ナレッジ

内部監査の新しい潮流 ~次世代の内部監査への変革~

内部監査の新潮流シリーズ(1):内部監査の変革を実現するためには、デロイト トーマツの次世代内部監査モデルが有効です

次世代の内部監査の一番の特徴は内部監査の自動化です。内部監査は今後、「アシュアランス」だけでなく「助言」と「予測」という役割も期待されるため、次世代の内部監査では、標準的アシュアランスを自動化し、リソースは助言・予測にシフトします。また、アジャイル型内部監査により、必要な監査を機動的に実施することも重要です。内部監査を本気で変革するには、次世代の内部監査モデルをパーツではなく全体をパッケージで検討することが必要です。

目次

デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。

内部監査の新潮流シリーズ一覧へ

内部監査に求められる新しい役割

デロイト トーマツは次世代の内部監査Internal Audit 3.0のフレームワークを公表しており【図1】、この中で特徴的なポイントとして「内部監査に求められる新しい役割」【図2】があげられます。内部監査は従来からアシュアランスの役割を担ってきましたが、次世代の内部監査モデルではアシュアランスに加えて「助言」と「予測」という役割が期待されています。

アシュアランスは内部監査の伝統的な役割で、財務、IT、オペレーション、コンプライアンスなどに関して「統制やリスク」のアシュアランスを提供するものです。引き続き重要な役割の一つではありますが、標準的なコアプロセスに対するアシュアランスはできる限り自動化し、その分、「重要なリスクに焦点を当てたアシュアランス」や、「新しい役割である助言や予測」にシフトしていくことが期待されています。

「助言」は実際にリスクを管理している第1ラインや第2ラインの機能や部門にアドバイスを提供することです。すでに多くの内部監査でルール違反等の指摘だけでなく現場の業務改善につながる助言を提供していますが、ここではもう少し踏み込んで助言すべき対象を整理しています。IIA国際基準ではコンサルティングという言葉を使って通常のアシュアランス業務とは異なる進め方を提唱していますが、これもこのアドバイスに含めて整理することができます。

そして予測の役割です。企業を取り巻く環境が激変し、リスクが多様化する中で、リスク管理や内部統制の専門家としての観点からリスクを予測し、マネジメントに報告・提言することが期待されています。内部監査人のリスク感度を高めるだけでなく、アナリティクスやデジタルテクノロジーを活用することが考えられます。

【図1】次世代の内部監査Internal Audit 3.0フレームワーク
※画像をクリックすると拡大表示します
【図2】次世代の内部監査の機能・役割
※画像をクリックすると拡大表示します

コアアシュアランスの自動化

次世代の内部監査Internal Audit 3.0のフレームワークの中で次に特徴的なポイントは内部監査のDX(デジタルトランスフォーメーション)です。今後、内部監査の様々な領域にデジタルを導入していくことが期待されていますが、その中でもコアアシュアランスの自動化は不可欠です。

販売、購買、在庫管理、経費支払など財務およびオペレーションのコアプロセスに関するアシュアランスは、内部監査の重要な役割の一つです。内部監査部門の多くは、現場の業務プロセスを理解し、取引データを分析し、標準的な監査手続を完成させてきました。しかし、内部監査に対する新しい期待に応えるためには、内部監査人を大幅に増員するかコアアシュアランスを効率化して内部監査リソースをシフトすることが必要です。

コアアシュアランスを効率化するため、標準的な監査手続についてはデジタル資産を活用し、コアプロセスに関するアシュアランスをできる限り自動化することが望ましいと考えられます。コアアシュアランスの自動化が実現できれば、余裕ができるリソースを付加価値の高い内部監査活動にシフトすることが可能となります。マネジメントを含むステークホルダーにとっては、リアルタイムでアシュアランスの提供を受けることが可能となります。

【図3】内部監査の自動化
※画像をクリックすると拡大表示します

アジャイル型内部監査

次世代内部監査Internal Audit 3.0のフレームワークの中でもう一つ特徴的なポイントは「アジャイル型内部監査」【図4】です。デロイト トーマツはアジャイル型内部監査を提唱し一部のグローバル企業で採用されてきましたが、最近では日本企業からの問い合わせも増えてきました。

アジャイル型とはもともとシステム開発の一手法のことですが、刻々と変わるリスク情報を基に必要な監査を機動的に見直しながら実施するものとしてアジャイル型内部監査が提唱されました。

伝統的な内部監査では一つの監査を計画・往査・レビュー・報告まで3か月程度かけて実施することが一般的です。特徴としては計画段階の事前準備にしっかりと時間をかけ、監査対象のリスク情報を入手・分析したうえで監査手続きを作り上げます。そして事前に作成・承認された監査計画や監査手続きに基づいて往査を実施します。監査報告書は各社の作法に従い、ベテラン監査人の厳しい目でチェックを受けてマネジメントに報告されます。

一方のアジャイル型内部監査では計画から報告までの一サイクルを2週間程度で回していきます。監査対象のリスク情報を入手して優先順位付けを行い、2週間のサイクルで終了できる範囲に絞って往査・報告まで実施します。リスク情報は刻々変わりますし、現場に行って「想定と違っていた」ということもあります。状況が変わっても事前に決めたとおりに最後まで完了させることが必ずしも最良ではないこともあり得ます。また、監査実施前にマネジメントの懸念を入手して監査を実施しても、その報告が3か月後というのは遅くないでしょうか。アジャイル型では2週間で報告するサイクルとなっているので、「自分の懸念していることが監査してみてどうだったのか早く知りたい」というマネジメントの期待にもこたえられる手法であると考えられます。

伝統的な内部監査とアジャイル型内部監査のどちらが優れているという問題ではありません。各社の実情や監査テーマ、マネジメントの意向などを考慮したうえで、伝統的な内部監査とアジャイル型内部監査を組み合わせて実施することが次世代の内部監査では求められています。

【図4】アジャイル型内部監査
※画像をクリックすると拡大表示します

次世代の内部監査に向けた変革のポイント

内部監査の新潮流として次世代の内部監査モデルInternal Audit 3.0のフレームワークの中から特徴的なものをご紹介しました。Internal Audit 3.0の要素は先進的な取り組みで構成されています。

内部監査の品質向上に向けて一つずつ先進的な取り組みを採り入れながら、徐々に高度化を図るという方法も考えられますが、各要素は互いに関連しあっているため、次世代の内部監査を本気で目指すにはフレームワーク全体をパッケージとして導入するなど大きな変革が必要です。

次世代の内部監査に向けた変革のポイントとしては、

  1. 内部監査の役割は、アシュアランスだけではなく、アドバイスと予測も期待されていること
  2. アシュアランスのうち定型的なものはできる限り自動化することを検討すること
  3. アナリティクスは引き続き、一層の活用を検討すべきであること
  4. 内部監査に必要な人材とスキルを確保するために、リソースモデルを検討すべきであること
  5. 伝統的な内部監査だけでなく、アジャイル型内部監査の導入を検討すべきであること
  6. 現状に満足せず、イノベーションを推進して付加価値を提供し続けること

があげられます。これらの内容につきまして、詳しくは「内部監査実務ハンドブック」をご覧ください。

 

また、有限責任監査法人トーマツでは次世代の内部監査への変革を本気で取り組もうとする企業向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。

内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。

≫ お問合せフォーム ≪

目次

お役に立ちましたか?
内部監査

内部監査実務ハンドブック(第3版)