【世界の内部監査の潮流】第16回:内部監査の未来を脅かす7つの戦略的リスクとは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、私が尊敬している元内部監査人協会(IIA)の会長兼 CEOのRichard Chambers氏のブログ記事の内、2024年第4位のものをピックアップして、「内部監査の未来を脅かす7つの戦略的リスク」についてお伝えしたいと思います。この記事を読むことで、これらのリスクがどのように監査部門に影響し、どんな対策を講じるべきかについて理解することができます。
1. 内部監査を揺るがす7つの戦略的リスク
1.1. 人材の獲得と定着の難しさ
まず最も多くの内部監査人が懸念しているのが「人材の確保と定着の困難さ」です。世界中で優秀な人材の争奪戦が起きている中、監査部門はテクノロジーやデータ分析に精通した人材を求める一方で、監査分野特有の専門知識とコミュニケーション力を兼ね備えた人材が減少している傾向があります。
私がかつて海外企業の監査人材採用に関わったときも、「ITリスクに詳しく、かつ監査の基礎ができる人を探すのが一番難しい」という声を何度も耳にしました。加えて、仕事の魅力やキャリアパスを明確に提示できないと若い世代が監査業界に留まらず、より“華やかな”職種へ流出することも現状の課題です。日本においても同様の傾向があるため、監査部門のブランディングや処遇を見直す必要性が高まっています。
1.2. テクノロジーを有効活用できないリスク
2番目に挙がるのは「監査業務におけるテクノロジーの活用不足」です。今やデータ分析ツールやリモート監査システムの導入は当たり前になりつつありますが、組織によってはその導入や運用が部分的に止まってしまい、“紙ベース”や“ヒアリング中心”の監査から脱却できていないケースも見受けられます。
ある海外の監査責任者と話をした際、「テクノロジー導入を躊躇していたら、経営層から『外部ベンダーに解析を任せた方が早い』と言われてしまった」と嘆いていました。要は、「監査がわざわざやらなくてもいい」とみなされるリスクがあるということ。社内での存在意義を示すためにも、ITツールを使いこなし、効率的かつ価値あるインサイトを提供する能力は今後ますます必須となるでしょう。
1.3. AI活用の遅れ
3番目のリスクは「AIを活用できないこと」です。生成AIをはじめとする先端技術が急速に発展する中、内部監査がこれらをどう取り入れるかはまさに“未来を左右するテーマ”となっています。たとえば、テキスト生成AIを使えば監査調書作成や予備調査の効率が大幅に上がる可能性がありますが、実際には「どこから手をつけたらいいのか分からない」「AIの結果をどう信頼すればいいのか」といった悩みが根強いのが現状です。
私のコンサル先でも、AIによるリスク分析のモデルを導入しようとしたところ、一部の監査員から「AIは不正検知の際に人間と同じレベルの洞察を持てるのか?」という疑問の声が上がりました。しかし、AIが“監査の頭脳”を全て置き換えるわけではなく、あくまで監査人の判断をサポートするもの。多くの場合は“協働”の形をとることで、業務効率の大幅アップが期待できるはずです。
1.4. ITリスクを監査できる人材不足
「ITリスクを理解し、監査できるスキルが足りない」という課題は、先述したテクノロジー活用のリスクと密接に絡み合っています。特にクラウドやネットワークセキュリティ、AIモデルのガバナンスなど、従来の監査範囲を大きく超えた知識が必要になっているのです。
日本企業の中には、IT監査を外部の専門コンサルに丸投げしてしまうケースも少なくありません。もちろん外部活用が悪いわけではないのですが、社内にノウハウが蓄積されないと、次の新たなリスクが出てきたときにまたゼロから外部に依頼する非効率なサイクルに陥ります。長期的に見れば、ITリスクを理解し、自社独自の監査アプローチを作れる内部人材を育てることが重要だといえます。
1.5. 重要リスクを見抜けないリスク
5番目は、「本当に重要なリスクを特定しきれない」こと。内部監査の大義名分は、組織の重大なリスクを早期に洗い出し、経営に提言する点にあります。しかし、リスクアセスメント手法が古いままだと、新しいビジネスモデルや市場変化への対応が後手に回り、結果として「なぜこの不正や大損失を見つけられなかったのか?」という“Where were the internal auditor?”問題が再燃するのです。
私も、日本企業でリスク評価の仕組みが毎年ほぼ同じフォーマットで形骸化し、最新のサプライチェーンリスクや地政学リスクが十分考慮されていない様子を見かけました。定期的にフォーマットを見直し、現場の声も柔軟に吸い上げる体制を整えることが、リスクを見抜く眼力を鍛えるための近道となるでしょう。
1.6. ステークホルダーの“監査疲れ”
6番目は「ステークホルダー監査疲れ(監査・オーバーサイトへの不満)」です。とくに金融業界などではリスク管理やコンプライアンス部門が急増し、“チェックする組織”があまりに多くなった結果、「こんなにたくさんの監査や確認が必要なのか?」と現場がうんざりしてしまう現象が起こります。
経営トップの視点でも、人員や予算を監査にばかり費やしては本業が疎かになるという声も出やすいでしょう。ここで内部監査が果たすべきは、“他の監査・モニタリング部門とどう差別化し、どう付加価値を提供するか”という点。単に「チェック」に終始せず、経営戦略や組織改善の具体策を提示できる監査こそが評価されるはずです。
1.7. 新興リスクへの察知不足
最後に挙がったのが、「新たに台頭するリスクへの認識不足」です。世界が混沌とする中、地政学リスクや気候変動、SNSの炎上リスクなど、従来の監査範囲外と思われていた領域が企業活動に大きな影響を与える時代になりました。
リスク領域が広がり続ける現代では、「そんなリスク、予想外でした」と簡単に言い訳が通らなくなっています。これを防ぐためにも、監査部門が社内外の情報ネットワークを活用し、定期的にリスク見直しを行う仕組みが欠かせません。海外では、監査部門自体がリサーチ部門や外部シンクタンクと連携し、リスクの早期レーダーを構築している事例も増えています。
2. 日本の内部監査人はどう備えるべきか
2.1. “人材×テクノロジー”の強化を最優先課題に
ここまでのリスクを俯瞰すると、人材とテクノロジーがどれほど密接に関連しているかが分かります。AIの導入やITリスク監査が進まない背景には、それを担う専門家が不足しているという問題が潜んでいるわけです。
日本の監査部門がやるべきは、まず“テクノロジーに強い人材の採用・育成”を真剣に推進すること。そのためには職務の魅力を明確化し、データサイエンスやAIに関心のある若手にも監査というフィールドを選んでもらえるような仕組み(報酬やキャリアアップ機会の提示)を整える必要があります。加えて、既存社員のリスキリングも急務でしょう。外部研修やオンライン学習プラットフォームなどを活用し、ITやAIの基礎を体系的に学べる場を用意することが大切です。
2.2. 戦略思考と差別化
内部監査が「チェック機能の一つ」で終わらないためには、自社だけが提供できる“価値”を明確にする必要があります。それはどの業界でも同じで、たとえば自動車メーカーなら「安全性と環境対応」、金融業なら「リスク管理とイノベーション」といった具合に、監査活動の焦点を企業文化や経営方針と結びつけることがカギです。
実際、私がサポートしたある企業では、監査報告書を経営層との対話の場として捉え、単にリスクを指摘するだけでなく「ここを改善すれば他社と差別化できる」という戦略提案まで行うプロセスを導入しました。結果として、監査部門は「会社全体の成長に貢献するパートナー」という評価を得るようになり、予算も拡充されました。これは“監査疲れ”を回避する上でも有効なアプローチだと思います。
2.3. 持続的なリスク感度のアップデート
新興リスクを見逃さないためには、常にアンテナを張り巡らせておく必要があります。そのためには、外部セミナーに参加したり、専門機関やシンクタンクのレポートを定期的に閲覧したり、SNSで海外の監査専門家をフォローしたりといった情報収集の習慣づくりが大切です。
また社内においても、現場部門や海外拠点とコミュニケーションを密に取り、潜在的なリスクの兆しを早期にキャッチできる仕組みを整えましょう。たとえば定例会議で「気になるリスクトピック」を自由に共有する時間を設けるだけでも、現場の生の声が集まります。こうした小さな工夫の積み重ねこそが大きな“監査の力”につながるはずです。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。それでは、次回の記事でお会いしましょう!
本記事の引用元:
Richard Chambers, “7 Strategic Risks That Threaten the Future of Internal Auditing,”
https://www.richardchambers.com/7-strategic-risks-that-threaten-the-future-of-internal-auditing/