{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
人工知能、ビッグデータ、IoTなど、近年の急速なテクノロジーの進展に伴い、各企業はそれらの技術を活用したデジタルトランスフォーメーション(DX)を推進しており、ビジネス環境が変化することで、リスクが複雑化しています。日本企業では、DX推進に係るリスクカテゴリー横断でリスク要因や事象を捉え、適時適切にコントロールすることで、ステークホルダーに対して説明責任を果たすことを目的に、デジタルガバナンスの整備が進みつつあります。そうした中、内部監査部門においても、デジタルガバナンスやDX推進・管理態勢に関する個別テーマ監査(以降、本稿では「DX監査」と表記する)を実施し、DX推進に係るリスクに対するコントロールの効率性および有効性を検証することが期待されています。
内部監査部門では、通年で実施する業務監査、コンプライアンス・法令遵守に関する監査、サプライチェーン、人的資本、サステナビリティなど、監査テーマが年々増えるにつれ業務が増加していることから、慢性的に監査要員が不足していることに加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。
本稿では、これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。
なお、文中における意見に関する記述は、すべて筆者の私見であることをあらかじめ申し添えます。
内部監査は、企業規模の拡大や事業環境の複雑性に対応するために導入された内部統制やさまざまな法令・規制などへの対応を踏まえた準拠性監査を中心に行われてきました。2000年代以降は、デジタルテクノロジーの発展や事業リスクの複雑化にあわせてリスクベース監査が重要になってきました。
図表1に示すように、内部監査部門では古くからの準拠性監査は部門監査として実施し、新しいテーマ監査はリスクベース監査としてリスク評価を前提に実施する形へとシフトしつつあります。
日本企業の内部監査部門では、こうした監査領域や高度化したアプローチにもチャレンジしていますが、SOX対応、法令・規制対応を主軸とした準拠性監査から抜け出せない企業も多く見受けられます。
図表1:内部監査の種類(イメージ)
昨今のDX監査へのニーズの高まりを受け、DX推進において捉えるべき複合的なリスクカテゴリーの一例を図表2に示します。リスクベース監査の特徴として、リスクカテゴリー横断でリスク要因やその相関性などを考慮し、リスクの高い領域を見定めていくことが挙げられます。DXで実現したい事項を取り巻く外部要因、内部要因それぞれの固有リスクとそのリスク変動を識別し、識別したリスクに対してリスク評価を行うことが求められます。
例えば、DX推進に関するテーマ別監査では、経営、組織、業務、IT、外部委託先などステークホルダーが多岐にわたるため、管理態勢、組織・人材、業務プロセス、情報システムなどのさまざまな事業運営上の構成要素を踏まえ、その時点において最もリスクの高い領域と取り組みに対して監査していくことになります。
特に、整備(戦略・計画や規程類など)の妥当性を含め、DX施策によって実現したい事項(価値や信頼構築など)の達成度合いを見ていくことも重要になります。
図表2:DXに係る複合的なリスク
このようなリスクを捉えるためには、まず、組織体の目標達成を最も支援する、かつ、デジタルガバナンスと監査態勢を強化するための構造として、図表3に示すような日本内部監査協会(IIA)が提唱する3ラインモデルを参考にしたDX監査態勢を構築することが望まれます。3ラインモデルは、業務を実行するとともに業務におけるリスクをコントロールする執行機関である1線(1st Line)、1線が捉えるリスクの管理およびコントロールに対する牽制を行う2線(2nd Line)、独立かつ客観的な立場で執行機能である1線、2線の取り組みを評価する3線(3rd Line)で構成されます。
DX監査では、リスクを管理する2線が捉え切れていない複合的なリスクを3線が課題として捉え、内部監査部門としてアシュアランスの対象とすべき監査領域・範囲を見定め評価・助言することで、DX推進に関してステークホルダーや取締役会、執行機関に生じる「信頼の空白」を埋める役割を担うことが肝要です。
図表3:3ラインモデル
日本の内部監査部門は、DX監査を始めるにあたって、次のような課題を抱えています。
これらの課題は企画・管理機能に関わるものが多いため、ツールの導入やプロセスの見直しなどで解決できる単純なものではなく、組織カルチャーの変革を見据えた枠組み・構造の見直しといったトップダウンでの改善が必要となると考えられます。
ここまでに述べたDX監査の課題は、内部監査部門全体で包括的な対応が必要なものです。そうした対応において、リソース不足、専門的なスキル不足、監査プロセスの整備不足などといった悩みに対処するための1つの打ち手として、監査推進事務局(AMO:Audit Management Office)の組成が考えられます。
AMOは、図表4のとおり、内部監査部門における企画・管理活動を主体とした組織機能であり、監査実施の効率化やリスクベース監査を実施するためのリスクマップの運用などを担う実行部隊とは切り離された組織です。規模の大きい内部監査部門では、従前から企画・管理グループといった組織機能を置き、内部監査品質に関する企画管理を行うケースもありますが、日本企業の多くは内部監査部門の規模が小さいため、監査部長と担当1名に加え、専門的な知見・スキルを持った外部専門家の小隊で構成することが現実的な形と想定されます。
図表4:AMO導入後の組織体制イメージ
AMOは、図表5のとおり、内部監査部門が有する組織機能である企画管理・実行を牽制・支援する役割を担い、内部監査の各機能における足りない知識・スキルを補うことで効率的な監査の実現と監査品質の向上をサポートします。監査活動全体のプロセス評価や課題・リスク管理を行い、監査に係る規程・マニュアルの見直しや監査方法のレクチャーなどによって監査部門全体のスキルのレベルアップに貢献します。
図表5:AMO導入後の内部監査機能における役割分担
AMOが監査企画・管理機能を維持・強化することで、通年の監査実行を後方サポート支援し、DX監査のリスク識別の精度や監査効率を向上させ、監査部門全体と個々の内部監査人のアップスキリングを促すことにつながります。
図表6:監査プロセスにおけるAMOの関与
本稿では、内部監査部門の企画・管理機能として、AMOを組成するとともに、外部専門家をうまく活用することで内部監査部門の少ないリソースを最大限活かしながら、内部監査部門の継続的な知識・スキルの向上やリスクベース監査態勢の構築が可能になることを考察しました。
DX監査の開始を契機に、AMOの組成を試行的に導入することで、中長期的な内部監査全体の品質向上や、組織全体のリスク評価を踏まえた経営監査・助言といった経営に資する監査につなげていくことが重要と考えられます。
PwCでは、DXやデジタルガバナンス、内部監査の課題を踏まえ、クライアントの「DX推進の仕掛けづくり」をサポートします。