求められる内部監査の「進化」とそのポイント

はじめに

近年、企業を取り巻く環境が著しく変化し、企業が直面するリスクも、より幅広くかつ複雑化しています。2020年以降の新型コロナウイルス感染症の世界的な蔓延により、人々の生活環境やビジネス環境が一変しました。物理的な移動の制限によってデジタル技術の活用が進み、サイバーセキュリティ、情報セキュリティといったリスクへの対策が重要性を増しています。2022年に入ってからは、ウクライナ紛争で国際情勢が激変し、地政学リスクも高まっています。

このようにリスクをいち早く察知し、複雑多岐にわたり高度化する個々のリスクに対応するためには、「進化する内部監査」が求められます。そこで本稿では、内部監査の進化のポイントを、具体例を紹介しながら解説します。

なお、文中の意見に係る部分は筆者の私見であり、PwCあらた有限責任監査法人および所属部門の正式見解ではないこと、あらかじめご理解いただきたくお願いします。

1 なぜ内部監査の進化が求められているか

PwCが2021年10月から11月にかけて実施した第25回世界CEO意識調査では、今後12カ月間において企業の成長に対する脅威となる要因として、サイバーリスク(49%)と健康リスク(48%)が上位に挙げられ、マクロ経済の変動(43%)、気候変動(33%)、と続く結果となっています(図表1)。一方、CEOが長期的な企業戦略として重視し、自身のインセンティブにも含めている項目を見ると、企業成長の脅威への対応や成果については、温室効果ガス排出量の目標などのESG関連の項目が入っている程度となっています(図表2)。

このように、企業の成長に対する脅威への対応と企業戦略が必ずしも十分に連携されているとは言えない状況において、内部監査部門は内部監査とマネジメントとの対話を通じて、リスク対応の強化と戦略化に貢献することが期待されます。

2 期待される内部監査の役割の変化

スピーディに変容するリスクや多岐にわたる専門分野のリスクを内部監査の対象とし、経営陣にインパクトを与える助言を行うためには、内部監査のアプローチも進化する必要があります。

従来の内部監査では、以下の特徴が多く見受けられます。

  • 慎重に行動するよう助言し、企業の事業拡大のペースを減速させる存在と認識される
  • 過去を振り返り、計画に従う
  • 財務プロセスなど、慣れていて安心な領域のみを取り扱う
  • 同じようなスキルを持った人材が集まり、それぞれが単独で業務を実施している
  • 伝統的な内部統制に依拠したアプローチを重視している
  • 求められた場合にのみ助言する
  • 適切な人材・スキルの確保が難しい
  • 内部監査の報告の目的は信頼を付与することであり、会社のカルチャーの状況を見守るだけである

「進化する内部監査」を実現するためには、より積極的なアプローチの採用、経営陣との対話、内部監査部門の強化、アジャイルかつ柔軟な対応などが求められます。進化の機会としては、次のようなものがあります。

  • 経営陣にスピードを上げて踏み出す自信を与える
  • 将来を見据えた戦略の設定に関与する
  • 未知の領域や複雑な領域(戦略、M&A、カルチャー、取締役会のパフォーマンス)に深く取り組む
  • 能力(データ、サイバー)を結集し、その価値を増大させる
  • リスクレビュー、オブザーバー、口頭による助言、データモニタリングといったアプローチを柔軟に適応させるため、アジャイルに対応する
  • 仲間として会社に助言する
  • 優秀な人材をひきつける
  • 信頼の向上やカルチャーの推進に貢献できることに誇りを持つ

3 進化する内部監査

進化する内部監査では、組織がリスクを管理するだけでなく「競争力」と捉え直すことを支援し、よりリスクセンシングでプロアクティブなアプローチが求められます。ポイントとして、プロアクティブなリスクフォーカス、柔軟なオペレーティングモデル、監査スペクトラム、監査の高精度化、行動科学の活用が挙げられます(図表3)。

  • プロアクティブなリスクフォーカス:内外のデータを活用してリスク領域を識別し、リスクを機会に変えるための継続的なリスクセンシングプロセスを組み込みます。

    ▶将来起こり得るリスクや変化するリスクをいち早く認識し、先手を打つことができるような取り組みが望まれます。

  • 柔軟なオペレーティングモデル:「3つのディフェンスライン」※1が相互に連携してよりダイナミックなチームを形成します。

    ▶独立性を保ちつつ、ビジネスを取り巻く環境の変化やリスク領域に対する議論の場を設け、リスク領域の認識、リスク対応と企業戦略の関連性、将来の展望など、共通の認識を持つことで、企業成長に向けてそれぞれの立場で最適な対応を選択できるようになると考えられます。

  • 監査計画ではなく監査スペクトラム:課題に基づいたレビューや洞察を提供するワークショップなど、監査の範囲・内容を多様化します。

    ▶内部監査は、従来のようなプロセスレベルの視点に加えて、組織を取り巻く世界を見つめ、より大きなスケールでリスクを考える必要があります。そのためには、監査計画を立てて監査を実行するだけでなく、柔軟なアプローチや、リスクに対する意識改革への貢献などが期待されます。

  • 監査の高精度化:高度な分析とAIを駆使して母集団を100%分析し、的を絞った監査の範囲を短時間で設定します。

    ▶テクノロジーを取り入れた高精度な監査やプラットフォームを活用することで、精度の高い効率的かつ効果的な監査を短時間で実現させることを目指します。

  • 行動科学の活用:データを活用して行動の傾向や根本原因を特定し、盲点を明らかにして競争上の優位性を生み出します。

    ▶人々の行動はますます複雑で予測が難しくなっていると言われており、行動科学の活用の重要性が増すと考えられます。

4 内部監査の乗数効果

進化する内部監査は、従来のように経験やスキルが似通った人材のみで対応するのではなく、内部監査の対象となるリスクや内部監査アプローチに応じた各専門分野の人材の連携が不可欠です。専門分野は、例えばリスク領域では、財務、税務、ESG、ガバナンス、規制およびコンプライアンス、M&A、サイバー、オペレーショナルレジリエンス、カルチャー等があります。また、業界分野では、自動車、小売、エネルギー、金融サービス、政府および公共サービス、医療、製造、テクノロジー等と非常に幅広くさまざまです。各専門分野に秀でた人材が集結すると、内部監査が生み出す価値は能力の足し算ではなく掛け合わせにより増大し、乗数効果が発揮されます(図表4)。

内部監査の乗数効果とは具体的にどのようなことか、グローバル製薬会社の内部監査を想定すると以下のようなことが考えられます。

  • 内部監査のメソドロジー:内部監査人は「PwCコネクテッド・リスク・エンジン」※2というPwCのリスク成熟度評価およびベンチマークのプラットフォームを活用し、リスクマネジメントの成熟度を評価する。規制コンプライアンスのリスクを含む新たな企業戦略の領域のうち、内部監査の対象とすべき領域を特定する。
  • 業界の洞察:製薬の専門家は、業界の傾向と優先順位に基づいて特定リスクの優先順位づけを行い、新しい拡大戦略に影響を与える可能性のある優先リスクとして、HCP支出と透明性を特定する。
  • データスペシャリスト:データ専門家は、内部監査チームと製薬の専門家と協力し、支出について捕捉・集計・比較・レビューのための分析を行い、ターゲットテストを実施する。また、フォローアップすべき特定の拠点に関する洞察を提供する。
  • グローバルデリバリーネットワーク:デリバリーセンターは、グローバルデータを取りまとめ、分析を実施する。各拠点に内部監査チームを配置し、母国語で、各国規制に基づき、プロセスをレビューする。

乗数効果による成果

これらの内部監査の乗数効果により、次のような成果が期待できます。

▶戦略的領域における内部監査によるリスク対応範囲の拡大

▶最適化・標準化されたアプローチによる効率性の向上

▶各国のプロセス・内部統制の透明性の向上

▶多言語やカルチャーの違いへの適切な対応

▶(視覚的かつインパクトのある方法による)新たなデータに基づく洞察

▶実証されたイノベーションとステークホルダーに対するより価値のある新たなアプローチ

▶将来の内部監査の進化の青写真を描く

4 おわりに

変化が激しくリスクが複雑化する時代において、内部監査への期待は高く、活躍の場も広がり、多くの進化の機会があります。プロセスの視点、企業を取り巻く世界の視点から物事を見ることで、より幅広い領域のリスクを認識し対応する必要に迫られます。しかしそのためには、内部監査チームだけではなく、リスク領域、業界、テクノロジーなど、それぞれの専門家の連携が不可欠であり、またそれは「進化する内部監査」に、乗数効果による成果をもたらします。まさに内部監査にも多様性の力が求められていると言えるでしょう。



執筆者

PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
ディレクター 柏原 千晶