【世界の内部監査の潮流】第22回:新基準がCAEに求めるテクノロジー戦略の高度化とは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、私が尊敬している元内部監査人協会(IIA)の会長兼 CEOのRichard Chambers氏のブログ記事の内、2024年第1位のものをピックアップして、「新IIA基準がCAEに求めるテクノロジー戦略の高度化」についてお伝えしたいと思います。この記事を読むことで、内部監査の戦略計画におけるテクノロジーの重要性と、実務で押さえておくべき具体的なポイントについて理解することができます。
1. 新基準がCAEに求めるテクノロジー戦略の高度化
1.1. テクノロジー活用が「必須要件」に格上げされた背景
従来、IIA(The Institute of Internal Auditors)の基準やガイダンスにおいては「監査にテクノロジーを活用すること」が推奨されていましたが、新たに公表されたグローバル内部監査基準では、CAE(Chief Audit Executive)の戦略計画にテクノロジー戦略を組み込み、さらに具体的な活用方法を盛り込むことが事実上の“必須要件”として位置づけられています。
これは、リモートワークやデジタル化の進展により、データの扱いや分析手法がかつてないほど多様化・高度化している現状を反映したものといえます。今やAIを活用したリスク分析、監査の自動化、リアルタイムのデータモニタリングといったテクノロジー手法が、内部監査における新たな常識になりつつあるのです。
実際、Standard 10.3「Technological Resources」では、CAEは監査チームが必要とするテクノロジーを確保するだけでなく、「効率化と効果向上を図るために、適切なトレーニングと組織内外の連携を行うこと」を求められています。かつてのように“紙ベースの監査調書とExcelシート”で済む時代は終わりに近づいており、監査部門のテクノロジー活用が事業継続や組織の信用リスクにも大きく影響するようになったと言えるでしょう。
1.2. 戦略的テクノロジー導入の具体的要素
実際にCAEが戦略計画を策定する際には、次のような要素を網羅的に検討する必要があります。
1つ目はテクノロジーの選定基準です。監査管理ソフトウェア(Audit Management System)やデータ分析ツール、リスク管理プラットフォームなど、どの領域でどのような効果を狙うのかを明確にすることが不可欠です。
2つ目は導入・運用コストの算定です。テクノロジー活用にはライセンス費用だけでなく、カスタマイズやメンテナンス、ユーザー教育など、さまざまなコスト要因が含まれます。CAEは予算要求の際に、コスト対効果を根拠づける説明が求められるでしょう。
3つ目は連携と研修です。監査部門だけが高度なツールを保有していても、有効活用できなければ意味がありません。情報システム部門(IT)、情報セキュリティ部門(IS)などと連携しながら、ソフトウェアの使い方からセキュリティ対策まで一貫して教育する仕組みが求められています。
そして4つ目として上層部へのレポートが挙げられます。Standard 10.3では、テクノロジー不足による内部監査の限界やリスクについても、経営陣や取締役会へ報告する責任をCAEが負うと明確にしています。人員不足を訴えるのと同様に、テクノロジー面での制約が監査の質や網羅性を落とす場合、それを高レベルで共有しなければなりません。
2. 日本の内部監査人に向けた具体的アプローチ
2.1. テクノロジー戦略を形にする5つのステップ
リチャード・チェンバース氏らの提唱する手法を参考にすると、CAEがテクノロジー戦略を策定する際には、大まかに以下の5ステップを踏むとよいでしょう。
ギャップアセスメント
まずは現状の監査プロセスにおけるテクノロジーの利用状況を洗い出し、不足や改善の余地を可視化します。たとえば監査文書のデジタル化、遠隔監査の対応度、データ分析の自動化レベルなどです。他部門との連携(IT・ISとの協働)
すでに会社全体で導入済みのテクノロジー(BIツールやRPAツールなど)があれば、それを活用できないか検討します。新たに調達する際は、IT部門のセキュリティ要件や導入基準を満たす必要があり、早期に連携することが重要です。投資計画とビジネスケースの作成
どのようなツールを、いつ導入し、どれだけのコストがかかり、それによってどんな効果を狙うのかをまとめます。人数削減や業務効率化だけでなく、企業全体のリスク対応力向上、レポーティングの迅速化など、定量・定性的両面で経営陣への説得材料を整備しましょう。トレーニングプログラムの設計
新しいツールを導入しても、ユーザーが十分に使いこなせなければ宝の持ち腐れになりかねません。入門レベルから応用レベルまで、段階的な研修計画を立て、社内に技術サポート・ヘルプデスク機能を置くことも検討します。セキュリティ・プライバシーリスクの管理
最後に、導入したツールのセキュリティ要件やデータの取り扱いを定期的にモニタリングし、リスクが顕在化しそうであれば迅速に対応策を実行します。内部監査としても、自分たちの使うツールやプラットフォームの安全性を常に検証する必要があります。
2.2. テクノロジー活用成功へのヒントと実例
実際、私が支援したある監査部門では、監査管理システムを導入し、わずか半年で監査プロセス全体の工数を30%近く削減しました。上層部へのレポートもリアルタイムで見られるダッシュボード形式に変えたことで、内部監査の可視化とスピードアップに成功したのです。
また、日本企業向けにコンサルティングを行う際は、まず「現状のExcelフローが複雑になり過ぎていないか」を確認するケースが多いです。Excel作業が煩雑すぎるが故に監査人が分析に時間を割けず、チェック項目の網羅性が下がっているということも珍しくありません。そこにBIツールやAIなどを組み合わせれば、重複する作業や手入力ミスが大幅に減り、監査人はより高付加価値なリスク評価や不正兆候の発見に力を注げるようになります。
さらに、「情報セキュリティ部門が扱っているログ解析ツールと連携し、監査チームがその情報を定常的に閲覧できるようにした」例もあります。これによって、インシデント発生時の調査スピードが飛躍的に向上し、結果として企業全体のITリスク管理に一役買っています。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。それでは、次回の記事でお会いしましょう!
本記事の引用元:
Richard Chambers & Tom O’Reilly, “The New IIA Standards Are Raising the Bar for CAEs on Technology Strategies,”
https://www.auditboard.com/blog/the-new-iia-standards-are-raising-the-bar-for-caes-on-technology-strategies/