ナレッジ

内部監査におけるDXの活用ポイント

DX時代の内部監査

DXの推進は今後の企業の成長を左右するため企業は積極的に取り組むべきですが、リスクも伴うため、内部監査にはDX推進におけるリスクとコントロールを適切に把握・評価することで組織に大きな価値を提供することが期待されます。内部監査業務においても、リスクセンシング、AI/CI、プロセスマイニング、GRCツールなどのDXツールを活用することで有効性と効率性が大幅に向上し、内部監査の高度化が実現されます。

DX推進における内部監査の役割

DX(デジタルトランスフォーメーション)とは、単なるIT活用とは異なり、デジタル技術を活用して製品やサービス、ビジネスモデルを変革するとともに、業務、組織、プロセス、企業文化を変革し、競争上の優位を確立することです。DXの推進は、新たな機会の発見や収入源の開発、顧客や市場の要求への迅速な対応、そして業務の効率性の大幅な向上に寄与します。ビジネスにおけるDXの活用事例としては、RCAによる社内業務の自動化、ブロックチェーンを活用したトレーサビリティの高度化といったバリューチェーン/サプライチェーンのデジタル化、売り切りモデルからサブスクリプションモデルへの移行といった既存事業のビジネスモデル変革、異業種への参入といった事業領域の拡大などがあります。

DXは企業の競争力を大きく左右するため企業として積極的に推進すべきですが、一方でリスクも伴います。内部監査としては、DXを推進するにあたってどのようなリスクが存在するのか、そのリスクに対してマネジメントはどのように考えているのかを把握したうえで、リスクに対するコントロールの適切性を検証することで、組織に価値を提供する必要があります。

内部監査におけるDXの活用ポイント

リスク評価から年度監査計画、個別監査計画、事前準備、往査、報告、フォローアップという一連の内部監査プロセスにおいても、DXの活用範囲は幅広くあります。リスク評価プロセスにおける「リスク情報の収集・評価」(リスクセンシング)、事前準備における重要情報の入手・抽出やアナリティクス活用(AI/CI、OCR)、事前準備における評価対象のプロセスやデータの流れの把握(プロセスマイニング)、監査プロセス(ワークフロー)やレポートの自動化(内部監査ツール、GRCツール)などの領域で活用されています。DX活用によって内部監査を高度化し、有効性と効率性を大幅に向上させることができます。それぞれのDXツールを用いた高度化事例について以下で紹介します。

  1. リスクセンシングの活用
    リスクセンシングは、例えばSNS上のキーワードをモニタリングし即時にリスクやその予兆を検知したり、インターネット上の膨大なデータをもとに、アナリティクスと連携して短期から中長期に発生しうるリスクや予兆を分析する等、リスク予兆の認識・評価に役立ちます。
  2. AIを活用した情報の収集、アナリティクス
    AI機能を持つOCRが手書きのアナログ情報を読み取って分析可能なデジタル情報としたり、AI機能を持つツールが大量の契約情報から必要な情報のみピックアップしてスプレッドシートに整理する等、AIを活用することで事前情報の整理を効率化できます。
    また、AIを活用したアナリティクスでは、多くのデータをAIが学習し、複雑な因果関係・相関関係を理解することで、専門家が考えたシナリオからは抽出できなかった例外事象を抽出できる事例もあります。
  3. プロセスマイニングの活用
    プロセスマイニングツールは、監査対象業務を効率的に理解する方法として有用です。従来は、規程やインタビューから監査対象業務や情報フローを理解していましたが、時間がかかることに加えて例外的なフローが漏れることがありました。プロセスマイニングツールを活用することで、プロセスや処理の流れが動態的に可視化され、どの程度の処理がどの経路を辿るのか理解しやすく、どこにリスクが発生しそうか、理解に役立ちます。
  4. 内部監査管理(GRC)ツールの活用
    従来より存在する内部監査ツールやGRCツールも、効率化・高度化を通じて内部監査のDXに寄与します。
    内部監査ツールは、内部監査の一連のプロセスを支援領域とする「ワークフロー機能」、「データベース機能」、「レポーティング機能」を持ったツール・ソフトウェアです。Webベースのものが主流ですが昨今はWebアプリに対応しているツールも存在します。スマートフォンやタブレットで写真を撮り監査証跡として登録したり、インタビューをテキスト化して調書化することで、店舗や施設での監査の効率性が大いに向上します。
    GRCツールは、内部監査だけを管理するのではなくGRC(ガバナンス・リスク・コンプライアンス)機能全般を管理するツールです。リスク・コンプライアンス部門などの管理部門がGRCツールを活用している場合、それらの情報を内部監査部門が閲覧できるようにしておけば、リスク評価の精度が高まり、他のアシュアランス機能との活動の重複が避けられ、GRC業務全体の有効性と効率性が高まります。
お役に立ちましたか?