内部監査の今後の動向とイノベーション

革新的な内部監査部門はアジャイル型内部監査メソッドを採用し始めています。アジャイル型内部監査には、より良い、より速い、より満足の3つのメリットがあります。

• より良い — 監査結果が、ビジネスリスクと紐づかせ、ステークホルダーのニーズに沿った監査結果を導くことができるため。
• より早い — 内部監査人がステークホルダーと協力し、焦点を絞って小監査を繰り返し行うことで、ステークホルダーが必要としていること（及び必要としていないこと）を速やかに特定できるため。
• より満足 — 内部監査人がチームとして自主性を持って作業の進め方を決定し、目の前の業務に集中できるため。

アジャイル型内部監査を経験した内部監査部門が、従来の手法に戻ることを望むケースはありません。しかし、アジャイル型内部監査メソッド適用するには、困難も予想されます。アジャイル型内部監査の実現に必要なのは、特別なテクノロジーではなく、これまでと異なるメソッドで業務を遂行する意欲です。この内部監査の将来トレンドを採用することは、協働のための新たな手法を学ぶというだけでなく、長年にわたり身に付けてきたことをリセットすることを意味します。これは単なる内部監査部門内での変更ではないため、主要なステークホルダーも巻き込んで変革を達成する必要があります。

個別のリスク事象や規制に対する組織の対応は、「カバー領域が狭い、冗長、高コスト、ビジネス活動を阻害する、価値やパフォーマンスといったドライバーとは無関係」と特徴づけられるアシュアランス（保証）活動となる傾向があります。統合的アシュアランスは、アシュアランス活動の合理化や効率化だけでなく、アシュアランス活動が組織にとって最も価値のあるものになることを目指しています。

統合的アシュアランスの目的は、アシュアランス活動を組織内の価値ドライバーに合わせて調整し、リスクを可視化し、リスク管理の有効性と効率性を高めることです。しかしながら、統合的アシュアランスの構築や適用においてはしばしば困難が伴います。統合的アシュアランスには多くのメリットがありますが、組織が目的を誤解する、複雑さを過大評価する、価値を過小評価する、既存のメソッドに固執するという傾向により、導入の際に困難がもたらされることがあります。

一般的に、統合的アシュアランスには、以下の5つのメリットがあります。

• アシュアランスに対する投資価値の向上
• 組織の負荷軽減
• ビジネス成果の信頼性の向上
• 組織リスクの対象範囲の改善
• 事業戦略と事業運営に関する深い洞察

上記のどれもが、統合的アシュアランスの導入を検討する理由となります。

企業文化はビジネス戦略を支えるものであり、積極的に理解、管理されるべきものです。組織の価値観が、リーダーや従業員の行動、または組織の統制と合致しない場合には、企業文化に起因する各種リスクが想定されます。企業文化は、成功とパフォーマンスのキーであり、コンプライアンスリスクやレピュテーションリスクの発生要因でもあります。デジタル化が進み、メディア規制が厳格化され、モニタリングへの期待が高まる中で、内部監査は経営陣及び取締役会による適切な企業文化の推進に貢献することができます。

人事部門による従業員雇用、セキュリティ部門によるインサイダー脅威のモニタリング、その他第2のディフェンスラインの取り組みなど、企業文化を限定的にモニタリングするための仕組みはすでに存在しています。しかし、実践的なフレームワークに基づき、企業文化を包括的に管理するためのプログラムも必要です。

経営陣および取締役会が企業文化の管理と評価に関するプログラムを作成するにあたって、内部監査はこれまでの知見をもとに助言またはガイダンスを提供することができます。これには、トップによる社風の設定、適切な企業文化メッセージの発信、インセンティブと価値観の調整などが含まれます。また、内部監査は、企業文化の評価結果を監査活動に組み込み、企業文化が経営目標達成の阻害要因とならないか、企業文化崩壊リスクはないかなどの評価をすることもできます。多くの内部監査人は、企業文化は本質的に主観的なもので、理論的な概念であると考えています。しかし、企業文化に起因するリスクは実際に存在するものであり、定量化して管理することも可能なのです。

欧州連合（EU）一般データ保護規則（GDPR）は、個人データを収集・処理するEU組織および（EU圏内でビジネスを行う）非EU組織に対して、データプライバシーの基準を引き上げています。GDPRはリスクベースの規制であり、顧客データの保護は規定していません。データの機密性と潜在的なリスクに基づき、データ保護に関する期待値を設定しています。

規制当局は、組織が処理する様々な種類のデータを保護するために画一的な対応ではなく、データごとのリスクに合わせてカスタマイズされた保護アプローチを求めています。従ってGDPRプログラムは、データの機密性と個人および組織に対するリスクの潜在的な影響を考慮して構築する必要があります。

GDPRに関する監査は、他のアシュアランス活動と同様に、GDPRは毎年のリスク評価と内部監査計画策定プロセスに組み込まれなければなりません。内部監査は、プライバシーバイデザインやデータ主体に対する規制・要請を理解し、GDPR監査に必要な専門知識が不足する場合には社内外の専門家を登用する責任があります。この内部監査の将来トレンドは、現在GDPRの影響を受けていない組織や内部監査部門は、世界の他の地域でも同様の法規制が検討されていることから、今後対応が求められるとあらかじめ想定して組織に注意喚起しておくことも重要です。

サイバーに関する戦略的な重要性、リスク、機会が組織において増大していることから、内部監査もサイバーリスクに順応していく必要があります。これには、コンプライアンスベースのアプローチからサイバーリスクベースのアプローチへの移行が含まれます。一方で、ほとんどの内部監査部門では、サイバーに関する専門知識やサイバー専門人材が不足しているために、サイバーリスクに関する監査を実施することが難しいと考えられています。

しかし、サイバーリスクは内部監査において無視することができないレベルの重要なリスクとなっています。サイバーセキュリティは、すべての事業部門とファンクションに浸透しているため、サイバーセキュリティに関連するガバナンスは、組織全体及び3つのディフェンスラインすべての関与、そしてその役割と責任の明確化が必要です。

まず、サイバーセキュリティプログラム策定および運用の全体的なフレームワークとトーンを決定するため、まずはサイバーセキュリティのガバナンス評価を実施します。次に、特定のリスクに対処するために、すでに導入されているツールや対策を検討しながら、組織にとって懸念される領域を絞り込みます。これらの領域として、データ保護、ID・アクセス管理、クラウドセキュリティ、リスクモニタリングなどが挙げられます。さらに、ドメイン評価とリスク評価の結果に基づいて四半期および年度の監査計画を作成し、データ保護、ID・アクセス管理などの監査範囲を絞り込みます。監査計画と監査範囲は少なくとも年1回見直し、継続的なリスク評価を行う必要があります。

内部監査の自動化やコグニティブ（認知）テクノロジーの急速な導入と、代替的なソーシングモデルの採用という2つの動向が、将来の内部監査業務に影響していきます。こうした動向は、誰が仕事をするのか（オンバランス人材またはオフバランス人材）、どこで仕事をするのか（オンサイトまたはリモート）という問題を提起しています。どちらの動向も、組織が対処すべき新たなリスク、そして内部監査にとっての新たな機会をもたらします。

内部監査にあたっては、組織全体にわたって業務と人材の結びつきについて、方針、手順、物理的職場の観点から理解し、レビューする必要があります。また、モバイルワーカーが自身または組織のデバイスを使用する際のリスク、規制や税法上の問題についても経営陣に注意を促すとともに保証や助言を提供する準備の着手を検討することが必要です。労働力が分散している場合は、強固な企業文化の維持が困難となることが予想されるので、企業文化を適切に管理することが重要になります。例えば、企業文化の評価にあたってはパートタイム従業員や独立業務請負人まで含めるかどうか慎重に検討することが必要です。内部監査計画および監査プログラムを策定する際には、従業員の増員によってリスクが高くなる領域に留意することが肝要です。

従来の監査計画プロセスにおける（定期的）リスク評価では、今日の変化の激しい環境において限定的な価値しか提供できません。内部監査は、リスクを継続的に評価、モニタリングすることで、最も必要とされているエリア（ロケーションとは異なる）にリソースを振り分けることが求められます。このアプローチによって、内部監査のより効果的なリスク予測や、経営陣へのリスク予測を含めた有効な助言の提供が可能になります。

先進的な内部監査部門は、テクノロジーを活用したリスクセンシング、分析、および可視化ツールによるリアルタイムのリスクモニタリングへとすでに移行し始めています。内部監査は、リスクを特定する経営陣の責任を担うことはできませんが、新たに発生したリスクを速やかに経営陣に伝達することが求められます。

第2のディフェンスラインが実施するリスク評価結果を利用して監査計画を策定することに加え、モニタリングしている領域とその理由、モニタリングの形態とその結果の利用方法について第2のディフェンスラインと情報を共有し、全社的に最適なモニタリング体制を構築します。内部監査では、内部監査自体がリスクセンシングを用いたり、第2のディフェンスラインのリスクセンシング結果や一般に入手可能なデータを利用したりすることで、リスク予測に関する情報を収集することが可能です。こうした取り組みによって、組織内で認識されないリスクについて、内部監査が助言を提供することが可能になります。

先進的な内部監査部門は、中核となるアシュアランス業務をできる限り自動化することを目指しています。これは、自動化により全ての取引をテストし、コントロールを継続的に監査できることから、アシュアランスレベルが向上するためです。また、アシュアランス活動の自動化により、関連する活動をライン（コンプライアンス、サイバーセキュリティ、リスク管理などの機能を有する部門）へ移行することが可能になります。その後、内部監査はディフェンスライン間のアシュアランス活動を調整し、第3のディフェンスラインとして必要な独立したアシュアランスを提供します。

ディフェンスライン全体で自動化する機会を特定するためには、部門横断的なチームを編成することが有効です。早期に効果を認識できるのは、買掛金支払い、出張・交際費、給与総勘定元帳などのコアビジネスプロセス（SOX法による管理と運用管理の両方に対応）およびITの分野です。まずはこれらの早期に効果を認識できるプロセスから自動化することでステークホルダーの信頼を得ることができます。

先進的な内部監査部門は、データサイエンス、リスクおよびコントロールの可視化、および予測分析を含む分析プログラムの開発とその効率と品質の向上、監査対象範囲の拡大を可能にするロボティック・プロセス・オートメーション（RPA）およびコグニティブインテリジェンス（CI）ツール（総称して「RPAとCI」）への移行を開始しています。

機械学習と人工知能（AI）まで適用した部門は少数ですが、革新あるいは一番乗りを目指す内部監査部門が内部監査のライフサイクルを通じてその価値を証明する中で、これらのディスラプティブ（革新的）テクノロジーが受け入れられつつあります。最も成功した組織は、監査ライフサイクル全体にわたる運用モデル、インフラストラクチャ、そして実際のケースを考慮した体系的アプローチを採用し、パイロットプロジェクトを実施しています。

まず、自動化に関する明確なビジョンと戦略を策定します。これは、自動化テクノロジーを内部監査活動のどこに、どのように組み込むことができるかを特定することから始めます。次に、自動化機能の導入をサポートするインフラを構築します。これにより、効果的な導入、継続的なメンテナンス、およびリスク軽減が可能となります。さらに、自動化をサポート・維持するための目標のオペレーティングモデルを開発します。このモデルは既存の運用モデルを拡張したものでなければなりません。一方で、自動化が人、プロセス、テクノロジーの相互作用にどのように影響するかを考慮し、これらの各要素の組み合わせを検討することも重要です。

値を創出し、効率性を向上させる意識の高い組織は、ロボティックプロセスオートメーションやコグニティブインテリジェンスなどのディスラプティブ（革新的）テクノロジーの導入を行っています。。金融サービスでは、ビジネスと内部監査の両方において、急速に普及していますが7、業界を問わず革新的な組織は、これらのテクノロジーをすでに導入している、若しくは導入を検討しています。内部監査では、これらのテクノロジーのリスクを理解し、経営陣に助言し、リスクへの対処を保証する必要があります。

内部監査は、この領域における保証、助言、予測の役割をバランスよく果たす必要があります。保証にあたっては、組織がディスラプティブ（革新的）テクノロジーを採用する際に、セカンドラインが統制テストを導入するのに合わせて、早い段階で関与するようにします。これによって、内部監査による保証が重複することを防ぐことができます。内部監査では、データ分析やリスクセンシングツールを使用した新たなリスクの積極的な予測と、クライシスシミュレーションの実行による組織の対応能力の潜在的な欠陥の明確化に注力することが期待されています。