ACL 監査分析適応モデル ~基本的なデータ分析から継続的モニタリングまでをナビゲーション~ White Paper 目 次 はじめに ……………………………………………………………………………… 1 『監査分析適応モデル (AACM) 』とは ……………………………… 2 Level 1 – 基本 ……………………………………………………………………… 特徴 ………………………………………………………………………………… メリット ……………………………………………………………………………… 課題 ………………………………………………………………………………… 企業レベルでのリスク ………………………………………………………… 最適化のための条件 ………………………………………………………… 4 4 4 5 5 6 Level 2 – 応用 ……………………………………………………………………… 特徴 ………………………………………………………………………………… メリット ……………………………………………………………………………… 課題 ………………………………………………………………………………… 企業レベルでのリスク ………………………………………………………… 最適化のための条件 ………………………………………………………… 6 7 7 8 8 9 Level 3 – 管理 ……………………………………………………………………… 特徴 ………………………………………………………………………………… メリット ……………………………………………………………………………… 課題 ………………………………………………………………………………… 企業レベルでのリスク ………………………………………………………… 最適化のための条件 ………………………………………………………… 10 10 11 12 12 13 Level 4 – 自動化 …………………………………………………………………… 特徴 ………………………………………………………………………………… メリット ……………………………………………………………………………… 課題 ………………………………………………………………………………… 企業レベルでのリスク ………………………………………………………… 最適化のための条件 ………………………………………………………… 14 14 14 15 16 16 Level 5 – モニタリング ………………………………………………………………17 特徴 …………………………………………………………………………………… 17 メリット …………………………………………………………………………………18 課題 …………………………………………………………………………………… 19 企業レベルでのリスク ……………………………………………………………19 最適化のための条件 ……………………………………………………………19 まとめ ………………………………………………………………………………………… 21 はじめに 今日のビジネス環境では、内部監査は今まで以上にリスク管理を重視し、良きアド 「ACL 社の監査分析適応モデルは分 バイザーとしての役割が求められています。内部監査の従来の役割である保証業 析手法の有効利用を目指す企業にと 務をより効率的、効果的に行うばかりでなく、予算の縮小または良くて据え置き、法 って、明確な指針となります。これはビ 令の複雑化、担当スタッフの減少、という厳しい状況の中で、リスク管理プロセスの ジネスに対して監査の価値を語るた 有効性を評価するという期待がこれまで以上に高まっています。 めの方法です。」 スクリップス・ヘルス社 監査分析手法を支持する見解を 1 つご紹介します。2010 年の内部監査人協会 財務監査担当マネージャー、CPA (IIA)による調査結果では、内部監査部門が戦略上最も優先すべき 5 項目のなか セオドア・K・ウォルター の1 つに「自動化されたツールまたは技法の利用」が挙げられました(注*1)。 さらに今日では、新しい監査技法の効果的な導入を模索している企業や組織は、よ り実践的な手法を重視する傾向にあります。 ACL Services 社は、20 年以上に亘り、14,700 社を超える世界中の企業や機関に 対し、ニーズに沿った革新的な監査分析ソリューションの開発を行ってきました。こ の間、当社は監査分析手法を活用し効果を上げているユーザー企業から学んだこ とを専門知識として蓄積する一方、導入前の企業からも、多くの貴重な情報を得て きました。 今まで蓄積してきた知識をもとに、 当社では監査分析手法、ならびにメリットを様々 な角度から評価する『監査分析適応モデル(AACM :Audit Analytic Capability Model)』を構築しました。当モデルは、内部監査部門が分析テクニックを展開して いく上で考慮すべきレベルを 5段階に分類しており、便益を最大限に利用するため に必要となる基本的な構成要素を、人、プロセス、テクノロジーの面から説明いたし ます。 AACM は、内部監査を必要とする企業や機関が、監査分析手法の利用について、 より明確に評価し、有益性や成功を一層引き出すために何をすればよいかを理解、 計画、伝達していくための助けとなります。本書では、AACM を紹介し、企業が内部 監査機能を通して、段階的に分析テストを追加していくための構築を支援します。 (注*1):― “Internal Auditing in 2010 : Shifting Priorities for a Changing Environment” Institute of Internal Auditors 『2010年の内部監査:変わりゆく環境に対応した優先順位の入れ替え』 内部監査人協会 1 『監査分析適応モデル (AACM) 』 とは 監査の従来の方法は、一定の期間の活動を対象に、時系列に遡って監査すると 「これは従来の事後的対応から予防 いうものでした。この方法は、監査計画の後講釈として、必要かつ裏付けのある結 的対応への転換を意味します。つまり 果を提示することに長けています。しかし、今日のビジネス環境においては、リスク リスクを特定、管理し、過去の事後考 管理やビジネスの健全性を担保するという目的に適う、先見性に富み、かつ全体を 察に加えて現状の判断、将来の見通 見据えた監査が求められています。 しを示すことで、ビジネスの信頼感や 価値を高めることにつながるのです」 内部監査人協会(IIA)の会長、リチャード・チェンバーズは、2010 年総合監査管理 (GAM)総会の基調講演でこの必要性について改めて強調しました。チェンバーズ 氏は、監査の妥当性や価値を高め、経営陣と「肩を並べるポジション」を確保するた めにも、監査は、過去に起こったことを理解し、現在の環境で起こっていることを鋭く 観察し、将来起こりうる企業リスクがどこに潜んでいるかを見極めることが必要であ ると述べています。つまり、監査とは過去の評価と現状洞察、未来予測を繰り返し 行うことが必要であるというのです。この一連の行為を重ね合わせると、内部監査 部の一つの「目線」というものが形成されます。 AACM は、内部監査業務へのデータ分析手法の適用を段階的に拡大できるよう、 「基本」 「応用」 「管理」 「自動化」 「モニタリング」の 5段階のレベルに分け、各レベ ルの連続性を保ちながら徐々にメリットを増やすことができる構成となっています。 ほとんどの企業にとって、分析能力を向上させることは、その企業のビジネスにお ける内部監査の価値や貢献度を高めることと直結します。分析手法の基本的な利 用から応用へと用途を広げ、プロセスの統制が確立されると、次の自動化や継続 的モニタリングのステージへと進めていくことができます。これは従来の事後的対応 から予防的対応への転換を意味します。つまり、リスクを特定および管理し、過去 の事後考察に加えて現状の判断、将来の見通しを示すことで、内部監査の信頼感 や価値を高めることにつながります。 (図1 :ACL の監査分析適応モデル(AACM)を参照)。 監査人によるデータ分析は一連のいずれのレベルにおいても、重要な役割をはた します。例えば、特定の監査を支援するために、1 年または前四半期に行われた全 取引を検証する場合などに有効です。内部監査人は、このような検証を通して、過 去にどの点に統制不備があったのかを特定し、コンプライアンスや企業統治、リス ク管理に対して重要な事後考察報告を行うことができます。 2 図表1:ACL の監査分析適応モデル (AACM) 一時的 反復的 継続的 レベル 5 モニタリング 見通し レベル 4 自動化 監 査 の 貢 献 度 レベル 3 管理 現状洞察 レベル 2 応用 事後考察 レベル 1 基本 洗練度 次に、同じデータ分析を監査プロセスの一部に組み入れ、一元管理された分析手 法として利用すれば、事後考察報告に加えて、これまで以上にリスクや統制上の問 題点を指摘することができます。これは、本モデルのような手法がなければ実現不 可能です。テスト手続きは繰り返し実行が可能で、さまざまな業務プロセスを対象に 大量のデータを適時に検証し、リスクや不正、エラー、悪用などの実例を特定する ことができます。 企業や組織がこれまで以上に監査の自動化や継続的監査とモニタリングを行って いることに対応し、監査分析手法には監査や統制上の様々なパターンやトレンドを 把握し、事業面、財務面での統制プロセスにおいて、増加傾向にあるリスクや、変 化しつつあるリスクを見通す能力が備わっています。例えば、統制のモニタリング処 理は、毎日実行するよう設定することも可能です。定期的な分析テストを行うことで 、問題発生の恐れのある取引の実例や、統制の改善点を発見することができるの です。 さらに、継続的監査とモニタリングの段階へ進むことで、内部監査が過去、現在、将 来に対する一定の「目線」、つまり判断力は一段と高まります。現在、監査とモニタ リングの自動化と継続的な実行によって得られる効果を認識し、直ちにその段階へ の移行を希望する企業が増えていますが、残念ながらその構成要素である、人や プロセス、テクノロジーなどの基礎が整備されていなければ、導入しても希望どおり の効果は望めません。 3 そこで、企業が監査手法を段階的に導入しながら、各レベルでその効果を評価でき るように本モデルを考案しました。 次の章では、各レベルの特徴とメリットについて紹介します。これまでに、内部監査 人が監査技法を利用する際に、課題となるポイントや、組織上のリスクとして認識し ておくべき点、さらに、データ分析手法の利用を継続的モニタリングへと広げるにあ たり、人やプロセス、テクノロジーをどのように最適化すれば、これらリスクを低減し て、監査手法の利用効果を高めることができるのかを説明します。 Level 1 – 基本 「基本」レベルでは、大量のデータをクエリにかけて分析するための監査専用のデ ータ分析技術を使います。特定の監査に使用する場合が大半で、一般的に監査人 はデータ全体の統計概要と分類化や要約を行う分析から始めます。 特定の領域において、通常と違うものがあればそれを洗い出し、現状の取引や残 高をより理解するのに役立ちます。データ重複などの、明らかな問題は予め用意さ れた分析テストで簡単に見つけることができます。また、複数のシステムにまたがっ て保存されている取引データとマスターデータを照合して、エラーや不正の可能性 のある点を探し出すこともできます。 特徴 「基本」レベルでは、データ分析手法は通常、不定期に行われる監査で、入門レベ ルの研修を受けた監査人が使用します。その際、通常、経営責任部門が関わるこ とはほとんどなく、監査人が任意で、特定の目的に合ったソフトウェアを選び、選ん だ本人または監査チームのなかの専門担当者数名だけがそのソフトウェアを使用 します。このため、担当監査人または少人数で編成されたデータ分析チームはソフ トウェアを使いこなし、極めて効率よく成果物の作成を行える熟練ユーザーとなるこ とが少なくありません。 メリット 監査分析ソフウェアトを使い始めると間もなく、与えられた監査領域に内在するリス クや統制の問題点について、これまで以上に簡単に把握することができるようにな ります。取引や残高の全件データの検証や、監査用に予め設定されたクエリの使 用など、汎用ソフトウェアや、手作業で行う場合と比べて、より徹底的な分析が可能 となります。 4 その結果、不正やエラー、悪用などの実例を素早く特定できる上に、非効率な作業 「ACL の自動化されたデータ分析と日 や統制上の弱点などを発見することもできます。手法を使わないで同様のデータ分 次の監査報告を行うことで、内部統制 析を行う場合に数日かかっていたものが、数分程度まで時間短縮できることもあり が強化され、非常に貴重な企業監督 ます。 効果をもたらしました。」 Fintrax グループ 例えば、複数の通貨建ての支払いを通貨換算する「ダイナミック・カレンシー・コンバ 内部監査人 ージョン(DCC)」と、旅行者向けの付加価値税(VAT)還付管理手法を提供している ポール・オサリヴァン 金融サービス企業である Fintrax グループでは、監査手法を導入したことで、取引 内容の照合プロセスの効率化を実現し、不正のリスクをより正確に把握できるよう になりました。 Fintrax は事前にインストールされている基本的なスクリプトを使って効率化を図り ました。その結果、それまでユーザー1人当たり約 4~5 人/時かけて手作業で行っ ていた煩雑な DCC ファイルの照合作業は現在わずか1時間で完了します。 課題 「基本」レベルの手法を導入したばかりの内部監査人が共通して経験する最初の難 関は、データの入手です。どのデータがそれぞれの検証作業に必要なものかを理 解し、完全で統制されたデータ母集団を取得する作業がまず必要となります。 企業レベルでのリスク 「基本」レベルでは、データを取得するという行為だけでも、内部監査人にとっては 大変な作業かもしれません。データ収集のプロセスがきちんと計画され、効果的に 管理されたものでなければ、データを収集するだけでも大きなリスクを伴うことにな り、また人員確保も課題となります。 監査専用ソフトウェアは大量データを扱うことを前提に設計されており、セキュリティ は重要課題の一つです。全従業員の給与や支払い状況のデータを、セキュリティ が万全でないノートパソコンやネットワークサーバー上に読み込む事態はどの企業 も避けたいでしょう。 また、監査人が十分に分析結果を理解しないままにある結論へと先走ってしまうリ スクもあります。このレベルで必要とされる作業は通常、行われた業務が妥当であ り、無駄がないことを確認することが目的で、最低限の検証と品質保証手続きしか 行わない場合も多いことから、正式な認定トレーニングを受講することが重要です。 5 最適化のための条件 人、プロセス、テクノロジーの各方面において、以下のような体制強化を図ることで 、「基本」レベルのデータ分析における課題やリスクに対処し、効果を高めることが 可能です。 【人】 担当者の育成に努める。監査対象のデータ解析は、「基本」レベルでは特に難 易度は高くないが、適切なトレーニングを受けておくことは重要かつ有効です。 IT 部門による内部監査のサポート体制が整備されている場合以外は、データの 取得に関し頼れる技術サポートを確保しておくことが望ましい。 【プロセス】 簡単な計画から始める。データ分析手法を行う対象や手法を使用するエリアの 監査の目的と対象期間、実施期間を決定する。 IT 部門の協力を得て、対象データを特定、取得する。 取得したデータが適切なもので、かつ全て揃っていることを確認する。 作成するレポートの内容と実施手続きについて記録する項目を決定する。 【テクノロジー】 入門レベルでの使用に優れているだけでなく、今後の拡張を見据え、継続的監 査やモニタリングにも有効な監査専用ソフトウェアを選択する。 ハードウェアが大量データの保存と処理に対応できることを確認する。 監査ソフトウェアに予め用意された機能を使用し、監査活動を適切に記録する。 Level 2 – 応用 次のレベルは、レベル 1 をベースに設計されているものですが、分析機能がはる かに充実しており、また監査プロセスが業務の一部に完全に組み入れられることか ら、監査のあり方そのものが変化していきます。 このレベルでは、監査計画やプログラムの作成に、「分析手法を取り入れた監査ブ ログラム」を効果的に作ることを考慮します。有益かつ実用的である限り、監査ステ ップおよび目的は特定の分析テストを利用することで達成されるようになります。監 査対象となるすべての領域において、繰り返し実行可能なテストが数多く作成され ます。 6 特徴 今日、分析手法は幅広く使用されており、監査機関の大半はすでにこの「応用」レ ベルのユーザーですが、一口に応用といっても、実に多様なスキルやアプリケーシ ョンがあり、企業によって、応用のレベルは様々です。 人とプロセスという要素は、このレベルではさらに重要になります。監査の管理責任 者は必要な指示や支援を行うことが必要で、専門知識を持つ者が通常、データ分 析の担当者として、分析プロジェクト進行や手続きを監督することとなります。実施 した監査分析手法の質と妥当性を確認するための検証、および品質保証に必要な 手続きを整備します。 「応用」レベルでは、分析手法の利用は、段階的です。比較的簡単な分析から始ま り、より広範囲な監査目的をサポートするための分析が徐々に追加され、時間と共 にその利用は拡大していきます。新しい監査を実施する度に、どの分析手法を利用 するのが最も合っているかを考慮する必要があります。 さらに、トレーニングについては、データの取得と集約、再利用性を考えた効率的な スクリプト設計など、さらに深い専門知識の習得が求められます。監査責任者は、 監査分析プロセスを効率よく監督し、十分に活用するためのトレーニングを受ける 必要があります。これは、監査機能のあらゆる点において分析の成果をまとめてい く上で大変重要なトレーニングとなります。 メリット このステージでは、分析手法は監査プロセスに実質的な変化をもたらし、より効率 よく、信頼性の高いものへと変える役割を果たします。従来の手作業で行う監査や サンプル抽出によるテスト手続きは、現物との照合確認をしなければならない状況 にのみ行えば良いため、多くの作業はわずかな時間で済むようになります。監査人 は、時間の節約によって得た時間を、新たに浮上してきたリスクの調査などに充て ることができます。 例を挙げると、米国オクラホマ市の監査担当者は、州の売上税収入の監査と、記録 のない支払いや、適用規制と請求額の不一致、不適切な業者レポートなどを発見 するために分析手法を使用していました。一つのプロジェクトにおいて、監査チーム は市の歳入集金不足が 4500 万ドルがあることを発見し、これが、全都市のおける 州売上税の支払い方法を変えるきっかけとなりました。 7 さらに、遠隔地から監査分析手法や評価を行うことも可能です。例えば、事業所が 多数点在している企業の給与に対して監査を行う場合にも、企業全体の給与支払 いデータを一度に分析することができるようになります。月給や残業手当、ボーナス に不自然な金額がないか調査し、他の事業所が標準的な水準内に納まっているの に対し、1か所だけ突出して高い支払いがあるケースを見つけた場合には、その事 業所に絞って徹底した監査手続きを行えば良いため、旅費や監査費用の節減につ ながります。 課題 監査分析手法を広く採用し、監査プロセスの一部として機能させようとする際、内部 監査チームが対処しなければならない課題がいくつかあります。 内部監査担人はまず、分析手法を時々使用する場合と、監査プロセスの重要な一 部として使用する場合とでは、大きな違いがあることを認識しなければなりません。 分析プログラムの管理責任者となり、プロセスやスタッフの役割を変更して担当者 にはトレーニングを受けさせるなど、一つ一つが時間や労力、人員・手法を必要と するものです。後に得られる見返りは大きなものですが、時間や労力を含む初期投 資なしには、実現しません。 さらに、「基本」レベルでも経験したデータ収集に伴う難関は、「応用」レベルでも出 てきますが、企業はデータ分析手法の利用を広げ、繰り返し利用可能なテストを実 装することとなるため、こうした課題は、適切な品質保証手続きを念頭に置きながら 、正式なテスト設計や開発プロセスのなかに盛り込まれる必要があります。また、こ のレベルになると、担当者以外でもテスト手続きを理解し、維持できるように、標準 手続き書の整備が必要となります。 企業レベルでのリスク 「応用」レベルでは、企業にとっての最大のリスクはエンドユーザーの増加に伴って 、監査対象となるデータが増えるため、必要なデータが集中管理されずに分散して いる状況です。 データの保管場所が分散されていて、集中管理されていないために、複数の事業 所で監査を行った場合に重複したデータを繰り返しチェックするという非効率が生ま れる可能性が高くなります。データや検証対象が個人のノートパソコンやネットワー クサーバーにバラバラに保管されていると、最新の正しいバージョンのデータの把 握や管理、さらに、その検証結果の管理自体も難しくなります。 8 データや検証結果がノートパソコンや通常使用している業務マシン上に分散してい たら、セキュリティ面でも問題が増えます。内部監査担当者の業務マシン上にある 重要データは、通常の企業のセキュリティ基準に従わないかもしれません。特にク レジットカードや社会保障番号などの個人データは通常暗号化処理や画像処理さ れていないため、そばを通る人に見えてしまう恐れがあります。 大量のデータの分析には複雑な処理が必要で、ノートパソコンや業務マシン、ネット ワークサーバーの処理能力の全て使っても長時間かかることがあります。 最後に、知識が数人の重要スタッフの記憶として残り、そのスタッフが後に退職した ことで、投資やビジネス発展の機会を失ってしまう可能性も軽視できません。 最適化のための条件 この懸念やリスクを解消し、「応用」レベルで監査手法を最大限に活用するために は、次の点に留意が必要です。 【人】 技術スキルのあるスタッフ 1 名に、監査分析プログラムの導入から運用までの 責任を一任する。但し、内部監査管理者が目標や進捗の確認において、緊密に 連携する。 データ取得およびテスト開発の専門スタッフを教育・育成する。 監査のリーダー役を決定する際には、IT と監査両面の専門知識を兼ね備えて いることが求められる点に留意する。監査、統制プロセスや目標に対する深い理 解を活かし、テクニカルデータを鋭く分析する能力のある監査人は少ない。 テストの論理と結果は、必ず経営陣の確認を受けるようにすること。分析を専 門家に任せ、経営陣側は最低限の確認で済むことを前提としている場合が非常 に多く見受けられる。 【プロセス】 分析手法を使う目標と目的を明確にした上で社内に周知徹底し、必要人員、設 備と初期費用の現実的な見積もりを作成する。 次のステップで本モデルの適用を拡大する際のニーズを念頭に、対応可能な包 括的プランを立てる。監査目的のうち主要項目からスタートし、データ分析手法 を使うことで最も効率よく効果的に分析作業を実施できる項目を決定する。 分析手法開発の品質管理徹底のための手続きを構築し、独立した立場からの 審査など、テストの論理が適切であることを確認するために使用する。 9 【テクノロジー】 データ収集が困難な場合は、SAP などのコアビジネスシステムと専用のデータ コネクタを接続してデータ取得する方法を検討する。 Level 3 – 管理 「管理」レベルは、監査プロセスの中核として、監査分析テストを監査全般に使用す るレベルからの必然的な発展です。このレベルでは、データもデータ処理も一元化 し、安全で万全かつ、効率的に統制されたデータをチームで一緒に分析できる環境 を目指します。 「管理」レベル手法を導入している監査組織は、ファイルや監査活動を効果的に管 理するための人やプロセス、テクノロジーを整備しなければなりません。当レベルで 問題なく効果的に機能していることが、次のレベルへと進む上での必須条件となり ます。 特徴 「管理」レベルでは通常、さまざまな種類のデータファイルを大量に処理し、機密情 報を含む分析結果を生成するために何種類もの分析テストを開発することが必要 です。ほとんどのケースでは、多くの人たちがこのプロセスに関与するため、情報は 複数のコンピュータに分散して保管され、時として地理的にも離れた別々の場所に 保管されていることが少なくありません。 このレベルで監査を実施している監査組織は通常、構成に優れた中央管理サーバ ー環境を整備しており、大量データと、監査プロセス(テスト、結果、監査手続き書そ の他関連情報)等を保存・保管しています。 10 大量データに複雑な処理をかけるためには通常、高性能サーバーを使用します。 データへのアクセス、使用には、既定のプロセスに従い安全で厳格な統制下で作 業を行うことが重要です。監査分析の手続き書、標準仕様書その他の関連文書に ついては、「応用」レベルよりはるかに本格的で、詳しいものを整備しなければなり ません。 このレベルで最も特徴的な点は、テクノロジーに詳しくない監査人も、効率よくテスト 内容を取得、使用することができることにあります。 メリット 「管理」レベルでは、分析担当者のみならず、チーム全体で簡単に分析対象のファ イルを共有することができ、効率性、利便性が格段に向上するなど、多数のメリット があります。 担当者に依存する要素が減るため、チームに離職者が出た場合にも、現行の作業 手順が機能しなくなるリスクが軽減されます。従って、監査の作業も簡単に反復、維 持が可能となります。 また、データを一元管理することで、これまで以上に簡単に分析作業の質や一貫性 を保つことができるようになります。テスト関連ファイルを開く、変更する等の作業も 効率的な管理ができ、企業レベルのデータのセキュリティ基準も、容易に維持する ことできます。分析データの一元管理システムは通常、サーバー上で管理している ため、処理能力が向上し、大容量ファイルでアクセスする際の所要時間や、大がか りで複雑な分析が完了するまでの待ち時間が大幅に短縮されます。 但し、サーバーでの一元管理には、データ保存・処理に関わる手順など、より厳格 なルールに従って管理する必要があるため、IT 部門のサポートが欠かせません。 従って、IT 部門とこれまで以上に効率よい連携体制を構築するための良いきっか けとなるかもしれません。 さらに、必要な情報が 1 か所にまとまって保管されているため、経営陣が分析作業 中の進捗や分析結果の確認をする際にも便利です。 11 ケーススタディ - 高効率、安全、スピーディな分析 “Take-Two インタラクティブ・ソフト”は、ビデオゲームの開発を手掛けるグローバル 企業で、8 名から成る内部監査チームが米ニューヨークと英国の 2 か所に分かれて 監査業務を行っています。ACL が提供する監査分析プラットフォーム AuditExchange を導入して社内データを一元管理しており、主な業務活動のなかか ら様々な項目を対象に、クエリを実行して分析を行っています。 この AuditExchange は、社内のライブのデータベースに直接、アクセスしてデータ取 得、クエリの実行、分類、分析など、任意の作業を行うことができる、柔軟性に富んだ 監査分析支援手法です。IT チームのサポートを必要としない分かりやすい設計のた め、経営陣や内部調査部からの緊急要請にも迅速に応じることができます。また、デ ータサンプル抽出の効率化を図って、セグメントや任意の対象分野などの階層化や 、全件データを検証対象とする設定も簡単に行えます。 監査チームは承認されたスクリプトの保存場所を 1 か所にまとめてチーム全員がア クセスできるようにしており、米国と欧州で在籍するスタッフが分析ルーチンをいつで も簡単に共有できます。監査人は既存データをいつでもすぐに取得し ERP システム 向けにカスタマイズすることができるため、特定のデータの検証を行う際に毎回最初 から設定して実行しなければならない手間を省くことができます。 課題 「管理」レベルに移行するためには、最高監査責任者(CAE)と監査チームによる然 るべき準備が必要です。監査分析手法を適切に一元管理できる環境を整えるため には、インフラ整備のみならず、プロセスや人員面での準備が重要となります。その ためにはまず、適切な計画と準備、設備・人員のリソース確保が必要です。適切な 計画と実行に必要な時間を割いたり、その他環境を整備する作業は大変ですが、 導入後に再度やり直したり追加で環境整備を行うことがほとんどなく、成長過程の 企業や徐々に利用レベルの段階を上げていきたい企業にとっては、その初期投資 に対する見返りは程なく得られます。 企業レベルでのリスク 導入時に多少の労力を割く必要があることを除けば、「管理」レベルへの移行当初 に懸念すべき点はほとんどありません。但し、上級管理部門からの期待として、継 続的手続きへの対応を求められることがあります。この時点で監査部門は定期的 な監査プロセスを支援する分析手法のメリットを最大限に活かすためのテストの構 築や手続きの導入が済んでいることが想定されますが、その時点で、継続的監査 を始めるための整備がすべて整っていると思い込む傾向にあります。 12 継続的監査に必要な基本的な整備が済んでいても、継続的監査の効果を十分に あげるためには、特に人やプロセス構築の面での補完的ルール、その他サポート など、さらなる整備が必要となります。 最適化のための条件 「管理」レベルで監査分析手法を効果的に利用するためには、企業は次のいくつか の領域について留意が必要です。 【人】 「管理」レベルでの監査分析手法の導入は、監査プロセス全体のなかで、レベル 2 の導入と同様に重要かつ不可欠な段階であり、監査の管理責任者によるプロ ジェクト全体に対するリーダーシップの発揮と指導力を要します。 データ管理責任者を 1 名任命する。非常に重要な役割であり、技術的専門知識 は必要としないものの、監査体制やプロセス、さらにデータの有効なセキュリティ 保全手続きに対する理解があることが求められます。 【プロセス】 監査分析データを効率的に利用、管理できるよう、監査対象分野、場所、期間 別に分類するなど、保管場所を構成する。 アカウントへのアクセスやセキュリティ、統制上必要な制約について慎重に検討 する。機密情報にあたる給与や支払い関連データのアクセスには一定の制限を 設け、認められた者以外がテスト内容の変更を行わないようにする。 どのデータを保管するか、また保管データの更新タイミングを決定する。 重要なデータを暗号化または覆い隠す。 統制データや総勘定元帳と照合するなどして、必要なデータが完全に揃ってい るか、また有効なものであるかを確認する。 データや検査、手続き等の監査書類の限局と構成を標準化する。 【テクノロジー】 使用するソフトが、監査分析手法の内容管理と統制、またデータ取得と更新を支 援するよう設計されたものであることを確認する。 中央管理サーバーで管理する分析プログラムに対応した設備面を整備する。 13 Level 4 – 自動化 一連のテスト項目の開発が済み、管理方法を確立したら、次は監査の自動化レベ ルへの移行期となります。 レベル 4 では、継続的監査を開始するために必要な技術的環境はほぼ整っていま すが、これを効果的に継続させていくためには、監査プロセスにおいて根本的な変 更を行う必要があります。 従来の定期的に実施する監査では、いつからいつまでを監査対象とする、と明確に 対象期間を区切っていました。これに対し、継続的監査ではテストの実行、レビュー 、報告のプロセスが繰り返し行われます。その意味でも、継続的監査の役目や位置 付けは従来の方法とは違うものとなります。 特徴 「自動化」レベルは継続的監査、モニタリングのベースとして、これまでのレベルの 上に構築します。開発、検証済みの一連のテスト項目は中央管理サーバー内で管 理されています。分析内容やテスト項目等のデータは厳しいセキュリティ管理の下 保管されていますが、利害関係者は簡単にアクセスすることができます。技術面で 残っているのは、適切な期間のデータを対象に定期的なテストの実行をスケジュー リングすることです。 但し、継続的監査には、技術面の対応以上に必要なことがあります。監査プロセス そのものにおいて、一部本質的な変更を必要とする点です。ほとんどの内部監査 部門では、まず一定の領域で継続的監査を開始し、適切な手続きを確立しながら、 時間をかけて徐々に対象範囲を広げてきました。これに対して自動化をベースとし た監査では、複数の領域で監査を同時進行させることが可能になります。 メリット 過去の保証プロセスから、監査委員会や経営陣からの高まる期待に応えた監査プ ロセスに移行することで、内部監査部門は適時に、また結果として従来よりはるか に価値のある所見や妥当性確認を提示できるようになります。 監査の自動化の大枠を達成すると、監査業務の進捗をいつでも追跡できるようにな るため、リスクや統制上の問題は、全体としてより効果的、効率的な監査プロセス の実現につながります。監査人はリスク項目の変更履歴を管理し、必要に応じて対 象項目を絞ることができます。 14 大きな問題が特にないまたはほとんどないビジネスプロセスの領域については、継 続的監査手続き使って費用や労力を削減することができます。監査の人員をその 分ほかの、よりリスクの大きい、新規ビジネス分野や分析手続きが適さない領域に 割り当てることができます。 この手法では、上級監査管理チームは監査委員会や経営陣に対し、より充実した、 価値ある報告を提示することができます。例えば、過去の四半期に 2 度実施した 監査結果報告の代わりに、最高監査責任者(CAE)は、主要な 4 つのビジネスプロ セス領域に対して同時に監査を実施して、継続中の監査結果を報告したり、現時点 でリスクや懸念事項のある特定の領域を報告したりすることができます。 最後に、継続的監査の報告を通じてビジネスプロセスの責任者に対して分析テクニ ックの価値を明確に証明できるため、経営陣が今後、継続的監査の本格導入を決 定することを前向きに検討する良いきっかけとなるでしょう。 一例を挙げると、ハワイアン航空のコーポレート監査グループは ACL の AuditExchange を使って航空業界向けにカスタマイズした自動分析プログラムを作 成しました。上級管理部門の賛同を得るために、他部署が手作業で行っているプロ セスのうち、自動化できると考えられるものをいくつか選び出し、自動化を試みまし た。結果は、同じ作業を完了するまでの所要時間を約 99 %短縮出来た、というも のでした。従業員が手作業で行っていた作業を自動化することで、何百時間もの時 間をほかの仕事に充てられるようになったのです。さらに現在は、傾向の把握や、 内部統制の効率化を促進するなど、目的にあった分析を一層活用しています。 課題 従来型の監査からの移行にあたっては、上級監査管理部門から、導入のメリットや 目的ばかりでなく、必要な初期投資や準備段階の労力に対する理解を得て、指揮、 支援を受けることができなければこれを無事に遂行させることは難しいと思われま す。 継続的監査の自動化には、監査の実務、テクノロジーの両面での課題を乗り越え なければなりませんが、それ以上に難しい点は、監査方法そのものを変更するにあ たって、これをサポートする十分な人員を確保すること、また、継続的レビューや経 営陣の関与を必要とする種類の変更を認識することが挙げられます。 15 企業レベルでのリスク 以上のように、継続的監査は適切に導入すれば、生産性、効率性の面で数多くの メリットが期待できますが、発見したことを経営陣と共有しない、あるいはビジネス への付加価値を考慮して、統制や業績の改善が図られていない、といった組織レベ ルでの対応不足が最も大きなリスクと言えます。 最適化のための条件 「自動化」レベルで監査分析手法を効果的に利用するためには、企業は次のいくつ かの領域について留意が必要です。 【人】 人、プロセス、テクノロジー面での自動化に向けた取り組みを指揮、調整するプ ロジェクト責任者を任命する。 各監査人の継続的な監査に対する責任がほかの監査の役割と調和するよう作 業プロセスを適宜修正する。 【プロセス】 継続的監査を必要とするビジネス領域の優先順位を付ける計画を策定する。 例えば、購買業務、Pカード(会社から従業員に支給する経費支払い用クレジット カード)、出張経費、接待費精算等、導入が比較的簡単で複数部署で共通する ものを先にするのか、あるいはよりリスクの高い複雑な業務を優先させるのか、 など。 一度の監査活動に対し、何度のテスト実施が適切かを決める。例えば、給与 関連は週1回または 2 週に 1 回、購買および支払いは毎日、週 1 回または月 に 1 回など、対象となる業務プロセスに合わせて回数を決めることが多い。 継続的監査のテスト結果をレビューする担当者と、その結果に対する具体的な 作業を決定する。 確認の結果、変更が必要な項目があった場合のテストの修正手続きを策定する データ源の妥当性と完全性を確認する。継続的監査には、正確なデータが適時 に入手できることが絶対条件となるため、この確認は特に重要である。 テストが計画通り実行されなかった場合に取るべき手続きを決定する。 【テクノロジー】 テクノロジー面で気をつけなければならないことは、適切なデータを自動的に取 得することに関連するものが多い点である。問題点が見つかったら、まず正しい データが取得できているかを確認することから始める。 16 Level 5 – モニタリング レベル 4 までの導入が済んでいる企業にとって、監査分析手法の利用範囲を広げ 「多くの企業は、市販のソフトを買って る際のハードルはもう高くありません。監査部門で、もし、統制上の問題点やエラー クレジットカード精算の支払いや売掛 や不正、あるいはコンプライアン違反などを毎回のように報告しなければならない状 金など、ハイリスク項目を任意で選ん 況であれば、業務プロセスの責任者を直接関与させ、発生時にすぐに関係者に通知 で、一定の領域からゆるやかにモニタ をするような体制にすれば、問題への対処もスムーズになります。 リングを始めていきますが、モニタリン グ機能を既存の社内システムの中に 監査分析手法の実用的な効果を業務プロセスの責任者に対して証明するには、内 取り込み、業務の運用と監査を一つ 部監査を実施し、社内方針に対する違反や統制上の問題を発見する、または業務 のシステムで並行して行う企業もあり 効率の向上を実現するなどの実例を提示するのが最も効果的です。継続的モニタリ ます。保険医療、電力、事業会社を対 ングを奨励、支援し、実例を示すことで、より多くの人に監査分析技法の威力が理解 象に金融サービスを展開するシーメン され、業務の中に適応されていく例を多く見てまいりました。運用実績を深く洞察する ズ・ファイナンシャル・サービシーズの ために、例外報告をするシステムを探していたという業務プロセスの責任者から、監 米国部門では、例えば、借主のリスク 査でそれが実現できるとは思わなかった、という感想が多く寄せられています。 に関する情報を「金融資産の価値を 左右するもの全て」と位置付け、毎晩 継続的モニタリングはまた、リスクや問題点、傾向等の全体像をより明確に把握する のモニタリングを開始しました、とビジ ことができるため、組織上のリスク管理の観点からも重要な役割を果たすこととなり ネス部門最高財務責任者(CFO)マサ ます。 イアス・グロスマン氏は言います。継 続的モニタリングへの移行にあたって 通常、内部監査の専門職としての見解としては、継続的モニタリングの責任は経営 は、社内で利用中のシステムをベー 陣に委ねられるべきです。継続的監査は内部監査部門が、継続的モニタリングは経 スに、対処することが出来たので、す 営陣が行うという体制を構築することで、内部監査部門は独立した立場から継続的 ぐに決断した。」 モニタリングの効果を評価することができ、監査とモニタリングの理想的な相乗効果 CFO マガジン「7日24時間監査 が期待できます。取引の一貫性や効果的統制を保証する上でも、信頼に耐える体制 (The 24/7 Audit)」から抜粋 であると言えます。 特徴 最も高いレベルの監査分析手法では、定期的に繰り返す(継続する)取引や統制の テスト結果を直接、経営陣に提示し、対応を求めることが出来ます。継続的モニタリ ングは、多くの共通するプロセスや技法を用いるという点で継続的監査の延長線上 にあります。継続的モニタリングは経営陣の責任であると考える監査人が多いもの の、業務プロセス領域における統制面や取引状況を対象とするテストに経営陣がど のように取り組むか、またどのような責任があるか、等の判断に対して、適切な助言 や指針を出すのが、監査部門の務めです。 17 このようなプロセスの所有者の違いのほかにも、レベル 4 の継続的監査とレベル 5 の継続的モニタリングの間には、業務領域に例外を報告し、対応を促すワークフロ 「AuditExchange を導入して、当社の 支出の管理とコンプライアンス評価に おける方法が根本的に変わりました。 以前にはなかった報告機能、上層管 理者に統制環境に対するより明確な 情報を提示することができるようにな りました」 ダン&ブラッドストリート IT 監査マネージャー ハル・ラフリン ーや、継続的モニタリングの結果、現状、トレンドの全体的な報告を「ダッシュボード 」機能を使う点などの違いがあります。 レベル 5 では、広範にわたるテスト結果を蓄積し、リスクが存在する領域の傾向を 報告したり、特定のパターンの例外の発生が目立つなど、リスクの報告をしたりす ることができます。 メリット 監査と統制テストに分析手法を利用する最大のメリットは、業務プロセス領域が直 接、取引に対する継続的モニタリングを担当し、警告が出た問題にすぐに対処でき る点です。レベル 5 の導入後には、監査部門は後方支援に回り、継続的モニタリン グの結果の確認や評価を行えば良いこととなります。経営陣がどのような対応や是 正措置を取ったかを評価し、追加的な監査手続きが必要か、またはどの領域を次 の監査対象とするかを決めることができます。監査部門はこれらの技法以外の領 域に焦点をあてることができるため、監査の生産性が高まります。 さらに、継続的モニタリングの導入によりすべての取引のモニタリングが自動化さ れ、統制の効率性が向上するため、統制手続きの簡素化を図ることができます。不 正行為やエラー、非効率な作業、悪用の発生が減少し、企業収支や業務効率の改 善に直接的に貢献するばかりでなく、業務に伴うリスクそのものの低減にもつなが ります。 継続的モニタリングの導入は、業務において、監査技法から得られるメリットの理解 を深め、「監査を意識した業務」環境づくりを促します。また監査部門も、リスクおよ び統制の面における監査と経営管理の連携が深まることで、「経営に対する理解が 深い監査チーム」となることでしょう。 図表 2 :継続的モニタリングの効果 買掛金担当 分析対象例 ☑購買の重複 ☑分割取引 ☑クレジットカード上の無効 加盟店業種コード(MCC) ☑規制上のリスク ☑疑わしい取引入力 ☑従業員/ベンダー照合 ☑購入上限額の超過 購買担当 例外の管理 給与担当 経理担当 データ分析中に発見した変則 的な処理は複数の関係者に 自動的に連絡される 売掛金担当 18 課題 継続的モニタリングのメリットを理解する企業は増えているものの、プロセスの導入 後、問題なく機能するようになるまでには、さまざまな課題が浮上するものです。そ れは多くの場合、基本となるプロセスや役割、テクノロジーなど、インフラ面の整備 が不十分であったことや、経営陣が自身の役割や責任の重要性を完全に認識し、 受け入れてなかったことによるものです。 最もよく見られる例は、経営陣が例外に関して監査部門と違う基準を持っていること です。監査部門にとっては、統制上の脆弱性が重大な問題なのに対し、経営陣から すると、より業績に関連する問題の方を重要視する傾向にある、などの意識の違い によるものが多く見受けられます。レベル 5 の導入は、経営陣と監査部門が協力し てお互いの目標を相互確認し、プロセスを上手に統合することで、組織としてのニ ーズやビジネス機会への共通理解を深めることができる良い機会となります。 また、誤判定データの頻出も導入初期には良く見られるケースです。継続的モニタ リングによって誤判定や重要でないエラー検出が継続的に頻発するようなら、その プロセス自体が中断に追い込まれることになります。 企業レベルでのリスク プロジェクトを始動したものの、当初期待していた結果が得られなかったという事態 はシステムの導入においてはよくあるリスクとして認識すべきでしょう。例えば、継 続的モニタリングプロセスによって統制上特に大きな問題が発見されなかったとし ます。そのこと自体は監査の視点からみると、統制が効果的に機能していることの 裏付けとして喜ぶべきことであるにも関わらず、経営者側からすると、モニタリング の価値を実感できず、監査プログラム自体を打ち切ってしまう決定をしてしまったら 、長期的観点からは大きなデメリットをもたらすリスクがあります。 最適化のための条件 「継続的モニタリング」レベルで監査手法を効果的に利用するためには、次の点に 留意が必要です。 【人】 継続的モニタリングプロセスを常に正常稼働させるための全体的な管理責任者 を任命する。これは単純な一プロジェクトではなく、新しい業務プロセスである点 に注意する。 例外発見時に、その内容や重大度に応じて適切な確認、フォローができるよう 人員を割り当てる。 19 【プロセス】 監査および業務プロセス管理の間でそれぞれの権限との役割を明確化する。原 則として、内部監査は継続的モニタリングからは独立した存在でなければならず、 関連する責任はすべて、経営陣に任せるものとする。実際には、継続的モニタリ ングを理解し、実装する能力があるのは監査部門なので、例えば、テストプログラ ムを監査部門が実行してその結果得られた例外とそのレポートを経営陣が見ら れるようにするといった混合型のアプローチが現実的である。経営陣は問題とな っている取引を修正する、または関連のプロセスや統制を改善するなど、適切な 解決策を講じて、例外に対処しなければならない。 継続的モニタリングプロセスとその結果の評価が完了したら、監査人は各業務に 対する監査手続きの影響についての判断を行う。例えば、購買発注プロセスの継 続的モニタリングの結果、特定の領域でのみ統制の問題が見られるという場合に は、監査対象をその領域に限定することができる。 誤判定の問題は、特にこれが頻発する場合には、重大な問題となりうる。理想と しては、何度も同様のテストを繰り返すことによって、そのような誤判定が実質なく なるように調整する。標準的なテストは失敗するものの、それが実質統制上の問 題とならない特定の取引については、それを考慮したテストへと、修正する。 誤判定のうち、偽陰性、つまりテストをすり抜けるケースについても注意が必要 である。継続的モニタリングで、特定の統制上の問題または問題となる取引を正 しく特定できていることの検証は必ず行われなければならない。 継続的モニタリングの結果に対処するプロセスを確立すること ― 通常は特定の 例外が見つかった場合の対応などについてプロセスを決定することが必要である。 問題となる取引への対応、および、必要であれば、不十分であった統制手続きの 改善を行う。ワークフローや上層部への問題提起(エスカレーション)は、所定の 期間内で例外への対処が完了しない場合に、必要となる。 【テクノロジー】 継続的モニタリングに必要なテクノロジー面での要件は、継続的監査の要件と共 通することが多いが、通常は経営陣の支援が必要となること、また例外の報告や 解決に関するワークフローを支援する機能がさらに必要となる。 一定期間の継続的モニタリングの状況や結果の概要をグラフィカル表示するダッシ ュボードは、全体のリスク傾向を即座に評価したり、対応が必要な傾向をハイライト したりするのに、極めて便利な手法である。検出結果や改善努力を数値化すること もできるため、継続的モニタリングの価値をすぐに実感できる。 20 まとめ ACL の監査分析適応モデル(AACM)について紹介してまいりました。各企業は、異 なるレベルで効果を最適化する上で、人、プロセス、テクノロジーの面でそれぞれ固 有の問題に対する対応を迫られることとなるでしょう。 継続的監査と継続的モニタリングを融合すれば、従来の方法では不可能であった ビジネスプロセス領域における統制の有効性や、取引の整合性を保証できるように なります。とはいえ、導入目標は企業・機関によって様々で、レベル 1 の監査また はビジネスプロセス領域で分析手法を利用する企業もあれば、レベル 5 で利用す る企業もあります。 本モデルは、内部監査に対し、現状どのレベルの監査分析手法が利用されている のかを評価する手段を提供し、対処すべき問題について基本的なポイントを理解し ながら、手法の理想的な利用レベルを判断します。さらに、今後、企業が監査分析 戦略を構築する際に、その計画を経営陣に説明し、モデルケースを提案するため の有効な指針として利用することができます。 総じて、本モデルを利用することで、経営陣は優れた監査技法を利用するメリットを 理解するようになり、一方監査人は、ビジネスのなかで起こっていることに対する理 解が深まります。そしてその結果として、どの企業にも欠かせない重要な機能であ る監査の価値そのものが高まることとなります。 紹介した 5 つのレベルを段階的に導入することで、内部監査がこれまで以上に有 効に機能し、分析適応の成果をすぐに、実感できることでしょう。 内部監査技術に関して言えば、検討の時期はとっくに過ぎています。先見の明のあ る内部監査部門は、慎重な計画の下、導入を実行に移し、これまで以上に鋭い視 点と予見力を以って、企業活動をあらゆる角度から日々、支援しています。 21 「内部監査の業務とデータ分析能力が益々高度化するにつれ、主に過去に関する情 報、または後講釈を提示するという役目から、現在と将来について、より洞察力に溢 れた価値のある情報を提供できるようになるため、企業として、より正確な見通しを 立て、将来の動きに適切に対応をすることが可能となります。 モデル内の 5 つの分析適応レベルを段階的に導入することで、内部監査は、上級管 理部門の見識、ならびに組織リスクに対する理解を鋭敏にする情報など、より価値の ある現状認識と将来展望を示すことで、必要とされる事後考察をさらに高めることが できます。 ACL の監査分析適応モデルの導入は当然ながら、絶対条件ではなく、一つの選択 肢としての指針です。また、導入後、競合他社より早く、継続的監査、継続的モニタリ ングの成果を引き出せている企業は一握りに過ぎないかもしれません。しかし、ほと んどの企業、特に包括的に分析適応を達成したいと考える企業は、一度に導入する のではなく、段階的に進めることが重要です。但し、何事にも例外があり、例えば、最 後のレベル 4 と 5 を問題なく同時導入できる企業もあるでしょう。 我々は、企業の成功を支援するために、現実的、実践的であるよう努めています。も し、試してみたものの、期待していたような成果が上がらなかったといって、企業が継 続的監査の価値に対する信用を失ってしまうほど残念なことはありません。」 ACL Services Ltd. サービス&製品戦略部門ヴァイス・プレジデント ジョン・バーバー (CA、CISA、CMC) ACL Services 社は、20 年に及ぶ世界各地の何千人もの監査人のサポート経験 を活かし、モデルの各レベルにおける実績の最適化を図るプロセスや手順の開 発を行うだけでなく、評価プロセスを支援するきめ細かい手段や手法の開発を行 ってきました。 22 ACL Services 社について ACL Services 社は、監査、コンプライアンスの専門職者向けに、ビジネス保障テク ノロジーを提供する業界のグローバル・リーダーです。市場をリードする監査分析 ソフトウェアに、一元化されたコンテンツ管理や例外報告などのテクノロジーを組み 合わせることで、ACL テクノロジーはどのような企業にも対応できる柔軟で、拡張 性のある徹底したビジネス保証プラットフォームを実現します。 1987 年の設立以来、ACL テクノロジーはリスク軽減、不正の発見、収益性の向上 、業務効率の改善などの面で、数多くの企業・機関に対する支援を行ってまいりま した。これまでに 150 カ国を超える国々の約 14,700 社以上の企業・機関に対し、 世界各地の ACL 事業所や流通パートナー企業を通じて、ビジネスソリューションを 提供しています。米国の有力誌フォーチューン誌の企業ランキング上位 100 社中 の 98 %、上位 500 社中の 89 %、グローバル上位 500 社中の 3 分の 2 超、そ の他数百に及ぶ中央政府や州政府、地方政府、また、世界の四大監査法人など が当社の顧客に名を連ねています。 詳細は ACL Services 社 ウェブサイト http://www.acl.com/ をご覧ください。 ※ ACL および ACL のロゴは ACL Services Ltd. の商標または登録商標です。 ※ その他記載された会社名および製品名は、一般に各社の商標または登録商標です。 ※ 本書は「White Paper The ACL Audit Analytic Capability Model (WP/AACM/021511)」日本語訳です。 (ACL 日本総代理店) 株式会社エージーテック 東京都千代田区神田錦町1-21-1 昭栄神田橋ビル3F PHONE:03-3293-5300(代表) カスタマーセンター:03-3293-5283 ACL 日本語ホームページ http://www.acljapan.com/ 23
© Copyright 2024 ExpyDoc
