準、ガイダンスとテンプレート、内部統制の履行状況
4. 統制のテクノロジー、自動化、デジタル化：統制のデジタル化レベル、デジタル化の障害、テクノロジーの優先利用、ガバナンス・リスク・コンプライアンス（GRC）ツール
5. 統制のモニタリングと保証：リスクと統制の指標、統制テストの頻度、外部監査人への信頼度、保証努力のレベル、統制結果の追跡可能性

CIインデックスは、上記の主要要素とパラメーターに基づいて1から4のスケールで測定され、4が最も成熟度が高いことを表します。

コントロールインテリジェントな組織が大胆で前向きな未来をリードする

デロイトの「内部統制の未来」ベンチマーク調査データでは、コントロールインテリジェントな組織がデジタルに対応した大胆な「内部統制の未来」への取り組みを推進し、価値を保護しながら成長を実現している方法を示しています。コントロールインテリジェントな組織はすべてが5つの主要な共通原則に従い、調査データから導き出された10の主要テーマと捉えています。こうした原則とテーマは、業種（規制の度合いにかかわらず）や収益・規模に関わらず、より強固なレジリエンスと成功への共通の道筋を浮き彫りにしています。

上記の原則とテーマのいくつかは初歩的で簡単な印象を与えるかもしれません。一方で、これまでのリスク管理の場で議論されてきた経験から、大多数の組織がこれらに適切に従い、定着させるとは、言えない状況です。結果、テクノロジー主導の統制、統制教育、統制文化にさらに焦点を当てる必要性があると考えています。

進むべき道

では、将来に備えて組織を「コントロールインテリジェント」にするためにはどうすればよいのでしょうか。「内部統制の未来」への取り組みは、統制環境の成熟度、組織が受ける規制コンプライアンスのプレッシャーのレベル、管理する必要がある特定の業界動向に基づいて、組織によって異なります。ただし、成熟度と変革のレベルに関係なく、その最初の一歩を踏み出すには、どの原則を改善する必要があるか、そしてそれぞれの原則に統制をどのように適合させるかを理解することから始まります。これを実現するために、デロイトのCIインデックスが役に立ちます。

その他、効率を高め、エラーを減らし、これらの原則を達成するためにテクノロジーを効果的に活用する機会もあるということも重要です。組織は、統制のライフサイクルのあらゆる側面でデジタル化を追求する必要があります。

「コントロールインテリジェント」になることは、単に統制戦略を設定し、リスクフレームワークを評価し、プロジェクトを「一度きり」にしてしまうことを防ぐことを意味します。「内部統制の未来」は、上記の原則とテーマを日常業務、リーダーシップアプローチ、組織のDNAに埋め込むという、継続的な取り組みです。適切なステップを踏んで行動を起こすことで、組織は、現在の組織を強化して保護するとともに、将来にわたってレジリエンスと成功を促進する柔軟な統制のフレームワークの恩恵を受けることができます。

デロイト グローバルの「内部統制の未来」ベンチマーク調査はこちら（英語）
Becoming control intelligent through the future of controls