内部監査チームにとって、2020年は激動の年とな りました。新型コロナウイルスのパンデミックに より、チームは新しい働き方を採用せざるを得な くなり、監査対象組織のリスクプロファイルにも 変更が生じました。その結果、多くの組織におい てリソースにしわ寄せが来て、内部監査管理者は 監査範囲、トレーニング、そして場合によっては 残念ながら人員整理に関連する厳しい判断を迫ら れることになりました。
同時に、内部監査の目的とミッションに関して言 えば、パンデミックを取り巻く不確実性により、 内部監査チームには、保証の提供とリスクアセス メントに関する自らのスキル、アジリティ、価値 を組織に対して実証する機会も大幅に増えること となりました。
こうした一連の変化が比較的短期間で起こったた め、状況を肌で感じ取った結果、内部監査管理者 はチームの現在はもちろん、将来を見据えてスキ ルの見直しを検討することになりました。それを 実行するにあたり、管理者が考慮すべき重要事項 がいくつかあります。
組織の戦略とリスクプロファイルの把握
パンデミックを取り巻く出来事は、業務が中断す ると、組織が直面するリスク(およびその結果と して監査および保証のニーズ)も変化することを 思い出させてくれました。そこで、内部監査責任 者が業務中断中に第一に考慮しなければならない のは、新たな状況下で既存の監査計画をどのよう に実施するかではなく、組織のリスクがどのよう に変わり、内部監査に現在一番求められるのは何 かということです。同様に、スキル見直しの取り 組みにおいては、現在監査する必要があるものに 注意を向けることも重要ですが、組織の戦略と目 まぐるしく変化する環境という観点から、将来的 に監査する必要が出てくるものに注目することも 重要です。このため、内部監査責任者は、組織の 現在の監査ニーズを把握するだけではなく、その ニーズが将来的にどう変化する可能性があるかを 予測するために、取締役会および上級経営者と双 方向のコミュニケーションを取る必要があります。
新たな変則的リスクの特定の改善
将来を見据えてスキルを見直している内部監査部 門は、新たな変則的リスクを特定し、それを取締 役会が注目するよう、うまく誘導することに目を 向けるべきです。米国内部監査人協会(IIA)の2019 年度内部監査パルスサーベイ報告書によると、最 高監査責任者(CAE)は監査チームのリスク特定能力 に自信を持っていますが、新たに発生するリスク 情報について、CAEが経営幹部を頼みにするほどに は、取締役会はCAEを信じていないと指摘していま す。1 現行の日常業務の質と効率性をモニタリング することが内部監査の中核業務であることに変わ りはありませんが、明らかに言えるのは、監査部 門は先を見据えたリスクに関する洞察も提供し、 取締役会と経営幹部の期待に応える価値を提供し 続けなければならないということです。
この点に関して内部監査が改善できる方法のひと つは、データ分析を有効活用することです。2019 年度パルスサーベイでは、新たに発生するリスク の特定に最先端のデータ分析を活用していると答 えたCAEは、わずか30%ほどに過ぎませんでした。2 データ分析は、多くのビジネス領域において自己 モニタリングで役立っているため、内部監査チー ムは自前でデジタル革命を起こす必要がありませ ん。組織内の別部門と戦略的ビジネスパートナー の関係を結ぶことで、監査チームはリスク特定に 役立つ分析ツールの所有権を共有できます。
イノベーションおよび技術スキルの向上
内部監査チームは、技術を活用することと、組織 が使用している技術を把握することの両方を向上 しなければなりません。したがって、リスク見直 しの取り組みにおいて、この側面を見逃してはな りません。ISACA®会員は、監査人は所属組織の事 業体技術プロジェクトに関与する機会がますます 増加しており、監査の自動化が進むに伴い、監査 人の技術スキルも高めなければならないと指摘し ました。3 同時に、会員の多くは、組織における最 先端技術の活用が増加するに伴い、監査分野にお いて、IT専門家に交じってデータサイエンティスト が働く必要性も高まっていると見ています。
内部監査チームは、技術を活用することと、 組織が使用している技術を理解することの両 方が得意にならなければなりません
監査人は、クエリ、分析用ビッグデータの理解と 操作などの作業を処理できるようになる必要があ ります。さらに、監査が人間の意思決定を理解す ることだけではなく、人工知能(AI)を活用して機械 によって実証された分析情報を解釈することにも 関与するため、監査人は、AIが関与する各監査業務 で提示される独特なリスク(例えば、マシンラー ニングバイアス)および機会(例えば、データ第 一主義の監査アプローチ)を理解しなければなり ません。監査人の役割は、これまで以上に複雑化 する可能性があります。
技術とデータ分析ノウハウは重要ですが、それら を内部監査部門により多く取り入れることは、必 ずしもイノベーションと同一視することはできま せん。確かに、イノベーションへの意欲は、監査 管理者が補充したいどのポストにも共通する重要 な特性に違いありません。監査人は、監査業務の 自動化を促進し、監査プロセスのリアルタイムデ ータをステークホルダーに提示することで、監査 分野におけるイノベーションを図らなければなり ません。イノベーションは、組織に価値をもたら す上でも、人材を保持する上でも重要です。イノ ベーションが推奨され、報われる文化を育むこと は、イノベーションの機会を働きがいの重要な要素 と考える人材を保持するにあたり重要になります。
「重要な」スキルセットの定義の再考
監査チームのスキル見直しを図る際、内部監査責 任者は、特定の監査機能において重要なスキルセッ トを構成する要素を考慮するべきです。スキル見 直しの取り組みを考慮する際、いわゆる「ハード」 スキルに注目するのは自然なことかもしれません が、現行またはこれからのチームメンバーの構成 について慎重に考えることも重要です。最近の調査 によれば、CAEおよびその他の内部監査責任者は、 監査チームが責任を果たす上で最も必要不可欠な 二大スキルを分析的/批評的思考力(95%)とコミュニ ケーション能力(94%)であると評価しています。4
監査プロセスの理解(85%)は第3位でした。これは、 業務が変わりつつあること、そして内部監査チー ムが求めているのは、組織の戦略およびリスク環 境の進化に合わせて繰り返し学べる人材であるこ とを部分的に反映しています。同時に、組織が徐 々に内部データの価値を活用することに目を向け、 内部監査チームが継続的な監査保証を提供するた めに自ら最先端の分析の活用に乗り出す状況を受 け、監査人の役割は、データを理して意味を割り 当てること、それを価値と影響があるように経営 陣に伝達できることの方へ徐々にシフトしつつあ ります。
各種ソーシングモデルの比較
内部監査管理者がチームメンバーのスキルを見直 す際に使用できる基本ソーシングアプローチは2つ あります。既存メンバーにトレーニングを施す方 法と、部門外に目を向けて希望するスキルを持つ 人材を雇用または契約する方法です。内部監査管 理者は、2つのアプローチの費用と利点を慎重に比 べるべきです。継続的な専門教育は、監査人の能 力と成長を確保する上で重要な要因です。継続教 育は、各チームメンバーが監査チームに貢献する 価値を最大限に高める最善の方法のひとつです。 しかし、特定の新しいスキルのトレーニングには 費用がかかるため、内部監査部門の多くは、パン デミックの渦中でトレーニングと専門能力開発を 縮小せざるを得ませんでした。トレーニングへの 投資があまり理解されず協力を得られない場合、 日常業務に望み通りの影響を与えないリスクもあ ります。したがって、トレーニングにより内部監 査メンバーのスキルを見直す場合、自分の受けて いるトレーニングが内部監査戦略の全体像と個別 のスキル成長計画にどのように適合するかについ て、従業員が理解することが重要です。
部門外の人材に目を向ける場合にも2つのアプロー チがあります。ひとつは、内部監査の経験と専門 知識を持つ人材を雇い、監査対象のビジネスを学 習させる方法。もうひとつは、対象領域の専門家 を雇って、内部監査業務の遂行についてトレーニ ングを施す方法です。内部監査部門は、チームメ ンバーにおける対象領域の専門知識を強化するた めに、IT、データサイエンス、コミュニケーショ ン、不正とセキュリティ、業務管理などの分野に 徐々に目を向けつつあります。
スピード、アジリティ、スケーラビリテ ィの優先
パンデミックの渦中でビジネス状況が変化し、内 部監査部門はアジリティ(俊敏性)を高め、より 速く保証とリスクに関する洞察を組織へ提供でき るようにならなければならないことが再び浮き彫 りになりました。内部監査部門のスキルを見直す にあたり、スピード、アジリティ、スケーラビリ ティは重要な考慮事項にするべきです。内部監査 管理者は、監査部門が組織のニーズに合わせてど のくらい素早く拡大/縮小し、優先順位と業務を再 調整できるかを測定することを試みるべきです。 その際には、監査人の以下の要素を考慮します。
- 物理的所在地
- 経験、スキル、対象領域の専門知識
- 役割の定義と組織構造内における地位
- 雇用状態(正社員、契約業者など)
内部監査部門は、チームメ ンバーにおける対象領域の 専門知識を強化するために、 IT、データサイエンス、コミ ュニケーション、不正とセ キュリティ、業務管理など の分野に徐々に目を向けつ つあります
組織が従来のウォーターフォール型アプローチ(プ ロジェクトには明確な開始と終了がある)からア ジャイル型アプローチ(プロジェクトは継続的に 反復され、要件はその都度変わる)へ移行するに 伴い、内部監査部門は優先順位の変更に合わせた ポストを用意することが重要になります。これを 機に、部門間で協力する環境において利益をもた らすために必要なスキルが最適な形で備わるよう にするには、監査チームをどのような構造にすれ 「内部監査部門は、チームメ ンバーにおける対象領域の 専門知識を強化するために、 IT、データサイエンス、コミ ュニケーション、不正とセ キュリティ、業務管理など の分野に徐々に目を向けつ つあります」 ばよいか検討すべきです。これにより、チームが プロジェクトの進む方向へ合わせて必要なスキル を獲得するためのスピードとスケーラビリティが 確保されます。
結論
内部監査チーム内でスキル、能力、知識を適切に混 ぜ合わせるための万能公式はありませんが、監査チ ームの現在および将来に目を向けてスキルを見直す 方法を考慮する際、内部監査管理者が基準点として 使用できる必須の資質がいくつかあります。内部監 査部門は、組織の戦略とリスクを理解し、それらの 変化に合わせて調整するためのアジリティを維持し ながら、時宜に即した、関連性のある、先を見据え た洞察を提供しなければなりません。これを実行で きる内部監査部門は、不確定な未来を導く羅針盤と して、組織に欠かせない資産となる、もしくは存続 し、その地盤を固めることができるでしょう。
脚注
1 Institute of Internal Auditors (IIA), 2019 North
American Pulse of Internal Audit: Defining
Alignment in a Dynamic Risk Landscape, USA,
2019
2 同上
3 ISACA®, The Future of IT Audit, USA, 2019, https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpfit
4 Institute of Internal Auditors (IIA), 2018 North
American Pulse of Internal Audit:
Transformation Imperative, USA, 2018
Kevin M. Alvero, CISA, CDPSE, CFE
Nielsen Companyの内部監査、コンプライアンス、ガバナンス担当シニアバイスプレジデント。Nielsenのグローバルメディア 製品およびカンパニーサービスを広くカバーする、内部品質監査プログラムと業界コンプライアンスイニシアティブの先頭に 立って指揮しています。
Stefanie Sullivan
Nielsen Companyの内部監査マネージャー。監査部門の統合データサイエンスリソースの一人として、主にテレビ視聴者測定契 約業務向けデータおよび方法論の専門知識を提供することに取り組んでいます。