昨今、デジタル環境が急速に発展しており、テクノロジー監査の役割はこれまで以上に重要性を増しています。組織が前例のない課題や機会への取組みを進めるためには、強固なITガバナンス、コンプライアンス、リスクマネジメントを確立することが極めて重要です。変化し続けているリスクユニバース(対処すべきリスク全体)は、サイバーセキュリティ、クラウドセキュリティ、生成AI、データプライバシー、ブロックチェーンなどに対する考え方に、新たな課題を提起しています。内部監査部門には、このような新しいリスクを迅速に把握・管理し、監査対象領域に適切な項目が含まれるように、また報告要件を満たして監査委員会やガバナンス委員会、規制当局、その他のステークホルダーとの信頼関係を保持しつつ、効果的にテクノロジーを活用して効率化を図ることが強く求められています。
本レポートは、IT内部監査に影響を及ぼす現在の傾向、新たに顕在化している傾向、そして今後予測される傾向に注目し、これらの傾向に対処するために必要な投資計画、提供モデル、スキルを対象としています。KPMGインターナショナルのグローバル調査の調査結果も踏まえてインサイトを提供します。グローバル調査では、25ヵ国の多種多様なセクターから内部監査チームを代表して、CAE(Chief Audit Executive:内部監査部門長)、監査ディレクター、バイスプレジデント、シニアマネージャーなど200名を超える方からご回答いただきました。
テクノロジー監査の専門家の数は増えている一方で、絶えず発生する新しいテクノロジー脅威に対処するためのスキルの育成、監査品質向上のためのイノベーション、組織内では得られない不可欠な機能にアクセスするための連携が急務となっています。迅速かつ安全に、倫理観をもって生成AIを導入し、監査のパフォーマンスを高めるためにその力を活用するという点で、内部監査が果たす役割について考察します。
多くの組織は今、ERPシステムへの統合、クラウドコンピューティングへの移行、AIやオートメーションテクノロジーの導入など、トランスフォーメーションを進めています。本レポートは、プロジェクトやシステムのコントロールをより適切に行うために初期段階で関与することで、内部監査がどのように大きな付加価値を提供できるのかについても調査しています。さらに内部監査チームは、標準化に焦点を当てたテクノロジー監査のハブの構築やテクノロジー監査の効率化など、新しい運用モデルの適用を迅速に進めています。
また本レポートでは、テクノロジー監査を「基礎(Foundational)」、「エマージング(Emerging)」、「トレンドセッター(Trendsetter)」の3つのステージに成熟度を分けたピラミッド形式で表現し、最も高いレベルに到達してより大きな価値を生むために、テクノロジーの内部監査チームが必要とする機能を特定しています。
テクノロジーリスクは変化し続けており、内部監査は遅れを取らないように対応する必要があります。KPMGが企業に、テクノロジー内部監査チームが今後の監査サイクルでレビューする可能性のあるリスク領域について調査したところ、最も多く選択された領域はサイバーセキュリティ、データガバナンス、IT全般統制でした。調査の回答や、KPMGの専門家がテクノロジーリスクの管理についてクライアントにアドバイスを行った経験をもとに、テクノロジー内部監査で注目する主な領域を図1のリスクユニバースの中に表現しました。横軸は変化のペースを表し、左が静的な領域、右へ行くほど急速に変化する領域を示しています。縦軸は、リスクが外部にある(横軸より上)か、内部にある(横軸より下)かを示しています。
2021年に実施された調査から、今後の監査サイクルで注目される上位3つの領域には変化がなく、多くの組織が直面する喫緊の課題を反映しています。データ損失や、システム障害につながるサイバーセキュリティ侵害の増加にともなって、情報セキュリティとサイバーセキュリティの評価は最優先事項です。データはあらゆる活動を裏付けるものであることから、データガバナンスは次に重要な領域です。生成AIの活用が進むにつれて、データガバナンスの重要性はさらに高まることが予想されます。内部監査は、未熟なデータコントロールが生成AIの脅威にさらされることがないように、データガバナンスの脆弱性を識別し、改善策を策定する役割を果たしています。
どの組織もテクノロジーの課題を抱えています。最新の動向から遅れを取れば、競合企業に負けることになるでしょう。一方で、早く動きすぎていると、不正確で信頼性に欠けるデータや洞察、サイバー攻撃、個人情報や知的財産の喪失・盗用の被害を受けやすくなります。有効なデータガバナンスがあれば、従業員はAIや先進的な技術を信頼し、使用して業務のスピードアップを図り、心躍るような新製品やサービスでイノベーションを進め、さらに特に規制が強化された業界で求められる、厳しい精査に耐えうる財務報告書と増加傾向にある非財務報告書を作成することができます。最優先事項としてIT全般統制が引き続き重視されているのは、従来のテクノロジー監査分野が重要であることを示しています。これが継続的に注目されているのは、新しい領域が監査範囲に組み込まれるとしても、重要なアプリケーションに提供される基礎的な保証は引き続き不可欠であるということの表れです。このバランスの取れたアプローチにより、イノベーションを追及しながらも、重要なITシステムやデータのセキュリティ、完全性および可用性が損なわれることはありません。
世界的なテクノロジートランスフォーメーションにより、新しい領域が重要な注目ポイントになりつつあります。AIやESGなどのトピックは世界で急速に取り入れられ、結果として進化するリスク分野におけるその重要性は、ますます高まっています。
AIの台頭にもかかわらず、今でもAIシステムの監査は対象範囲として比較的優先度が低いものと考えられています。しかし、AIを導入する企業が増え、組織が新しいAIのリスクに対する高い保証を必要としているため、この状況は変化することが見込まれます。AIシステム、準備状況、ガバナンスおよびAIツールの使用を監査することは難しい可能性がありますが、内部監査はさまざまな技術に適応し、適用することが可能です。実施できなければ、組織はAIリスクにさらされるだけでなく、質の低いデータに基づくAI駆動型モデルやアルゴリズムで生じるバイアスの影響を受けやすくなる可能性があり、誤った結論が導き出される恐れがあります。
AIは未知の領域であり、内部監査も、組織のその他の機能も、関連リスクを理解し軽減することに関して、今なお発展途中にあります。
KPMG Trusted AIフレームワークは、責任ある信頼性の高い倫理的な方法でAIを展開する戦略的アプローチであり、倫理的な基準と原則をAIソリューションのライフサイクルに落とし込むことによって、AIテクノロジーに関連する複雑性やリスクに対処しています。その基本原則は価値主導型かつ人間主体であり、AIが責任を持って使用され、専門家の基準や価値と一致するように、信頼できるアプローチを用いています(図2参照)。
KPMG Trusted AIフレームワークは、公平性、透明性、説明可能性、説明責任、データインテグリティ、信頼性、セキュリティ、安全性、プライバシー、持続可能性という10の倫理の柱が中心となっています。これらによってAIソリューションは、バイアスを減らし、ステークホルダーに明確な説明を行い、データインテグリティを保持し、信頼性と安全性の高い運用を行います。いずれも、監査における信頼と信用の構築に有用であり、専門的な卓越性と公共の利益へのコミットメントを強化しています。
規制強化に加え、ESGパフォーマンスの低迷や不適切な開示が要因となって生じた罰則と風評被害のリスクが高まっているものの、調査回答者の間ではESG報告と指標の優先度が比較的低くなっています。ESGは現時点では高いリスクとして認識されていないように見えますが、組織が持続可能性を高め、環境への影響を軽減しようと努力しているなか、その重要性はますます高まることになり、監査の専門家はそれに従ってスキルの大幅な向上を図らなければなりません。
調査によると、IT内部監査チームのわずか5分の1(21%)のみが、ESGの評価または準備に関与していました。データはESG導入の推進要素であるため、監査人はこれを「テクノロジー」の問題ととらえ、非財務指標とコンプライアンスに関する深い知識を得て、このデータのプロセス、コントロール、インテグリティを保証する必要があります。
ESGは業務やイノベーションに欠かせない要素であるため、テクノロジーによってESG監査が強化されています。最近のKPMGインターナショナルの記事「Tech-driven ESG: Navigating risks with precision」では、第3のディフェンスラインとしての内部監査の重要な役割を議論し、ESGリスクを評価し、バリューチェーンのデータを監査できるようにするとともに、リスクマネジメントが今後作られる基準に基づいて新しい規制と足並みをそろえていることを確認しています。
さらに、ESGの「G」におけるガバナンスには、組織のESG評価を低下させる恐れのあるサイバーセキュリティ違反が含まれます。多くのESG指標が主流になると、非財務報告をより円滑かつ迅速に行い、ESGデータ収集プラットフォームの信頼性を得るために、ガバナンスが注目されるようになります。ESG規制の導入は国によってスピード感が異なるため、世界中の動向を定期的に確認することが重要です。
規制やステークホルダーの要求の高まりに対処するため、デジタルツールがESG監査において中心的な役割を果たす可能性があります。特にAIとデータアナリティクスを統合したデジタルツールは、より正確で包括的なESG報告とコンプライアンスを可能とします。
図3は、ESG保証戦略を策定する際に内部監査で考慮する必要がある、いくつかの主要なリスク領域を示しています。このアプローチは規制に対応するだけでなく、戦略的なビジネスの目標達成をサポートし、組織の枠組みの中にESGを取り込みます。単に見かけだけで根拠のないコミットメントを実行するのではありません。
多くの組織がSAP S/4 HANAのような次世代型システム、クラウドベースのシステムまたはハイブリッドのシステムへの移行を進めており、監査範囲はこうした外部の要因に影響を受ける可能性があります。しかし、移行のための資金や業務部門、IT部門のサポートを得るのは困難な場合があります。
成功している組織の大半は、内部監査や内部統制の手続を組み込むことでERPトランスフォーメーションを進めています。KPMGの調査では、内部監査チームのわずか26%が組織変革の過程におけるあらゆる段階に関与していると回答していました。SAP S/4 HANA移行プログラムは、初期の計画段階から内部監査を早期に行うことで、独立したプロジェクト評価を行い、ガバナンスとマネジメントのコントロールにおける規律を有効に活用するための絶好の機会となります。内部監査では、ディフェンスラインの責任を明確化し、マニュアルの発見的統制から自動化された予防的統制(データ処理、トランザクション、会計処理およびIT全般統制を含む)への移行を実現することができます。同時に、内部監査は、職務の分離と適切なアクセス制限が行われていることを確認し、権限のないユーザーがシステムに入り込むような脆弱性を発見します。
調査では、クラウドセキュリティ、AI、ML、ブロックチェーンなどのエマージングテクノロジーに関連する監査リスクへの備えが「万全である」または「準備できている」と回答したのは、43%です(図4参照)。懸念されるのは、監査チームがリスクを認識していないために、それを監査対象に含めないという、「存在すら知られていないリスクがある」という状況があることです。リスクやコントロールのスペシャリストとして、内部監査の専門家は、これらさまざまな新しいテクノロジーの影響に最も効果的に対処する方法を、企業に助言する立場にあります。
絶え間なく変わるリスク環境に対応するため、組織は世界の急速なテクノロジーの変化についていくために、2つの特徴を持つ新しいオペレーティングモデルを活用して取り組んでいます。そのモデルの特徴は、まず組織内の個人が持つ現在のスキルセットを評価し、一方で最適化と効率化を推進するために利用可能なテクノロジーを活用することです。
テクノロジーは至るところに浸透しており、あらゆることで活用されています。しかし、調査でチームの半数以上がテクノロジー監査に注力していると回答したのは、10名のうち1名だけでした。調査した組織の65%は内部監査チームが25名以下のメンバーで構成されていることから、テクノロジー課題を十分に把握しているのは、監査人の中のほんの一握りといえます。
しかし、内部監査の専門家は、テクノロジー監査に対応できるスキルを備えているのでしょうか。調査回答によれば、特にAI、ML、DevOpsおよびクラウドセキュリティの分野において、明らかにスキルギャップが存在します(図5参照)。特にAIは、従来の大半のテクノロジーをしのぐスピードで成長しており、大きな課題となっています。従業員の多くが独自にAIを使用し始め、これがデータセキュリティやプライバシーリスクを拡大し、気付かずに信頼できない情報を組織にもたらす可能性があります。このようなオペレーションリスクに対処するため、より強いガバナンスと対策が必要です。
一方で良い傾向としては、調査回答者の80%が、内部監査機能にデータプライバシーのスキルが備わっていると回答していたことです。GDPR(EU一般データ保護規則)などの規制により、組織は個人情報を注意深く管理することが求められています。
また、KPMGが過去に行ったIT内部監査の調査と比較すると、高度な分析と自動化のスキルがあるとの回答が2倍に増え、プログラムマネジメント、クラウドコンピューティング、セキュリティのスキルについても、緩やかな増加傾向がみられました。
業務監査とテクノロジー監査の間の区別が曖昧になり、また一体監査がより一般的になっているため、すべての監査人がテクノロジースキルを向上させる必要があります。一方で、単一の組織で働く内部監査人は、その組織について深い知識を獲得していても専門知識は限られる場合も多く、より広い業界や、業界の枠を超えた全体像を十分に把握していない可能性があります。
スキルセットのギャップへの対応方法について、最も多かったのは、スキルの向上とコソーシングを組み合わせるという回答でした。特定のテクノロジーの専門家を正社員として採用することは、常に費用対効果が高いわけではありません。このような(比較的給与の高い)人たちは、特定のプロジェクトにおいてのみ必要とされ、十分に活用されない可能性があります。
予算縮小が見込まれるなか、内部監査チームは、多数の正社員の新規採用に苦労する可能性があり、コソーシングの活用が選択肢のひとつになると考えられます。最少人数の内部監査人とともに行われるコソーシングは、最新のテクニカルスキルを持ち、多くの監査でエマージングテクノロジーに広く触れている専門家による支援であり、社内での育成が難しいものです。またコソーシングは、サービスの一環としてトレーニングを提供できるため、スキルの向上と密接に関連しています。
組織のテクノロジーロードマップを理解することによって、内部監査機能は、将来必要なスキルを特定し、これらの能力を高める方法を計画することができます。トレーニングの選択肢には、ベンダーや知識を共有するコミュニティに加え、コソーシングのパートナーも含まれます。コソーシングのパートナーは、監査を行う際に「最も大変な部分」を同時に実行しつつ、社内のチームをトレーニングして自立できるようサポートします。さらに学習プラットフォームを活用することで、知識の共有を促進し、特定のスキルを持つ少数の従業員への依存を軽減します。内部監査において重要となるスキルである報告書や文書の作成は、生成AIなどのテクノロジーを活用することで大きく改善され、修正を減らし、監査人の学習期間の短縮につながります。
KPMGのレポート「Repowering technology audit」では、従来の監査機能を変化させる、テクノロジー監査ハブの可能性について議論しています。これらのハブは、変化が続く事業環境や新たなリスクに柔軟に対応し、積極的なリスクマネジメントを促進します。さらにガバナンス構造によって、意思決定に欠かせないより適切なコミュニケーションと統合的な保証が可能になります。フィードバックループや継続的な改善の文化があるため、テクノロジー監査ハブは、内部監査機能の効率性や質を高める戦略的な手段になります。
テクノロジー監査に充てる予算が増加しているにもかかわらず、効率化は引き続き最優先事項であり、生産性向上が強く求められています。新しいテクノロジーによって監査の質が向上し、品質の高い報告書や監査調書が作成されて、効率化の道筋が示されます。最も一般的に使われるツールは、データアナリティクスと可視化を目的とするツールです(回答者の33%は少なくとも監査の半分でこれらを使用しています)。インテリジェントオートメーションや生成AIは、相対的にほとんどの監査で使われておらず、改善の余地が多くあると考えられます(図7参照)。
新しいテクノロジーを取り入れる場合、内部監査チームは組織の中からディスラプション(破壊的創造)を起こさなくてはなりませんが、監査の計画策定や実施に忙しいときには容易ではありません。さらに、プライバシーに関する規制が障害になる可能性があり、さまざまなツールに投入する適切なデータにアクセスすることが難しい場合があります。AIに関しては、多くの製品にすでに組み込まれているだけでなく、従業員が自主的に使用することもあり、特に課題があります。
内部監査チームは新しいテクノロジーから多くの恩恵を受けることができますが、プラスの投資対効果がある確かなユースケースや、自ら使えるツールを最大限活用するノウハウが必要です。ツールのライセンスコスト、コソーシングのサポート、スタッフへの利用方法のトレーニングを考慮すると、ビジネスケースは考えられるほど明確ではありません。
このテクノロジーを最大限活用するために、IT内部監査は明確なユースケースと成果を定義しなければなりません。
図9は、生成AIが、内部監査人が分量の多い文書を素早くレビューする際にどのように役立つのか、チャットボットや高度な検索機能でユーザーインタラクションを向上させるのか、異常値や脆弱性を特定するのか、規制上の基準を遵守するために複雑なプロセスを自動化するのかを示しています。これらのテストは、すべて高速かつリアルタイムで実施することが可能です。
ビジネスでテクノロジーの重要性が高まるなか、IT内部監査チームは関連するリスクと機会にどのように備えるのか、また、必要なスキルをどのように高めるのかを理解する必要があります。KPMGでは、テクノロジー監査の成熟度は3段階に分けられると考えています(図10参照)。
調査に参加した組織の成熟度評価結果は、大幅な改善の余地があること示しています。(図11参照)。
IT内部監査の役割は、ますます欠かせないものになりつつあるだけでなく、急速に進化するデジタル環境の中心的な存在です。サイバーセキュリティ、クラウド、生成AI、データプライバシー、ブロックチェーンが引き起こす問題は、単なる障害ではなく、イノベーションとトランスフォーメーションの機会でもあります。強固なITガバナンス、コンプライアンスおよびリスクマネジメントは、喫緊の課題であると同時に、このデジタル時代に組織が生き残り、成長するうえで最優先事項です。
今年のレポートの調査結果で示唆のみならず強調されているのは、組織のレジリエンスを高めるために、トランスフォーメーションの促進、リスクマネジメントの枠組みの強化、イノベーションの創出において、IT内部監査が中心的役割を果たすことです。例えば、IT内部監査チームのわずか21%のみがESG評価に関与している、あるいは準備しているという事実は、単なる数字ではなく、監査人に対して課題に立ち向かうよう対応を求める呼びかけとなるものです。
テクノロジーのイノベーションのスピードが速いため、内部監査機能にはそれに対する適応力が必要になります。変化するリスクへの対応やデジタル化、プロセスの最適化、革新的な作業手法、ステークホルダーエンゲージメントを通じて、テクノロジーの活用によるパフォーマンス向上に、自信をもって対応できることが求められます。迅速かつ安全に、倫理観をもって生成AIを導入するうえでの内部監査の役割とは、責任能力のみならず、変化をもたらす要素でもあります(図12参照)。内部監査は、可視化することで強化される継続的でリアルタイムの監査を実現し、リーダーシップの意思決定において重要な役割を担う存在となる機会を秘めています。
調査に参加した組織の成熟度評価は、現状とともに、未来へのロードマップを表しています。
49%が基礎レベル、46%がエマージングレベル、たった4%がトレンドセッターレベルであるという事実は、懸念要因なのではなく、今後の改善や成長につながる大きな機会であることを示しています。
これらの課題や機会に直面するなかで、問題は、IT内部監査に投資できるだけの余裕があるのかどうかではなく、投資しない余裕があるのかどうかということです。
KPMGの専門家は、この転換期をともに乗りきるために連携する準備を整えています。ITガバナンス、リスクマネジメント、コンプライアンス、また、生成AIやブロックチェーンなどの革新的なテクノロジーの専門家が、課題を機会に変える支援を行います。また、サイバーセキュリティ対策の強化、データプライバシーの確保、ESGイニシアチブの推進を支援しつつ、全般的なIT内部監査機能を強化するサポートを提供します。
強固かつ将来にわたって活用できる、IT内部監査の戦略構築に関するKPMGの支援をご検討ください。KPMGは、組織がデジタル時代に生き残り、成長できるよう支援します。
本稿は、KPMGインターナショナルが2024年10月に発行した「Trailblazing digital frontiers」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちら(英文)
