内部監査インサイト2018 ブックマークが追加されました
最新動向/市場予測
内部監査インサイト2018
インパクトが大きな重点領域
本レポートでは2018年の「インパクトが大きな重点領域」である13項目にフォーカスをあて、内部監査部門にとってポジティブなインパクトをもたらす機会となる活動およびリスクを解説しています。新たな難題への取り組みにおいて、内部監査部門の客観性、スキル、助言を誰よりも必要とするステークホルダーにとって、13の重点領域は納得できる項目となるでしょう。
デロイトのリサーチ や過去の経験から、ステークホルダーが内部監査部門に望むのは、過去よりも将来のリスクや問題に焦点を当てることだということがわかっています。これは、過去を監査するよりも、将来に向けた助言が求められているということであり、未知のリスクが生じる可能性のある活動に焦点を当てるということになります。このためには、新たなスキルや人材育成が必要となる場合があります。また、新たなフレームワークやステークホルダーとの連携も必要となります。しかし、新たな組織体制や環境に対応することができなければ、組織内で戦略的に重要であると期待されている内部監査部門の役割が、適切に果たせないことになりかねません。
こうしたことから、2018年の「インパクトが大きな重点領域」である13項目は、内部監査部門にとってポジティブなインパクトをもたらす機会となる活動およびリスクを明らかにするものとなっています。コアアシュアランス業務の自動化やアジャイル型内部監査の導入といった新しい手法を取り入れ、デジタルリスクなどの新たな領域を監査対象とし、それらの問題に対する組織内の関心が高まるにつれて内部監査部門のインパクトや影響力は大きくなります。また、新たな難題への取り組みにおいて、内部監査部門の客観性、スキル、助言を誰よりも必要とするステークホルダーにとって、13の重点領域は納得できる項目となるでしょう。
13の重点領域
- ロボティック・プロセス・オートメーション(RPA)とコグニティブ(認知)インテリジェンス(CI)
- デジタルリスクの監査
- サイバーセキュリティ
- データプライバシー
- 内部監査アナリティクス
- コアアシュアランスの自動化
- クラウドマイグレーション(移行)
- サードパーティーリスク
- カルチャーリスク
- オペレーショナルリスクに対するアシュアランス
- 危機管理
- アジャイル開発の監査
- アジャイル型内部監査
ロボティック・プロセス・オートメーション(RPA)とコグニティブインテリジェンス(CI)
ロボティック・プロセス・オートメーション(RPA)は、ソフトウエアを用いた仮想環境におけるルールベースの作業自動化であり、人手による作業と同等かそれ以上の成果をもたらします。また、多くの場合、RPAは複数のシステムに対応します。一般的に、繰り返しの手作業をより効率的・効果的に実行します。
コグニティブ(認知)インテリジェンス(CI)はRPAを一歩進めたものであり、自然言語処理(NLP)と自然言語生成(NLG)、人工知能(AI)、機械学習(ML)などの機能を有します。CIは、データからコンセプトや関係性を読み取り、その意味を「理解」したうえで、データ上のパターンや過去の経験から学習します。
RPAとCIはいずれも、ビジネスの現場やセカンドライン(バックオフィス)で採用が進んでいます。この傾向は、特に金融サービスなどのデータ集約的な分野で顕著です。このように多くの利点を持つRPAとCIですが、同時にオペレーショナルリスク、ファイナンシャルリスク、レギュラトリー(規制)リスク、オーガナイゼーショナル(組織)リスク、テクノロジーリスクなどを引き起こします。幸いなことに、これらのリスクは既存のリスクマネジメントの延長で対応が可能です。
考慮すべき点:社内各部門でRPAやCIその他の類似テクノロジーの採用が進むにつれ、付随するリスクの特定、評価、モニタリングにおいて内部監査部門が果たすべき役割が大きくなります。その役割を果たすためにも、新たなリスクに対する理解と、正しくデザインされた内部統制の適切な運用が重要です。また、データインテグリティ、アクセス、プロトコール変更、セキュリティなどの分野では、これら新テクノロジーの活用を統治する必要があります。
内部監査計画は、RPAやCIが業務プロセス、経営、組織に与える影響も考慮する必要があります。確かなアシュアランスを提供するためにも、内部監査部門は新テクノロジーの導入プロセスに早い段階から関わる必要があります。文書化された監査対象、結果、発見事項をもとに、監査手続きや過去の事例を検証することが重要です。フレームワークやプロセスが「ロボ」を監視し、問題点をトリアージ(選定)するよう設定されていることを確認します。具体的には、問題点の特定や解決、ロボの変更管理、サードパーティーリスクの管理、監督と法令遵守が含まれます。また、リスク低減、リーディングプラクティス、自動化戦略に対するアドバイスが含まれます。
最後に、内部監査部門は、繰り返されるコントロールテストや報告書作成でRPAの活用による自動化を検討すべきです。
デジタルリスクの監査
多くの企業はデジタル化戦略を採用しているほか、サイロ化されたチームがアプリ、ウェブサイト、その他のデジタルチャネルを開発しており、そのためのファーストライン・セカンドラインのチームを擁しています。しかし内部監査部門は、アプリの開発方法、dev-opsチーム(開発と運用を組み合わせたソフトウエア開発チーム)、統制を自動化するツールなどのデジタル化に必要なテクノロジー、方法、ツールなどに対する理解が十分ではありません。内部監査部門の多くは従来の考え方や手法を維持する傾向があり、デジタルイノベーターの採用する迅速かつ自動化された手法とは対照的です。顧客の獲得やコミュニケーションに使用されるアプリやウェブサイトは、各種のプライバシーリスクやセキュリティーリスクを高める可能性があります。一方で、多くの組織は、これらのリスクに起因する複雑性や課題に加え、外部パートナーによってもたらされる新たなテクノロジー、チャネル、サービスの問題に対応するリスクフレームワークやリスク管理能力を十分に備えていません。
考慮すべき点:監査計画においては、デジタルプログラム、プロセス、プロダクトのリスクを評価するためのリスクテーマを設定します。デジタル戦略やデジタル化のロードマップを検証し、そうしたリスクテーマに対応する重点分野を決定します。デジタル化は環境変化が激しい中、通常のサイバーリスクに加えて、戦略リスク、レピュテーションリスク、サードパーティーリスクをもたらします。内部監査部門は、プロセスやコントロールの自動化に必要なツールを理解し、そのうえでこれらのツールのインテグリティを評価できるよう努めるべきです。デジタルプロジェクトの初期段階で、しかるべき分野に関与することが重要です。
関連するリスク部門が、どのように機能するかも注視する必要があります。なぜなら、それらの部門はデリバリーチームに近いからです。ファーストライン・セカンドラインに、目的に適ったデジタルリスクのフレームワーク、方法、監視機能を浸透させることが重要です。これには、デジタル化の過程で提携するサードパーティーの管理に必要なフレームワークへの適切な水準のアシュアランスが含まれます。プラットフォームの統合は、企業とサードパーティーの境界を曖昧にするため、プロセス、データフロー、リソース、規制面の責任関係を明確化する必要があります。内部監査は、外部リソースの活用、スキルの向上、専門チームを強化し、重点分野で必要とされるリソースを確保することが期待されています。
サイバーセキュリティ
近年、サイバーセキュリティの監査において、データプライバシー、ITセキュリティ、事業の継続性などにおける規制の遵守が重視されることがあります。これらの分野における監査は一般に法規制の遵守に加え、規格(ISO 27000など)への準拠性も含まれます。サイバーセキュリティ分野の法令順守は、米証券取引委員会(SEC)が国家調査プログラム(NEP:National Exam Program)の検査項目に挙げており、また、先頃、サイバー専門組織を設置したことから、アメリカの上場企業を中心に、大半の企業で関心が高まっています。また、米国公認会計士協会(AICPA)のサイバーセキュリティリスクマネジメント調査と並行して、新たな規制が施行されています。企業は、既存規制への準拠では、高水準どころか最低限のサイバーリスクマネジメントにもならないと認識し、(有効性の)アシュアランスに重点を置くべきです。最近注目を集めたサイバー事件で被害に遭った組織は、該当するサイバー規制を遵守していました。事実、既存のサイバーセキュリティ対策が、主にIT部門や社用Eメールなどを対象としている一方で、現在、最も高いリスクを生じさせているのは、クラウドベースのシステムを利用している事業部門、社外の開発業者を利用している事業部門、ITプロパー以外のアプリを利用している事業部門となっています。これらの活動は、最高情報責任者(CIO)、最高情報セキュリティ責任者(CISO)、内部監査部門の監視外にあるため、重大なリスク要因となっています。広範囲のサイバーリスクを発生以前に特定することは、内部監査にとってのチャレンジとなっています。
考慮すべき点:コンプライアンスに関連したアシュアランスの提供に慣れている内部監査は、新たな考え方や手法への適合が求められるため、幅広い考え方を取り入れるところからスタートすれば良いでしょう。例えば、製薬会社において、内部監査はプライバシー規制や新薬開発に関連したサイバーリスクを注視しますが、ラジオアイソトープで使用される小さな原子炉に関連するリスクは見過ごしてしまいます(実際のケース)。内部監査計画では、より幅広く積極的な対応が求められます。通常の監査計画の枠組みを超えて、新たな取り組み、商品、マーケット、契約、外部パーティーを検討する必要があります。そして、リスクの特定やモニタリング、またそれらの管理体制について、経営陣と議論すべきです。
経営陣は、サーバーリスクの増減は決定や行動次第であると認識する必要があります。サイバー事件が、業務、インフラ、データ、財務、評判、回復にどのような影響を与えるかの検証を定期的に行い、シミュレーションを含めた対応や回復力の評価を積極的に行うべきです。
本記事に関してのより詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。
その他の記事
内部監査3.0
未来は今にかかっている