テレワーク環境に対応した内部監査・内部統制～次世代の内部監査に必要な12の要素

リモート監査への切り替え十分な成果との声が多数

金融機関の内部監査活動は、新型コロナウイルスの影響により、年間の監査計画および活動が大きく変わってしまった。企業経営のグローバル化支援などを手がけるプロティビティLLCのマネージングディレクタの石川雅信氏は、「多くの監査部門では、国内外の各拠点の往査が叶わず時間や予算が浮いたため、従来の手法を見直す機会を得たとも言える。今回のパンデミックが収束したとしても、効率的・効果的な内部監査プロセスを構築するに際し、データ分析によるオフサイトモニタリングの高度化など今後リモート環境の整備は不可欠となっていくだろう」と話す。

災害など緊急事態に備えたBCP（事業継続計画）は、2011年の東日本大震災を機に策定する動きが広がっていたものの、同社ディレクタの森洋介氏は、「今回のパンデミックにおいて、第一線である営業部門はBCPが一定程度機能していたが、多くの第二線のコーポレート部門や第三線の監査部門は優先継続業務となっていなかったことから、リモート環境を活用した業務の再開が遅れがちであった」と明かす。

実際、ある金融機関では、コロナ禍でリモートワークを実現するためパソコンを支給していたが、第一線のフロント部門が優先され、監査部までは行きわたらなかったという。同社営業ディレクタの清田雅弘氏は、「リモート環境の構築状況は、各業態のセキュリティレベルによって左右されるようだ。金融機関においてもWeb会議ツールを使いこなす企業は徐々に増えているが、高い機密性を求められる銀行業界では社外との会議に使用することが禁止されている場合がある」と説明する。

テレワーク環境下における内部監査対応は大きく分けて2つあるという。1つは、従来の監査活動をリモート環境に置き換える方法。もう1つは、従来の枠組みとは異なる新たなアプローチの確立だ。「前者の例は、海外拠点監査のオンライン往査への切り替えなどだ。すでにリモート監査に取り組む会社の大半は、『オンラインで十分な成果が得られる』との意見が多い。海外現地の監査人やコンサルファームの海外拠点を最大限活用するには、今後は本社監査部門による適切な指示出しが重要になる」（石川氏）

一方で、国内外の各拠点のカルチャーなどを含めて監査するには、やはり現地に行かないと把握できないと考える金融機関もあるようだ。森氏は、「監査部門と被監査部門の担当者同士が信頼関係を築いていればリモート監査への移行もスムーズに進むと思われるが、一般的に監査部門と被監査部門は監査結果を巡って対立関係になりがちであるため、見解が対立した際に最後の溝を埋める作業がリモートで納得いく形で実現できるだろうか」と懸念を示す。

リスクプロファイルに合わせリスク評価も変更

生命保険分野ではパンデミック以前から、顧客と直接対面する営業から、電話やメールなど非対面のコミュニケーションへと移行しつつあった。ビジネスモデルのDX（デジタルトランスフォーメーション）は最早避けられないだろう。「従前の被監査部門の仕事のあり方が変わり、リスクプロファイルも変わってしまった中で、新しいアプローチを考える必要は出てきている」（森氏）

リモート環境下におけるリスクは従来のリスクとは異なる。同社によると、「勤労意欲の減退」「労働生産性の低下」「働きすぎ」「ミスコミュニケーションによる業務効率の阻害」「人材育成」「メンタル・健康管理」「リモートハラスメント」――などが挙げられるという。

変化するリスクへ対応するため、中期計画を立て直す考えは広まっている。「リスクプロファイルの変化に合わせてリスクの評価を変えたり、グローバル拠点を持つ場合はローカルの人員（外部の監査人など）を活用したり、全社的にデジタル化プログラムの推進を検討するといった取り組みに力を入れている」（清田氏）。石川氏は、「コロナ禍で重視されるのは、『経営からの期待に応え、今あるリスクに対応する』ことだ。従前のBCPは機能したのか。営業店が運営不可となった時にバックアッププランが発動できなければ、何日まで耐えられるのかといった経営者の懸念、つまり、オペレーショナル・レジリエンスに対する課題を監査部がどう捉えて、どう貢献していくかが重要だ」と指摘する。

同社では、リモート環境の人材育成支援で、ウェビナー（Webセミナー）を活用してグローバルで1,000名規模の集合研修を行った。「何日にも分けて複数回行ってきた研修が、しかもワークショップ形式でインタラクティブに、1日で実施できることが分かり、次回以降もぜひ実施したいという声が上がっている。多くの金融機関では、内部監査の人材育成は急務であるが、研修においてもリモート環境で効果的に実施できることが分かった」（清田氏）。ほかにも、調書や報告書の共有を目的としたGRC（ガバナンス・リスク・コンプライアンス）ツールの引き合いは急増しているという。「デジタルツールやデータ分析関連の問い合わせは増えている。KPI（重要評価指標）分析やテキスト分析、プロセスマイニングなど、既存のプロセスをデジタルに置き換える相談は2～3倍に増加した」（石川氏）

同社によると、次世代の内部監査には主に12要素が必要だという（図表1）。「一般事業会社では、⑨高度な分析や⑪プロセスマイニングのモデルがすでに様々な成果を出している。これに対し、金融機関はデータが取得しにくい点が課題だろう」（石川氏）

現状、金融機関の監査の目的自体が業務の準拠性であることが多いといわれる。「施策や戦略の妥当性を見ている監査部は少なく、リスク評価のアジャイル化は進展していない。経営者が知りたいことは、準拠性よりも現状発現しつつあるリスクや、経営に甚大な影響を与えうるリスクに対する見立てであり、監査が即座に報告できなければいけない時代になりつつある」（清田氏）。