Galvanize
リスクマネジメントとコンプライアンスに関しては、多くの組織が 3 つのディフェンス ライン(3LoD)を運用し、業務管理部門、コンプライアンス部門、内部監査部門が連携してリスクの評価・軽減、統制・コンプライアンスの管理を行っています。
このモデルは理論上では成功するかもしれませんが、リスクマネジメントとコンプライアンスの役割は複雑さを増しており、常に期待通りに事が運ぶとは限りません。 組織の規模に関わらず、サイバーセキュリティの脅威が高まり、詐欺行為の手口は巧妙化し、そしてコンプライアンス要件が拡大する中、脅威やコンプライアンス違反の発生から速やかに組織全体で状況を把握することは難しいこともあります。
問題は、上述の 3 部門が常に効率よく連携しているとは限らない点です。そうなると、時として、内部監査は蚊帳の外に置かれてしまい、有益な価値を組織に提供できないかもしれません。 有益な提案をするために必要なデータにアクセスできないこともあるでしょう。 内部監査チームが、新たな脅威の把握や、その軽減のために対策を講じるにあたって役立つ戦略的な洞察を提供するのではなく、単純に項目をチェックしてコンプライアンスを守っているかに比重を置いていることもあります。
内部監査チームが組織に大きな変化をもたらせるようにしたいのであれば、上層部に耳を傾けてもらい、監査業務に支持を得る必要があります。 上層部と連携することで、監査チームがイニシアチブを発揮し、組織がコストを削減しリスクを軽減するのに役立つデータにアクセスできるようになり、経てはチームの価値を高めることにつながります。
以下は、上述の連携を効率よく進めるための 4 つの戦略案です。
- サポートをしてくれるキーパーソンが誰かを特定し、その人物と関わり合いを持てる計画を立てる
監査チームは、当然、監査の実施に必要となる重要な情報を提供してくれるマネージャー層とやりとりをするわけですが、こうした相手との連絡にのみフォーカスすると、組織で注目を得られる立場になるため力になってくれる経営陣との関わり合いを持つ機会を失ってしまいます。 最高リスク管理責任者 (CRO) や最高技術責任者 (CTO) といった、組織でも立場がかなり上の管理職に就く人物と定期的に話をする計画を立てるようにしましょう。 監査中にチームにレビューを期待される未解決の問題についてこうした立場の人物に意見を求めたり、逆に、自分たちが監査で行ってきた業務やさらに詳しく精査が求められる問題をまとめて説明したりする機会を得られます。 監査チームはいつでもサポート体制が整っており、また、意見を求めていることを上層部に知らせるようにしましょう。 - 組織全体の傾向に積極的に対処する
個々の監査で判明した問題にのみ着目するのではなく、傾向を特定するために監査結果を包括的にとらえるようにしましょう。 単一の部門やオフィスの拠点で特定のコンプライアンス問題の解決に困っていることがあるか、経営陣と情報を共有すべき全体的な傾向なのかなど、 軽減の必要があるリスクを把握するために頻繁にデータをレビューし、責任者を誰にするのかや何を基準に成功とするか等も含めて、リスクにどう対処すべきか段階的なアクションプランを提案するようにしましょう。 - サードパーティ リスクに注意する
多くの監査チームが狭い視野でリスクマネジメントをとらえており、結果、業者や技術パートナーによりもたらされた外部リスクを見逃しています。 ですから、方針を整えて、サードパーティ ベンダーを慎重に下調べの上コンプライアンス状況の確認を自動化し、ベンダーが直面しているかもしれない財政上または法律上の問題に警鐘を鳴らす外部データを集めるようにしましょう。 提案する解決策や、技術パートナーに危険信号がないか定期的に状況を追い、そうしたリスクを軽減するための戦略も立てなければなりません。 そうすれば、経営陣や会社全体のその他のパートナーとの会議で調査結果を示し、一緒に力を合わせて具体的な事例に対する計画を打ち出せます。 Amazon や Facebook といった大手事業者のリスクは多くの自社顧客やパートナーにも影響を及ぼすことがあることを念頭に、会社全体の事業モデルに影響を及ぼすおそれのあるあらゆる不確定要素をまとめるようにしましょう。 - トップクラスの GRC 技術を活用して、コンプライアンス状況の確認を自動化し、データを分析する
経営陣に有益な洞察を提供できるよう、使いやすい GRC プラットフォームにリスクマネジメント機能が統合されていることが重要です。 GRC プラットフォームはさらに、業界を問わず、統制のフレームワークの自動化に役立つ事前構築済みコンテンツを備えておく必要があります。 そうすれば、組織のコンプライアンス状況やリスクレベルをいつでも監視しやすくなり、統制レベルが条件を満たさなくなった時点で速やかにアクションを求める体制が整います。 また、データを深く掘り下げてエグゼクティブ ダッシュボードを生成できるので、推奨する提案内容の根拠を示し、経営陣が情報に基づいた優れた経営判断を下すのに役立つ洞察を共有できるようになります。
洞察の深いデータ アナリティクス、リアルタイムのデータ情報、ワークフローの自動化というサポートが得られる 3LoD を取り入れるために包括的な戦略を立てることで、監査チームは新興リスクを割り出して組織全体でリスクを軽減する新たな戦略の策定に有益な洞察を生むことができるようになります。 注目を得られ、影響力を持ち、なおかつ会社に信頼されるパートナーになる上で、このことが役に立つでしょう。
内部監査が組織においてどう役割を強化できるかという点でさらに洞察を得るため、Galvanize は内部監査人協会 (IIA: Institute of Internal Auditors) との円卓会議で多くの内部監査人と話をし、ベスト プラクティスを共有してもらいました。 その詳細を、Galvanize の最新 eBook 「監査:今こそ転換のとき」で是非ご確認ください。
eBook:
監査:今こそ転換のとき
適切なアプローチを採用すれば、監査ははるかに強力な役割を担い、実に戦略的なパートナーになることができます。 この eBook では、以下のことを考察します。
- 内部監査によるコミュニケーションギャップ
- 強いつながりを構築するツールとしての関わり合い
- 経営判断をサポートするツールと技術
- 内部監査が地位を得る戦略
