リスクアプローチからリスクセンシングへ──リモート前提の内部監査が目指すべき方向性を見極めるための品質評価

1 内部監査部門の基本要素

内部監査人協会（The Institute of Internal Auditors：IIA）が定める「内部監査の専門職的実施の国際基準」（以下、IIA基準）は、品質のアシュアランスと改善のプログラムとして、① 継続的モニタリング、② 定期的なレビュー、③ 組織体外の適格にして独立な評価者によるレビューの3点を要請しています。

PwCネットワークは、IIAの「品質評価マニュアル」およびPwCがグローバルで保有する「内部監査のベストプラクティス情報」に基づいて構築した外部評価を実施しています。この外部評価で活用している、内部監査のベストプラクティス情報に基づく内部監査の成熟度判断ツールは定期的にアップデートを繰り返しています。

このツールによるベンチマーキング分析では、社内のステークホルダーからの評価が高い内部監査部門に共通して見られる特性である基本要素に基づいて、内部監査業務プロセスの成熟度レベルを評価しています。

2017年までの評価軸においては、この基本要素として次の8つを定めていました。

• ビジネスとの方向性の一致
• リスクフォーカス
• 費用対効果
• 品質と革新
• サービス文化
• 人材最適化モデル
• ステークホルダー管理
• テクノロジー

これを2020年には次の5つの要素に変更しました。

• 事業連携とリスク重視を通じた事業価値の向上
• 人材モデル（洞察型人材）
• サービスカルチャー
• ステークホルダーマネジメント
• データ分析とビジュアライゼーション・テクノロジーの活用

なお、5つ目の要素の「データ分析とビジュアライゼーション・テクノロジーの活用」は内部監査の成熟度の基盤要素となり、上記の4つの基本要素を支えるという構成です。

そして2023年1月より、Profiler™を、Connected risk engingプラットフォーム（以下、CREという）上で、「IIA基準への適合性評価」「成熟度評価」などの複数の評価基準に分割し、「Internal Audit Stakeholder Assessment」「Total Impact of Internal Audit (TIIA)」などの新たな評価基準も追加した上で、現在の内部監査組織に求められる機能に即した内部評価、外部評価の支援ツールへと生まれ変わらせることとしました。

2 内部監査の成熟度レベル

2020年度の改訂では、評価結果として提示してきた内部監査の成熟度レベルの考え方を一部変更しましたが、内部監査業務プロセスの成熟度レベルについては従来の2017年版と変わらず、低い方から順番に次の6段階でした（図表1）。

• 成熟度0：最小限の貢献者
• 成熟度1：問題発見者
• 成熟度2：保証提供者
• 成熟度3：問題解決者
• 成熟度4：インサイト創出者
• 成熟度5：信頼されるアドバイザー

従来は成熟度を0から5までの6段階で示し、1歩1歩着実に階段を上っていくというイメージで示していました。しかし2020年版では、ゆるやかな（一部急な）上り坂を登っていくイメージへと変更しています（図表1）。成熟度2から3に移行する際のカーブが最も急であり、この変化には多大なパワーが必要であることが読み取れます。

2023年度の変更では、今まで6段階であった成熟度レベルは、昨今の内部監査機能の成熟度に併せて、「最小限の貢献者」の段階を無くし、それより上の5段階の評価軸に基本要素ごとの修正を加え、5段階としました。

3 内部監査機能におけるDXの3つの世代

2020年度の改訂の大きな特徴として、内部監査の成熟度の基本要素の基盤として「データ分析とビジュアライゼーション・テクノロジーの活用」を設けたことがありました。この機能拡張により、各成熟度に到達した際に、内部監査機能におけるDXの状態が明示できるようになりました。2023年度の改定においても、このDXの状態の明確化は継続されます。

1. 日本の上場企業の平均：第1世代「データの有効化世代」

2022年現在、日本の上場企業の内部監査機能の平均的な成熟度（2022年評価軸における成熟度は「2」）は、第1世代である「データの有効化世代」です。第1世代に属する内部監査機能は、リスクがあると思われる領域のデータを手作業で収集し、分析しています。

取り扱えるデータは、財務データや販売データ、原材料の購買データといった数値データに限定されることが多く、しかもこれらのデータの形式、粒度、精度にはばらつきが大きく、データのクレンジング作業には膨大な時間を要します。

データ利活用は、内部監査機能の一部にとどまっており、CAAT*¹ツールやデータ分析ツールなどを活用している内部監査員も一部にとどまります。あくまでも、リスクやインシデントを内部監査員が想定をし、その証跡としてデータ分析を活用しているという関係であり、ヒトがデータを有効に活用するための努力をしている世代です。

2. 経営者の期待値の平均：第2世代「データドリブン世代」

日本の上場企業の経営陣の多くが内部監査機能に期待しているのが、第2世代の「データドリブン世代」（2022年評価軸における成熟度「3」）です。一般的に、先進的な内部監査部門と言われる企業の多くはこの世代、または次の世代に属します。

第2世代に属する内部監査機能は、広範囲のデータを網羅的に分析することでリスクを発見し、その他の技法を組み合わせて内部統制の有効性に関する客観的な保証を提供しています。こうしたデータは一定程度、データのフォーマットが整備されており、大半がデータプラットフォームに格納されています。このプラットフォームに内部監査機能がアクセスすると、処理しやすい形式のデータとして取り出すことができます。

データ活用は、内部監査機能の基本機能で、内部監査の計画から実行まで、監査対象組織の監査テーマに関するデータを比較的容易に利活用することができます。ただし第1世代と同様に、あくまでもリスクやインシデントを内部監査員が想定をし、その証跡としてデータ分析を活用しているという関係であり、ヒトがデータを有効に活用するための努力をしている世代です。

3. 内部監査機能が目指すべき姿：第3世代「データ主導世代」

PwCが、内部監査機能が最終的に目指すべき姿として想定しているのが第3世代の「データ主導世代」です。

この世代においては、事業部門（第1線）と、事業管理部門（第2線）、内部監査機能（第3線）のデジタルコラボレーションが最適化されており、共通のリスク管理目標をもって事業・業務プロセス（ビジネスポリシー）にこのリスク管理のためのコントロールをあらかじめインストールし、コントロールが自動でリスクをセンシングしてアラートを発信します。

内部監査機能はビジネスポリシーに適したコントロールを選択して、適切なコントロールがビジネスプロセスに設定されているか、アラートを受けるべき人が受領しているか、リスクが発現する前に予防的コントロールが機能しているかを確認することが重要な役割となります。

つまり、リスクアプローチでリスクが高い領域に対して監査を行うという従来のアプローチから、全データ・全事業プロセスを監査対象とし、頻繁にリスクが発生しているプロセス（ビジネスポリシー）に対してその根本原因を分析し、改善提案を行っていくという、戦略的な保証の提供者へと役割が変わっていくといえます。

4 従来と同じコスト・品質をリモート監査で実現するには

多くの場合、第1世代の内部監査機能はDXの過渡期の企業に属しており、経営者が経営上の判断に必要な重要なデータを一元的にモニタリングするためのダッシュボードなどは未整備、もしくは整備を進めるべく努力をしている最中であり、内部監査で利用することができる監査証跡は紙であるケースが多く、クレンジングが必要な状態です。そのため、リモートでオンサイトと同品質の内部監査を実施するためには、監査のカバレッジを下げるか、監査コストを増大させる必要があります。そのため、筆者らはこの世代の内部監査機能に対して、これまではリモートでの内部監査はあまり推奨してきませんでした。

しかし、COVID-19の影響により、特に海外子会社の現地往査が難しくなり、多くの内部監査機能がリモート監査に取り組まざるを得なくなりました。2020年度に限っていえば、一時的な事象として監査コストを増大させる、または監査のカバレッジ（拠点・テーマ）を減少させるといった選択を行い、海外子会社の近隣のプロフェッショナルファームに内部監査のアウトソーシングを依頼するといった対策を取る企業が多いようです。

しかし、物理的な往査が限定的になるという状況は今後も継続される可能性が高く、多くの内部監査機能は、従来の内部監査コストと同等のコストで、従来の内部監査と同品質・同カバレッジを実現するよう、中長期プランの策定を経営陣より要請されています。目の前にある紙の証跡を確認するのと同一の監査コスト（内部監査部門だけではなく被監査組織の監査対応時間なども含めたトータルコスト）で、リモートで同じ分量の紙の情報を確認することは不可能です。誰かが文書をスキャンしてデータを監査部門に送付をするか、段ボールに箱詰めをして監査部門に送付をするか、もしくは被監査組織の近隣の独立性を維持することができる臨時内部監査人が代理で紙を確認し、その結果を内部監査部門に連絡するかしなければなりません。

いずれにしても、コストは必ず増大します。同一コストで監査を実施するには、確認対象の紙の量を減らすといった方策を取り、カバレッジを下げる必要があります。つまり、この世代においてリモート監査で従来の往査型監査と同一の監査品質を同一の監査コストで実現することは不可能です。したがって、経営陣からの「同一コストで同一（もしくは今まで以上の）監査品質の実現」という難問への唯一の解決策は、内部監査機能の成熟度を上げ、早期に第2世代に到達すること以外には考えられません。

次の世代に到達するには、現在、どの機能が足りないのか。ウィズコロナの環境下で経営陣の期待に応えていくために、「事業連携とリスク重視を通じた事業価値の向上」「人材モデル（洞察型人材）」「サービスカルチャー」「ステークホルダーマネジメント」のどの機能を強化していくべきなのか。また、「データ分析とビジュアライゼーション・テクノロジーの活用」を向上させるために、今すぐに取り組むべきことは何か。中長期で目標とすべき姿はどこにあるのか。これらを再考しなければなりません。

5 内部監査人の人材モデル

第2世代に到達するために、具体的にどのような取り組みを行うべきなのかを判断するには、現状のアセスメントが不可欠です。図表2は、「人材モデル（洞察型人材）」の例として、内部監査人のデータ分析領域における人材モデルです。

これまで私たちが監査部門の高度化を支援してきた経験に照らして考えると、第2世代に到達するためには、内部監査部員の3分の1程度が「ビジネス力」「データサイエンス力」「データエンジニアリング力」の全領域において「4. 見習いレベル」のスキルを要していることが求められます。また、「ビジネス力」「データエンジニアリング力」の2つは「3. 独り立ちレベル」のメンバーが組織全体の1割程度はおり、「3. 独り立ちレベル」以上の「データサイエンス力」をアウトソーシングなどの活用により調達できている必要があります。

そして第3世代に到達するためには、内部監査部員の半数程度が「ビジネス力」「データサイエンス力」「データエンジニアリング力」の全領域において「4. 見習いレベル」のスキルを要し、「2. 棟梁レベル」の「ビジネス力」を有するメンバーが最低1名、「3. 独り立ちレベル」の「データエンジニアリング力」を有するメンバーが最低1名、「3. 独り立ちレベル」の「ビジネス力」「データエンジニアリング力」を有するメンバーが全体の2割程度は必要です。

6 内部監査の成熟度判断ツール

冒頭で述べたとおり、PwC Strategy Profiler ™の2020年版は、COVID-19による業務への影響が出始める直前の2020年の2月にリリースされました。この改訂では、これからの内部監査のあり方をグローバルネットワークのCoE（Center of Excellence）チームでディスカッションを行い、内部監査が経営に資するためにはどうあるべきかを検討しただけでなく、実際に自分たち自身で「データ分析とビジュアライゼーション・テクノロジーの活用」という成熟度の基盤を整えるというチャレンジに取り組み、実践を踏まえたものとなりました。

そして2023年1月以降は、今までProfiler™として1本であった「IIA基準への適合性評価」と「内部監査の有効性・効率性の評価」の評価基準を分割し、また新たに内部監査結果が被監査組織などに与えたインパクトの評価軸などを追加することで、クライアントが必要とする目的に即した外部評価を支援していきます。

*1 CAAT：Computer Assisted Audit Techniquesの略。コンピュータ利用監査技法。

執筆者

PwCあらた有限責任監査法人
リスク・デジタル・アシュアランス部門
シニアマネージャー　岡本 真一