そもそもどのようにより機敏なテック指向の監査機能を構築するのでしょう? どういった監査の新テクノロジーが必要なのでしょう? これらのテクノロジーはどのように監査計画や活動を変えるのでしょう? そしてこうした果敢な新しいリスク保証の世界のガバナンスについてはどうでしょうか?

監査リーダーは、より優れたアナリティクスや、ロボティック プロセス オートメーション (RPA)、人工知能 (AI) が欠くことのできないテクノロジーであることを理解しなくてはなりません。 見通しが得られないまま繰り返される変革は変容を促すものであり、監査機能は新たな事が実行できるようになるでしょう。

その変革の向こう側では、監査リーダーが、一層機敏で応答性の高い監査機能の指導的立場を占めるでしょう。 このことは、より鋭いリスク保証委員会と経営幹部の要求を提供するのに役立つでしょう。 内部監査機能は、企業全体に価値を加えることができるようになります。

それでは、このテクノロジー 指向の監査機能に到達するロードマップとはどういったものでしょうか?

行わなければならないテクノロジーの変更

第一に、監査機能は、時間のかかる SOX コンプライアンスの手動の アプローチや統制テストから、 監視の自動化へと移行する必要があります。 ただし、研究によるとそれは容易ではないことが分かっています。 1,100 名以上の監査幹部を対象とした Protiviti survey では、2017 年に SOX コンプライアンスに費やされた時間が 10% 以上増加したことが分かっています。

その理由の一つには、収益認識に関する会計基準といった、特定の財務報告の課題が挙げられます。 また、合併統合や外部委託のビジネス プロセスのような組織上の複雑性も理由の一つです。 差し迫った状況下にある監査法人は一層懐疑的になり、より多くのデータを必要とするのもまたその原因となっています。

RPA、高度な分析、データの可視化、機械学習といった必要なテクノロジーは例外なく隠されていません。 しかしこれらのテクノロジーの採用状況は未だ低いのが現状です Protiviti survey では、回答者の 11% が RPA を使用し、8% が高度な分析と可視化を使用し、2% のみが機械学習を実装していると報告されています。

これは、内部監査機能にリスク保証能力を変革するための大きな将来の可能性があることを意味します。 そうではあるものの、私たちには依然として基礎固めをする上で今日するべき土台作りが多く残されています。

たとえば、多様なデータ 分析の世界を構築したい場合には、堅牢なデータ ガバナンスが極めて重要になります。 監査リーダーは、第一と第二のディフェンスラインのビジネス プロセス所有者と連携し、デジタル ビジネス プロセスで作られるデータを定義する必要があるでしょう。

また、ビジネス システムから優先する分析または RPA ツールへの、企業全体のデータの抽出や移行を自動化する方法について、ビジネス ユニットと連携する必要もあります。

行わなければならないチームの変更

監査チームが運用方法がわからないために、新しいテクノロジーは一般的にあまり採用されていないのです。 テクノロジーには目を見張りますが、実際のリスクを監視する、実際の担当者の監査チームはどうしたらそれらを十分に活用できるでしょうか?

それには入念な計画と漸進的な変化が必要になるでしょう。 監査リーダーは、データ アナリスト、ビジネス プロセス ユーザー、サイバーセキュリティの専門家など、適切な専門知識を持った担当者を集める必要があります。 これらのスキルはその後、取締役会に保証を提供する信頼できる監査慣行に変換されなければなりません。

しかしその取り組みに突き進むと、あらゆるタイプの誤りが発生する可能性があります。 ビジネス リスクが正しく理解されることなく、たとえばこれが適切なデータを生み出さない自動化プロセスになる可能性もあります。 これは基本的な課題です。すなわち、これらのテクノロジーは設定したどのスタート地点からでも、猛スピードで機能するかもしれないのです。 したがって、適切なリスクと目的を特定し、これらのテクノロジーを使用して最良の監査手続きを開発することが極めて重要になります。

行わなければならないガバナンスの変更

より機敏なリスク保証機能に対して適切な人材とテクノロジーを集める問題の次に、監査リーダーが考える必要のある課題があります。

このすべてを運用するのは誰でしょうか? これらの新しいリスク保証機能を信頼できると宣言するのは誰でしょうか? 現時点では誰も分かりません。 たとえば、データ 分析、RPA、および機械学習は、 GRC 専門家に数多くのメリットを提供します。 そしてこれらのテクノロジーは徐々に採用され始めています。 ただし、テクノロジー自体への保証の確保のし方については未だ基準が存在しません。

それでは、たとえば社外監査人は新しい監視統制の有効性をどのように獲得できるでしょうか? ソース コードは監査するのでしょうか? 顧客の費用で自社のテストを実行するのでしょうか? 自社の AI や視覚化を使うのでしょうか? しかし、その AI と貴社の AI の結果が異なっていた場合はどうなるのでしょう?

これらの質問に対し、監査職には明確な回答がまだありません。 公開会社会計監視委員会 (PCAOB) は、 このための監査基準が必要であるかどうかを調査していますが、いつ基準ができるかは明確ではありません。

したがって、監査リーダーは、社外監査人、新規の監査テクノロジー投資を承認する経営幹部、および作られたリスク保証のメカニズムとより緊密に働く事業部門の同僚たちと共に、この領域をいかに交渉するか検討する必要があります。

PWC の 2018 年内部監査全世界実態調査報告書内の 2 つの統計を検討しましょう。 第 1 に、監査幹部の 53% がダッシュボードを使用していると報告し、33% が他のビジネス部門と横断的に共有しているということです。 第 2 に、同一の調査回答者は、同じ調査の数値は 2020年には 85%と71% に跳ね上がるであろうと答えています。

言い換えると、内部監査機能はすでに、次世代テクノロジーを取り入れていることになります。 より優れたリスク保証の必要性が低下するという状況は考えられません。 私たちは、ただそれが必然的に伴う事を明確に理解することが必要です。

テック指向の監査機能で成功の形

取締役会は、何よりも組織による価値創造能力を維持したいと考えています。 ただしここでは、組織はその能力への脅威はどのようなものかを認識し、それに応じて対応ができるということが暗黙の前提です。

これがリスクの認識です。 取締役会、および上級管理者と事業運営リーダーが望んでいることは、事業活動が効率的であるか、または法律を遵守しているかの確認だけではありません。 彼らは、組織が変化するビジネス条件に対して、直ちにではないにしても急速に対応が可能であることを知りたいと考えています

テクノロジーは、内部監査リーダーがそのリスク認識能力を構築するために存在し、また監査機能自体は業務に極めて最適な形をとっています。 そのタスクには、企業内外の優れた人材との新たな協働が必要であり、また、これらすべてのリソースを獲得し、次世代監査機能の構築に向けた思慮に富んだ戦略が必要になるでしょう。 またそれは、テクノロジーによって拡大された能力と慎重な検討が必要でしょう。 それでもこの未来は差し迫っています。 それは、私たち全員がすでに認識している一つの事実です。