ナレッジ
COVID-19影響下における内部監査の検討事項
新型コロナウイルス感染症(COVID-19)に対する組織の適応能力向上と内部監査のチャレンジ
新型コロナウイルス感染症(COVID-19)が組織の統制環境に与える影響について、参考となる前例がほとんどありません。多くの企業は経済的打撃を受けており、企業のリスク・内部統制・ディフェンスモデルに与える影響は広範かつ日々変化しています。本稿ではCOVID-19に対する組織の適応能力向上において、「内部監査の役割」、「内部監査のチャレンジ」、「内部監査において検討すべき新たなリスク領域」に関するデロイトの見解を概説します。
目次
- COVID-19危機状況下での内部監査の役割にも変化が求められています
- 内部監査人のモチベーションや組織におけるプレゼンス(存在感)の維持、リモートによる内部監査の実施などは内部監査にとってのチャレンジとなります
- COVID-19対応下では、内部監査は新たなリスク領域について検討する必要があります
- COVID-19収束後の「新たな常識(ニュー・ノーマル)」を見据えて、内部監査の変革やオートメーション(自動化)の検討が必須です
- デロイト トーマツの各分野の専門家が連携し、支援します
COVID-19危機状況下での内部監査の役割にも変化が求められています
第3のディフェンスラインである内部監査は、COVID-19危機への対応において、組織を理解すると共に関連スキルを駆使して重要な役割を果たすことができる部門です。内部監査は経営陣と取締役会に重要な「アシュアランス」を提供し、変化するリスクと統制の状況について「助言」し、新たなリスクを「予測」する重要な役割を担っています。
組織がCOVID-19に対応する中で、内部監査がどのようにして「アシュアランス」を継続するかは特に重要なポイントです。
移動制限や在宅勤務の制約下で、ドキュメントレビューやウォークスルーをリモートで実施することに加え、これまで以上にアナリティクスを活用することが求められます。また、限られた活動でアシュアランスを提供するためには他のアシュアランス部門との連携も非常に重要となります。
COVID-19が落ち着いてから内部監査を再開するのではなく、今何ができるのかを考えておく必要があります。
内部監査人のモチベーションや組織におけるプレゼンス(存在感)の維持、リモートによる内部監査の実施などは内部監査にとってのチャレンジとなります
リモートワークの環境下で内部監査はできる範囲のアシュアランスの提供を行いますが、内部監査人のモチベーションや組織におけるプレゼンス(存在感)の維持をすること、更には被監査拠点への訪問(特に海外)に制限がある中、遠隔で効果的な内部監査を実施することは大きなチャレンジとなります。
これまで「チーム」で内部監査に取り組んできた内部監査人にとって、リモート環境で「一人で」作業を進めることは不安であり、モチベーションの低下につながりかねません。このような状況でも内部監査人が「つながっていること」が重要であり、チームミーティングや個別面談などによって内部監査人を孤独にさせないよう留意すべきです。
また、組織におけるプレゼンス(存在感)を維持するためには適切なアシュアランスを提供し続けることが重要です。COVID-19対応で現場のコントロールが一時的に変更となることも予想されますが、「コントロールの無効化」となっていないかという視点が重要です。コントロールが適切に実施されているか確認する「実証手続き」に重きを置くことも検討すべきです。
さらに、移動制限のある中で海外拠点監査をどうすべきか悩ましいところです。リモートワークによるドキュメントレビュー、ウォークスルー、アナリティクスの活用によりできる範囲のアシュアランスを提供することは国内監査と同様です。国によっては日本より先に事業活動を再開する国もあり、往査の再開も視野に入れる必要があります。日本から出張して往査するのはまだ先になりそうですが、当該拠点への移動の制限を受けない地域にいる社内・社外のリソースを活用した往査の実施も検討すべきです。
COVID-19対応下では、内部監査は新たなリスク領域について検討する必要があります
COVID-19対応下においても在宅勤務などを取り入れて業務が継続されていますが、多くの企業ではリモートワークによる制約から既存の業務プロセスや内部統制が変更されています。これらの変更は効率性を向上させている面もありますが、統制レベルを犠牲にすることで業務処理誤りや不正を引き起こすことも考えられます。
働き方の多様化や不在時のバックアップのために、個人のアクセス権限拡大の必要性が高まったことから、アクセス権限の統制が犠牲になり利益相反が発生する可能性があります。リモートワーク環境や第三者のソフトウエアを利用する機会が増加することにより、利便性向上と引き換えにセキュリティが毀損される可能性もあります。また、円滑な業務処理のために内部統制の一部が簡略化されて、内部統制が無効化される可能性もあります。内部監査ではこれら業務プロセスや内部統制の変更が統制レベルに与える影響を検討することが望まれます。
さらにCOVID-19対応においては、事業継続やサプライチェーンに関するアシュアランスの提供も重要で、取引先も含めたサプライチェーン全体をアシュアランスの対象とすることが望まれます。特に重要な顧客・取引先が困難に直面するケースでは、コミュニケーションルートの確立や契約上の救済条項の有無などを検証することでサプライチェーンの持続に貢献できます。
検討すべき新たなリスク領域(例)
COVID-19収束後の「新たな常識(ニュー・ノーマル)」を見据えて、内部監査の変革やオートメーション(自動化)の検討が必須です
COVID-19収束後に企業活動が再開されても、その活動は完全には元の形に戻らないと予想されています。この危機の間に効果的に機能することが証明された多くの活動は「新たな常識(ニュー・ノーマル)」とされ、ビジネスの中に組み込まれていくことが考えられます。「新たな常識」に対応して変革が求められていることは内部監査も同様です。
リスク評価や(年度)内部監査計画の機動的な見直し、リモート作業の増加、出張の減少、テクノロジーの更なる活用などは内部監査に求められる変革の一部です。内部監査のオートメーション(自動化)などこれまでなかなか進展しなかったことに、本格的に取り組むべき時がきたと考えられます。
デロイト トーマツの各分野の専門家が連携し、支援します
デロイト トーマツでは、内部監査の専門家がデータアナリティクス、内部統制、ITの専門家と連携し、COVID-19対応と対応後(アフターコロナ)で期待される内部監査の構築・実施を支援します(リモート内部監査等)。
また、上記のCOVID-19対応の支援にとどまらず、以下の内部監査支援も行います。
・内部監査計画策定におけるリスク評価
・内部監査アウトソース・コソース
・内部統制評価
・内部監査高度化・立上げ
・内部監査におけるアナリティクスの活用
・内部監査の品質評価
・内部監査に関する教育・研修の実施、など
本記事に関してのより詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。
その他の記事
RPAの導入における新たなリスクマネジメント検討の必要性
RPAのリスクを全社的にどのようにとらえ、どのように対処していくか