ナレッジ

内部監査インサイト2017

大きなインパクトを与えうる重点領域

本レポートでは、内部監査部門が今後1年間で高いインパクトを与えられるであろう11の領域を取り上げ、ステークホルダーにとってそれらの領域が重要である理由と、内部監査部門が次の監査計画を作るにあたってそれらの領域にどうアプローチできるのかを解説しています。ぜひご覧ください。

レポート概要

いかなる組織においても、内部監査部門の客観性や見通す力、様々なスキルが、ステークホルダーを支援し、有益なインサイトをもたらす領域は数多く存在します。しかし、デロイトのグローバルCAE(内部監査執行役員)サーベイ2016年版1によれば、内部監査部門が組織内で強いインパクトと影響力を及ぼしていると答えたCAEはわずか28%に留まりました。ここから、内部監査部門が最も有益なインパクトと影響力を与えられる領域とは何かという疑問が浮かび上がります。 答えは内部監査グループごとに異なるものの、一般的に、主要ステークホルダーにとってリスクや重要性が最も高く、懸念が最大である領域に内部監査部門が取り組む場合に、そのインパクトと影響力が高まります。

本レポートでは、内部監査部門が今後1年間で高いインパクトを与えられるであろう11の領域を取り上げ、ステークホルダーにとってそれらの領域が重要である理由と、内部監査部門が次の監査計画を作るにあたってそれらの領域にどうアプローチできるのかを解説しています。
 

大きなインパクトを与えうる重点領域

・戦略策定
・サードパーティーの管理
・内部監査におけるアナリティクス
・Integrated risk assurance( 統合的リスク保証)/Combined assurance(統合的複合保証)
・サイバー
・デジタル化
・リスク文化
・戦略リスクと新興リスク
・サステナビリティ保証
・メディア監査
・新しいレポーティング方法

(PDF, 2.2MB)

戦略策定

ステークホルダーにとって重要である理由:

経営陣が組織の将来に渡る成功もしくは失敗の土台を築くのは、戦略策定においてです。前述のサーベイでは、今後3年間で自社の戦略策定プロセスを内部監査部門がレビューする予定だと答えたCAEは53%でした(過去3年間の35%から上昇)。現代のような変革の時代において、市場の変化や新たなリスクを踏まえて戦略策定プロセスを適切に遂行するには、こうしたレビューは極めて重要です。また、戦略策定を承認する取締役会も、定められた戦略策定プロセスが取られたことに独立した保証を望んでおり、仮に取られていない場合、理由が説明されることを求めています。忘れてならないのは、内部監査部門の任務は戦略そのものに疑問を投げかけることではなく、戦略策定プロセスと、その戦略を生み出したモデルの完全性、そして代替的シナリオや戦略的オプション、元となった前提をレビューするという点です。

考慮のためのステップ:

内部監査部門は、戦略策定プロセスを構成するすべての主要な要素、すなわち、関係者、データと情報、モデル、前提、シナリオ、承認、コミュニケーション、そして戦略の遂行状況をレビューする必要があります。高いインパクトを与えうる構成要素としては、経営陣が設定する主な前提やデータ・ソースが挙げられます。例えば、市場シェアおよび市場の成長、売上予想、金利、投入原価、製品の価格設定、資金調達先、規制当局の活動、についてです。内部監査部門はこのほかにも、モデルへのアクセス、数式の完全性、データガバナンスなど、モデルに関連したガバナンスをレビューする必要があります。加えて、内部監査部門は戦略策定プロセスの強化策を提案することも可能です。これにはより多くの関係者を関与させ、追加のデータ・ソースを使用し、モデルの完全性を高め、より幅広い戦略的オプションを考案し、戦略の伝達を効率化し、目標と比較しながらより厳格にパフォーマンスをモニタリングするといった内容が含まれます。
 

≫その他の領域については内部監査インサイト2017をご覧ください。 

サードパーティーの管理

ステークホルダーにとって重要である理由:

経営陣は、ベンダー、販売チャネル、関係会社、研究開発(R&D)パートナー、ライセンシー、クラウドおよびその他のITサービスを含め、サードパーティーのエコシステムに関係したあらゆるリスクに対応しなければなりません。デロイトの調査2によれば、過去2~3年間にサードパーティーに関連して事業の中断・阻害を伴うインシデント(disruptive incident)に直面した企業は87%にのぼり、うち28%が大規模な中断・阻害を、11%がサードパーティーの完全な機能不全を経験しています。一方、サードパーティーリスクの管理に用いるツールや技術については回答者の94%が、ほとんどまたはあまり信用していないと答え、リスク管理プロセスの質についても87%が同様に回答しました。取締役会はCAE(監査部門長)にサードパーティーリスクについて質問をしており、規制当局や顧客、投資家、メディアもサードパーティーリスクに懸念を示しています。

考慮のためのステップ:

内部監査部門は、理想としては、経営陣がサードパーティーとの関係やその関係全体を通じたリスクを管理する際に用いるプロセスの評価から始める必要があります。この関係はサードパーティーの審査・選定に始まり、契約を締結してサードパーティーを受け入れ、パフォーマンスと契約内容の遵守状況をモニタリングし、契約を延長または終了するまで続きます。管理プロセスの各段階で、サードパーティーの選定・契約締結手順、デュー・ディリジェンスおよび受け入れ時のチェックリスト、パフォーマンスと契約内容の遵守状況の評価指標といった要素をレビューします。サードパーティーリスク管理の成熟度を測るフレームワークは、経営陣が特定の領域において、目標に対し、どの程度の厳格さを目指すべきかを決定することに役立ちます。サードパーティーをレビューすることで、コスト低減と資金回収という高いリターンを得られる可能性があり、その場合(法令遵守とは対照的に)純利益に直結します。しかし、内部監査部門が広告、サイバー、投資計画などにおけるサードパーティーとの特定の関係を評価するには、専門的スキルが必要となる可能性があります。
 

≫その他の領域については内部監査インサイト2017をご覧ください。 

お役に立ちましたか?