内部監査インサイト2018インパクトが大きな重点領域

目次

これからの1年間

ロボティックプロセスオートメーション（RPA）とコグニティブ（認知）インテリジェンス（CI）

サイバーセキュリティ

データプライバシー

クラウドマイグレーション（移行）

デジタルリスクの監査

内部監査アナリティクス

危機管理

コアアシュアランスの自動化

カルチャーリスク

オペレーショナルリスクに対するアシュアランス

アジャイル開発の監査

アジャイル型内部監査

サードパーティーリスク

デロイトのリサーチ1や過去の経験から、ステークホルダーが内部監査部門に望むのは、過去よりも将来のリスクや問題に焦点を当てることだということがわかっています。これは、過去を監査するよりも、将来に向けた助言が求められているということであり、未知のリスクが生じる可能性のある活動に焦点を当てるということになります。このためには、新たなスキルや人材育成が必要となる場合があります。また、新たなフレームワークやステークホルダーとの連携も必要となります。しかし、新たな組織体制や環境に対応することができなければ、組織内で戦略的に重要であると期待されている内部監査部門の役割が、適切に果たせないことになりかねません。

こうしたことから、2018年の「インパクトが大きな重点領域」である13項目は、内部監査部門にとってポジティブなインパクトをもたらす機会となる活動およびリスクを明らかにするものとなっています。コアアシュアランス業務の自動化やアジャイル型内部監査の導入といった新しい手法を取り入れ、デジタルリスクなどの新たな領域を監査対象とし、それらの問題に対する組織内の関心が高まるにつれて内部監査部門のインパクトや影響力は大きくなります。また、新たな難題への取り組みにおいて、内部監査部門の客観性、スキル、助言を誰よりも必要とするステークホルダーにとって、13の重点領域は納得できる項目となるでしょう。

1 Evolution or irrelevance? Internal Audit at a crossroads, Deloitte’s Global Chief Audit Executive Survey, Deloitte, 2016（進化か、衰退か？　岐路に立つ内部監査「デロイトのグローバルCAE（内部監査執行役員）サーベイ」）、デロイト、2016 年。

（英語サイト）<http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Audit/gx-deloitte-audit-executive-survey-2016-print.pdf>

目次

これからの1年間

ロボティックプロセスオートメーション（RPA）とコグニティブ（認知）インテリジェンス（CI）

サイバーセキュリティ

データプライバシー

クラウドマイグレーション（移行）

デジタルリスクの監査

内部監査アナリティクス

危機管理

コアアシュアランスの自動化

カルチャーリスク

オペレーショナルリスクに対するアシュアランス

アジャイル開発の監査

アジャイル型内部監査

サードパーティーリスク

デロイトのリサーチ1や過去の経験から、ステークホルダーが内部監査部門に望むのは、過去よりも将来のリスクや問題に焦点を当てることだということがわかっています。これは、過去を監査するよりも、将来に向けた助言が求められているということであり、未知のリスクが生じる可能性のある活動に焦点を当てるということになります。このためには、新たなスキルや人材育成が必要となる場合があります。また、新たなフレームワークやステークホルダーとの連携も必要となります。しかし、新たな組織体制や環境に対応することができなければ、組織内で戦略的に重要であると期待されている内部監査部門の役割が、適切に果たせないことになりかねません。

こうしたことから、2018年の「インパクトが大きな重点領域」である13項目は、内部監査部門にとってポジティブなインパクトをもたらす機会となる活動およびリスクを明らかにするものとなっています。コアアシュアランス業務の自動化やアジャイル型内部監査の導入といった新しい手法を取り入れ、デジタルリスクなどの新たな領域を監査対象とし、それらの問題に対する組織内の関心が高まるにつれて内部監査部門のインパクトや影響力は大きくなります。また、新たな難題への取り組みにおいて、内部監査部門の客観性、スキル、助言を誰よりも必要とするステークホルダーにとって、13の重点領域は納得できる項目となるでしょう。

1 Evolution or irrelevance? Internal Audit at a crossroads, Deloitte’s Global Chief Audit Executive Survey, Deloitte, 2016（進化か、衰退か？　岐路に立つ内部監査「デロイトのグローバルCAE（内部監査執行役員）サーベイ」）、デロイト、2016 年。

（英語サイト）<http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Audit/gx-deloitte-audit-executive-survey-2016-print.pdf>

3

内部監査インサイト2018｜インパクトが大きな重点領域

多くの企業はデジタル化戦略を採用しているほか、サイロ化されたチームがアプリ、ウェブサイト、その他のデジタルチャネルを開発しており、そのためのファーストライン・セカンドラインのチームを擁しています。しかし内部監査部門は、アプリの開発方法、dev-opsチーム（開発と運用を組み合わせたソフトウエア開発チーム）、統制を自動化するツールなどのデジタル化に必要なテクノロジー、方法、ツールなどに対する理解が十分ではありません。内部監査部門の多くは従来の考え方や手法を維持する傾向があり、デジタルイノベーターの採用する迅速かつ自動化された手法とは対照的で

デジタルリスクの監査す。顧客の獲得やコミュニケーションに使用されるアプリやウェブサイトは、各種のプライバシーリスクやセキュリティーリスクを高める可能性があります。一方で、多くの組織は、これらのリスクに起因する複雑性や課題に加え、外部パートナーによってもたらされる新たなテクノロジー、チャネル、サービスの問題に対応するリスクフレームワークやリスク管理能力を十分に備えていません。

考慮すべき点：監査計画においては、デジタルプログラム、プロセス、プロダクトのリスクを評価するためのリスクテーマを設定します。デジタル戦略や

デジタル化のロードマップを検証し、そうしたリスクテーマに対応する重点分野を決定します。デジタル化は環境変化が激しい中、通常のサイバーリスクに加えて、戦略リスク、レピュテーションリスク、サードパーティーリスクをもたらします。内部監査部門は、プロセスやコントロールの自動化に必要なツールを理解し、そのうえでこれらのツールのインテグリティを評価できるよう努めるべきです。デジタルプロジェクトの初期段階で、しかるべき分野に関与することが重要です。

関連するリスク部門が、どのように機能するかも注

視する必要があります。なぜなら、それらの部門はデリバリーチームに近いからです。ファーストライン・セカンドラインに、目的に適ったデジタルリスクのフレームワーク、方法、監視機能を浸透させることが重要です。これには、デジタル化の過程で提携するサードパーティーの管理に必要なフレームワークへの適切な水準のアシュアランスが含まれます。プラットフォームの統合は、企業とサードパーティーの境界を曖昧にするため、プロセス、データフロー、リソース、規制面の責任関係を明確化する必要があります。内部監査は、外部リソースの活用、スキルの向上、専門チームを強化し、重点分野で必要とされるリソースを確保することが期待されています。

ロボティックプロセスオートメーション（RPA）は、ソフトウエアを用いた仮想環境におけるルールベースの作業自動化であり、人手による作業と同等かそれ以上の成果をもたらします。また、多くの場合、RPAは複数のシステムに対応します。一般的に、繰り返しの手作業をより効率的・効果的に実行します。

コグニティブ（認知）インテリジェンス（CI）はRPAを一歩進めたものであり、自然言語処理（NLP）と自然言語生成（NLG）、人工知能（AI）、機械学習（ML）などの機能を有します。CIは、データからコンセプトや関係性を読み取り、その意味を「理解」したうえで、データ上のパターンや過去の経験から学習します。

RPAとCIはいずれも、ビジネスの現場やセカンドライン（バックオフィス）で採用が進んでいます。この傾向は、特に金融サービスなどのデータ集約的な分野で顕著です。このように多くの利点を持つRPAとCIですが、同時にオペレーショナルリスク、ファイナンシャルリスク、レギュラトリー（規制）リスク、オーガナイゼーショナル（組織）リスク、テクノロジーリスクなどを引き起こします。幸いなことに、これらのリスクは既存のリスクマネジメントの延長で対応が可能です。

ロボティックプロセスオートメーション（RPA）とコグニティブ（認知）インテリジェンス（CI）

考慮すべき点：社内各部門でRPAやCIその他の類似テクノロジーの採用が進むにつれ、付随するリスクの特定、評価、モニタリングにおいて内部監査部門が果たすべき役割が大きくなります。その役割を果たすためにも、新たなリスクに対する理解と、正しくデザインされた内部統制の適切な運用が重要です。また、データインテグリティ、アクセス、プロトコール変更、セキュリティなどの分野では、これら新テクノロジーの活用を統治する必要があります。

内部監査計画は、RPAやCIが業務プロセス、経営、組織に与える影響も考慮する必要があります。確かなアシュアランスを提供するためにも、内部監査部門は新テクノロジーの導入プロセスに早い段階から関わる必要があります。文書化された監査対象、結果、発見事項をもとに、監査手続きや過去の事例を検証することが重要です。フレームワークやプロセスが「ロボ」を監視し、問題点をトリアージ（選定）するよう設定されていることを確認します。具体的には、問題点の特定や解決、ロボの変更管理、サードパーティーリスクの管理、監督と法令遵守が含まれます。また、リスク低減、リーディングプラクティス、自動化戦略に対するアドバイスが含まれます。

最後に、内部監査部門は、繰り返されるコントロールテストや報告書作成でRPAの活用による自動化を検討すべきです。

4

内部監査インサイト2018｜インパクトが大きな重点領域

多くの企業はデジタル化戦略を採用しているほか、サイロ化されたチームがアプリ、ウェブサイト、その他のデジタルチャネルを開発しており、そのためのファーストライン・セカンドラインのチームを擁しています。しかし内部監査部門は、アプリの開発方法、dev-opsチーム（開発と運用を組み合わせたソフトウエア開発チーム）、統制を自動化するツールなどのデジタル化に必要なテクノロジー、方法、ツールなどに対する理解が十分ではありません。内部監査部門の多くは従来の考え方や手法を維持する傾向があり、デジタルイノベーターの採用する迅速かつ自動化された手法とは対照的で

デジタルリスクの監査す。顧客の獲得やコミュニケーションに使用されるアプリやウェブサイトは、各種のプライバシーリスクやセキュリティーリスクを高める可能性があります。一方で、多くの組織は、これらのリスクに起因する複雑性や課題に加え、外部パートナーによってもたらされる新たなテクノロジー、チャネル、サービスの問題に対応するリスクフレームワークやリスク管理能力を十分に備えていません。

考慮すべき点：監査計画においては、デジタルプログラム、プロセス、プロダクトのリスクを評価するためのリスクテーマを設定します。デジタル戦略や

デジタル化のロードマップを検証し、そうしたリスクテーマに対応する重点分野を決定します。デジタル化は環境変化が激しい中、通常のサイバーリスクに加えて、戦略リスク、レピュテーションリスク、サードパーティーリスクをもたらします。内部監査部門は、プロセスやコントロールの自動化に必要なツールを理解し、そのうえでこれらのツールのインテグリティを評価できるよう努めるべきです。デジタルプロジェクトの初期段階で、しかるべき分野に関与することが重要です。

関連するリスク部門が、どのように機能するかも注

視する必要があります。なぜなら、それらの部門はデリバリーチームに近いからです。ファーストライン・セカンドラインに、目的に適ったデジタルリスクのフレームワーク、方法、監視機能を浸透させることが重要です。これには、デジタル化の過程で提携するサードパーティーの管理に必要なフレームワークへの適切な水準のアシュアランスが含まれます。プラットフォームの統合は、企業とサードパーティーの境界を曖昧にするため、プロセス、データフロー、リソース、規制面の責任関係を明確化する必要があります。内部監査は、外部リソースの活用、スキルの向上、専門チームを強化し、重点分野で必要とされるリソースを確保することが期待されています。

ロボティックプロセスオートメーション（RPA）は、ソフトウエアを用いた仮想環境におけるルールベースの作業自動化であり、人手による作業と同等かそれ以上の成果をもたらします。また、多くの場合、RPAは複数のシステムに対応します。一般的に、繰り返しの手作業をより効率的・効果的に実行します。

コグニティブ（認知）インテリジェンス（CI）はRPAを一歩進めたものであり、自然言語処理（NLP）と自然言語生成（NLG）、人工知能（AI）、機械学習（ML）などの機能を有します。CIは、データからコンセプトや関係性を読み取り、その意味を「理解」したうえで、データ上のパターンや過去の経験から学習します。

RPAとCIはいずれも、ビジネスの現場やセカンドライン（バックオフィス）で採用が進んでいます。この傾向は、特に金融サービスなどのデータ集約的な分野で顕著です。このように多くの利点を持つRPAとCIですが、同時にオペレーショナルリスク、ファイナンシャルリスク、レギュラトリー（規制）リスク、オーガナイゼーショナル（組織）リスク、テクノロジーリスクなどを引き起こします。幸いなことに、これらのリスクは既存のリスクマネジメントの延長で対応が可能です。

ロボティックプロセスオートメーション（RPA）とコグニティブ（認知）インテリジェンス（CI）

考慮すべき点：社内各部門でRPAやCIその他の類似テクノロジーの採用が進むにつれ、付随するリスクの特定、評価、モニタリングにおいて内部監査部門が果たすべき役割が大きくなります。その役割を果たすためにも、新たなリスクに対する理解と、正しくデザインされた内部統制の適切な運用が重要です。また、データインテグリティ、アクセス、プロトコール変更、セキュリティなどの分野では、これら新テクノロジーの活用を統治する必要があります。

内部監査計画は、RPAやCIが業務プロセス、経営、組織に与える影響も考慮する必要があります。確かなアシュアランスを提供するためにも、内部監査部門は新テクノロジーの導入プロセスに早い段階から関わる必要があります。文書化された監査対象、結果、発見事項をもとに、監査手続きや過去の事例を検証することが重要です。フレームワークやプロセスが「ロボ」を監視し、問題点をトリアージ（選定）するよう設定されていることを確認します。具体的には、問題点の特定や解決、ロボの変更管理、サードパーティーリスクの管理、監督と法令遵守が含まれます。また、リスク低減、リーディングプラクティス、自動化戦略に対するアドバイスが含まれます。

最後に、内部監査部門は、繰り返されるコントロールテストや報告書作成でRPAの活用による自動化を検討すべきです。

5

内部監査インサイト2018｜インパクトが大きな重点領域

近年、サイバーセキュリティの監査において、データプライバシー、ITセキュリティ、事業の継続性などにおける規制の遵守が重視されることがあります。これらの分野における監査は一般に法規制の遵守に加え、規格（ISO 27000など）への準拠性も含まれます。サイバーセキュリティ分野の法令順守は、米証券取引委員会（SEC）が国家調査プログラム（NEP：National Exam Program）の検査項目に挙げており、また、先頃、サイバー専門組織を設置したことから、アメリカの上場企業を中心に、大半の企業で関心が高まっています。また、米国公認会計士協会（AICPA）のサイバーセキュリティリスクマネジメント調査と並行して、新たな規制が施行されています。企業は、既存規制への準拠では、高水準どころか最低限のサイバーリスクマネジメントにもならないと認識し、（有効性の）アシュアランスに重点を置くべきです。最近注目を集めたサイバー事件で被害に遭った組織は、該当するサイバー規制を遵守していました。

サイバーセキュリティ事実、既存のサイバーセキュリティ対策が、主にIT部門や社用Eメールなどを対象としている一方で、現在、最も高いリスクを生じさせているのは、クラウドベースのシステムを利用している事業部門、社外の開発業者を利用している事業部門、ITプロパー以外のアプリを利用している事業部門となっています。これらの活動は、最高情報責任者（CIO）、最高情報セキュリティ責任者（CISO）、内部監査部門の監視外にあるため、重大なリスク要因となっています。広範囲のサイバーリスクを発生以前に特定することは、内部監査にとってのチャレンジとなっています。

考慮すべき点：コンプライアンスに関連したアシュアランスの提供に慣れている内部監査は、新たな考え方や手法への適合が求められるため、幅広い考え方を取り入れるところからスタートすれば良いでしょう。例えば、製薬会社において、内部監査はプライバシー規制や新薬開発に関連したサイバーリスク

を注視しますが、ラジオアイソトープで使用される小さな原子炉に関連するリスクは見過ごしてしまいます（実際のケース）。内部監査計画では、より幅広く積極的な対応が求められます。通常の監査計画の枠組みを超えて、新たな取り組み、商品、マーケット、契約、外部パーティーを検討する必要があります。そして、リスクの特定やモニタリング、またそれらの管理体制について、経営陣と議論すべきです。

経営陣は、サーバーリスクの増減は決定や行動次第であると認識する必要があります。サイバー事件が、業務、インフラ、データ、財務、評判、回復にどのような影響を与えるかの検証を定期的に行い、シミュレーションを含めた対応や回復力の評価を積極的に行うべきです。

EUが2018年5月25日に導入した「一般データ保護規則（GDPR）」は、個人データの収集、処理を行うEU域内の全ての組織に加え、EU関連の業務に携わるEU域外組織をその対象としています。GDPRの導入により、企業が取得できる個人情報の範囲、またその情報がどのように取り扱われるかについて、対象個人本人の裁量に委ねられる度合いが大きくなりました。例えば、企業が個人情報を利用する際、事前に本人の許可が必要となる制度（opt-in）などが挙げられます。GDPRは、違反に対する厳しい罰則を定めているほか、データ保護担当者（DPO）の任命や、個人情報（社員および独立事業者の情報を含む）の収集、利用、保持に関連した役割、責任、プロセスについての詳細な文書化を求めています。

これらの規制に最も影響を受けると予想される企業では準拠への対応が進んでいますが、多くの企業は一部の対象分野で対応の遅れが見られます。データマッピングやデータ管理を強化することでもたらされるマーケティングや分析面の可能性を考えると、企業にとってGDPRは大きな機会を与えてくれるものです。内部監査部門は、GDPRの

データプライバシー導入で企業が直面するリスク増加への対応や、この過程で得られたデータへの理解を深めるサポートをすることができます。

考慮すべき点：企業は、データの管理に対して明確な説明責任を果たす必要があります。そのためDPOを任命する以外に、個人データ開示要求、データ流出時などの対応、データ保持といった各規制に準拠するための責任者を明確にしなければなりません。これらの説明責任や関連するプロセスは、情報開示の請求、データ保持、その他の手続きの執行を説明するための枠組みにおいて文書化される必要があります。データの保存は必要とされる期間に限定されるという規則を踏まえ、データライフサイクルや、保持・消去ポリシーに焦点を合わせる必要があります。

また、規制の対象となる企業は、どのようなデータがどのシステムで収集されているか、データの移転先や保存場所がどこであるか、その目的について文書化することを義務づけられています。データの保存場所やデータの流れに加え、誰がそのデータを使用し、変更

する権限を有するかについて、ステークホルダーが理解できるようなサポートが必要です。このようなデータマッピングは、企業が情報公開要求への対応や、個人情報収集の同意を得るうえで役にたちます。

内部監査計画では、さまざまな要求や規制への準拠に対して、リスクベースのアプローチが必要となります。また、データ量、重要性、機密性に応じたシステム対応が重要となります。個人情報に関わる新たな取り組みの際は、必ずデータ保護評価（DPIA）が実行されることを確認するとともに、サードパーティーへのデータの移行には細心の注意を払う必要があります。

6

内部監査インサイト2018｜インパクトが大きな重点領域

近年、サイバーセキュリティの監査において、データプライバシー、ITセキュリティ、事業の継続性などにおける規制の遵守が重視されることがあります。これらの分野における監査は一般に法規制の遵守に加え、規格（ISO 27000など）への準拠性も含まれます。サイバーセキュリティ分野の法令順守は、米証券取引委員会（SEC）が国家調査プログラム（NEP：National Exam Program）の検査項目に挙げており、また、先頃、サイバー専門組織を設置したことから、アメリカの上場企業を中心に、大半の企業で関心が高まっています。また、米国公認会計士協会（AICPA）のサイバーセキュリティリスクマネジメント調査と並行して、新たな規制が施行されています。企業は、既存規制への準拠では、高水準どころか最低限のサイバーリスクマネジメントにもならないと認識し、（有効性の）アシュアランスに重点を置くべきです。最近注目を集めたサイバー事件で被害に遭った組織は、該当するサイバー規制を遵守していました。

サイバーセキュリティ事実、既存のサイバーセキュリティ対策が、主にIT部門や社用Eメールなどを対象としている一方で、現在、最も高いリスクを生じさせているのは、クラウドベースのシステムを利用している事業部門、社外の開発業者を利用している事業部門、ITプロパー以外のアプリを利用している事業部門となっています。これらの活動は、最高情報責任者（CIO）、最高情報セキュリティ責任者（CISO）、内部監査部門の監視外にあるため、重大なリスク要因となっています。広範囲のサイバーリスクを発生以前に特定することは、内部監査にとってのチャレンジとなっています。

考慮すべき点：コンプライアンスに関連したアシュアランスの提供に慣れている内部監査は、新たな考え方や手法への適合が求められるため、幅広い考え方を取り入れるところからスタートすれば良いでしょう。例えば、製薬会社において、内部監査はプライバシー規制や新薬開発に関連したサイバーリスク

を注視しますが、ラジオアイソトープで使用される小さな原子炉に関連するリスクは見過ごしてしまいます（実際のケース）。内部監査計画では、より幅広く積極的な対応が求められます。通常の監査計画の枠組みを超えて、新たな取り組み、商品、マーケット、契約、外部パーティーを検討する必要があります。そして、リスクの特定やモニタリング、またそれらの管理体制について、経営陣と議論すべきです。

経営陣は、サーバーリスクの増減は決定や行動次第であると認識する必要があります。サイバー事件が、業務、インフラ、データ、財務、評判、回復にどのような影響を与えるかの検証を定期的に行い、シミュレーションを含めた対応や回復力の評価を積極的に行うべきです。

EUが2018年5月25日に導入した「一般データ保護規則（GDPR）」は、個人データの収集、処理を行うEU域内の全ての組織に加え、EU関連の業務に携わるEU域外組織をその対象としています。GDPRの導入により、企業が取得できる個人情報の範囲、またその情報がどのように取り扱われるかについて、対象個人本人の裁量に委ねられる度合いが大きくなりました。例えば、企業が個人情報を利用する際、事前に本人の許可が必要となる制度（opt-in）などが挙げられます。GDPRは、違反に対する厳しい罰則を定めているほか、データ保護担当者（DPO）の任命や、個人情報（社員および独立事業者の情報を含む）の収集、利用、保持に関連した役割、責任、プロセスについての詳細な文書化を求めています。

これらの規制に最も影響を受けると予想される企業では準拠への対応が進んでいますが、多くの企業は一部の対象分野で対応の遅れが見られます。データマッピングやデータ管理を強化することでもたらされるマーケティングや分析面の可能性を考えると、企業にとってGDPRは大きな機会を与えてくれるものです。内部監査部門は、GDPRの

データプライバシー導入で企業が直面するリスク増加への対応や、この過程で得られたデータへの理解を深めるサポートをすることができます。

考慮すべき点：企業は、データの管理に対して明確な説明責任を果たす必要があります。そのためDPOを任命する以外に、個人データ開示要求、データ流出時などの対応、データ保持といった各規制に準拠するための責任者を明確にしなければなりません。これらの説明責任や関連するプロセスは、情報開示の請求、データ保持、その他の手続きの執行を説明するための枠組みにおいて文書化される必要があります。データの保存は必要とされる期間に限定されるという規則を踏まえ、データライフサイクルや、保持・消去ポリシーに焦点を合わせる必要があります。

また、規制の対象となる企業は、どのようなデータがどのシステムで収集されているか、データの移転先や保存場所がどこであるか、その目的について文書化することを義務づけられています。データの保存場所やデータの流れに加え、誰がそのデータを使用し、変更

する権限を有するかについて、ステークホルダーが理解できるようなサポートが必要です。このようなデータマッピングは、企業が情報公開要求への対応や、個人情報収集の同意を得るうえで役にたちます。

内部監査計画では、さまざまな要求や規制への準拠に対して、リスクベースのアプローチが必要となります。また、データ量、重要性、機密性に応じたシステム対応が重要となります。個人情報に関わる新たな取り組みの際は、必ずデータ保護評価（DPIA）が実行されることを確認するとともに、サードパーティーへのデータの移行には細心の注意を払う必要があります。

7

内部監査インサイト2018｜インパクトが大きな重点領域

企業の経営陣は、新ビジネスに進出する場合も、既存ビジネスに伴うリスクを管理することの必要性を認識しており、既存ビジネスに対しては継続的なアシュアランスを望みます。内部監査部門は、既存ビジネスに関わるコアプロセス、コントロール、活動に関する不断の安心、すなわち継続的なアシュアランスを提供することによって、経営陣や取締役会の要求に応える必要があります。

アシュアランスを自動化することは、実行可能な項目を知らせるリアルタイムレポーティングの実現を意味します。リアルタイムレポーティングは、迅速な改善を可能にし、さらなる通知があるまでの継続的なモニタリングを選択することも可能です。母集団全体のモニタリングが可能であるにもかかわらずサンプリング対応をしたり、重要でない内容を詳細に報告することは後ろ向きな内部監査の象徴となっており、変化への対応や効率的なアシュアランスの提供を阻害する要因となっています。

コアアシュアランスの自動化アシュアランスの自動化やリアルタイムレポーティングの促進に必要なテクノロジーには市販のツールも含まれていますが、カスタマイズ仕様のソリューションは、より多くの重要なプロセスやコントロールにおいてアシュアランスの自動化を可能にします。

考慮すべき点：アシュアランスの自動化では、付随する価値やリスクに合わせて、レベルを調整することが重要です。内部監査の自動化は、ファーストラインにおけるコアプロセスとその重要性や付随するリスクを評価し、優先順位を決定するところから始まります。

既存システムで使用されているツールはコアアシュアランスの自動化でも使用可能ですが、ファーストラインやセカンドラインでフルに使用されることは滅多にありません。したがって、これらの機能の活用や、既存のプロセスやシステムへの組み込みが、現場で徹底される必要があります。これらの機能については、ファーストラインやセカ

ンドラインで認識されていないこともあります。

ステークホルダーと対話を重ねることで、モニタリングすべきリスクやコントロールを特定することができます。何もかも自動化すべきというわけではなく、ファイナンシャルリスクとコントロールを優先するか、オペレーショナルリスクとコントロールを優先するかといったスコーピングの問題が立ちはだかります。

自動化ツールで使用可能な機能を理解することで、早期に効率化できる業務を特定することができます。これらの業務には、一般的にファイナンシャルコントロールや残高照合が含まれます。

往々にして自動化は、容易に実現できるコスト削減とアシュアランスの強化を同時に達成するための豊富な機会を提供してくれます。さらにコアアシュアランスの自動化によって、内部監査部門は高付加価値分野や活動に資源を配分することができるようになります。

アナリティクスは長年にわたって内部監査の重要分野であり続けています。第1に、初歩レベルのアナリティクスは入手可能な単一ツールであり、内部監査部門にとって効率性と効果性を向上させるうえで、最も強力であることです。第2に、ビジネスの継続的なデジタル化は大量のデータを生み出しますが、それらのデータはアナリティクスの活用により、付加価値の高い情報やビジネスインサイト（洞察）に生まれ変わるからです。第3に、データの分析・可視化ツールはシンプルかつ安価になり、入手が容易で、使用も簡単になりました。最後に、ステークホルダーが、従来以上に高いレベルのアシュアランス、インサイト（洞察）、リスク予測を必要としているからです。

しかしながら、内部監査部門におけるアナリティクスの採用は比較的バラつきが見られ、また遅れがちです。内部監査部門は、現状を変えたり、新たな手法を採用したりすることが難しい分野です。前進を阻むものとして今まで見過ごされがちだった障壁の1つが、方法論です。従来型の監査アプローチは、イノベーションを遅らせ、データ収集を制限し、アナリティクスを不可欠なものというより、補助的な機能として捉えます。

内部監査アナリティクス考慮すべき点：アナリティクスは、すべての内部監査計画や、監査の実施、レポーティングに不可欠であると認識し、適宜、監査手法や必要なスキルに組み込まれるべきです。

情報が不十分な状況で硬直的に監査目的を設定するのではなく、監査のスコーピングの段階でデータを活用し、不規則なパターンや、想定外の関係性、事業環境の変化などを特定する必要があります。

アナリティクスの有用性を検証するために、データが容易に入手可能で、かなりの成功可能性が見込め、その結果によって価値が高められる（具体的には不正、浪費、ルール違反などの削減につながる）分野でパイロットプロジェクトに着手すべきです。

仮説を立て、関連するデータを収集するところから始めると良いでしょう。例えば、特定の行動や結果が期待される場面で、それがデータによって裏付けられるかを検証します。そのうえで、データを繰り返し処理し、サンプリングを進め、関連するインサイト（洞察）を生み出し、さらにデータ可視化ツールを使ってこれを加速します。

また、（先に述べたように）反復作業の自動化やレポーティングの効率化が必要な箇所には、RPAやCIの活用も検討されるべきです。先進的なテクノロジーの利用と監査を含む統合アナリティクス機能である「デジタル内部監査」2にも目を向けるべきです。

2 The untapped power of “Digital IA,” Deloitte, 2017。

8

内部監査インサイト2018｜インパクトが大きな重点領域

企業の経営陣は、新ビジネスに進出する場合も、既存ビジネスに伴うリスクを管理することの必要性を認識しており、既存ビジネスに対しては継続的なアシュアランスを望みます。内部監査部門は、既存ビジネスに関わるコアプロセス、コントロール、活動に関する不断の安心、すなわち継続的なアシュアランスを提供することによって、経営陣や取締役会の要求に応える必要があります。

アシュアランスを自動化することは、実行可能な項目を知らせるリアルタイムレポーティングの実現を意味します。リアルタイムレポーティングは、迅速な改善を可能にし、さらなる通知があるまでの継続的なモニタリングを選択することも可能です。母集団全体のモニタリングが可能であるにもかかわらずサンプリング対応をしたり、重要でない内容を詳細に報告することは後ろ向きな内部監査の象徴となっており、変化への対応や効率的なアシュアランスの提供を阻害する要因となっています。

コアアシュアランスの自動化アシュアランスの自動化やリアルタイムレポーティングの促進に必要なテクノロジーには市販のツールも含まれていますが、カスタマイズ仕様のソリューションは、より多くの重要なプロセスやコントロールにおいてアシュアランスの自動化を可能にします。

考慮すべき点：アシュアランスの自動化では、付随する価値やリスクに合わせて、レベルを調整することが重要です。内部監査の自動化は、ファーストラインにおけるコアプロセスとその重要性や付随するリスクを評価し、優先順位を決定するところから始まります。

既存システムで使用されているツールはコアアシュアランスの自動化でも使用可能ですが、ファーストラインやセカンドラインでフルに使用されることは滅多にありません。したがって、これらの機能の活用や、既存のプロセスやシステムへの組み込みが、現場で徹底される必要があります。これらの機能については、ファーストラインやセカ

ンドラインで認識されていないこともあります。

ステークホルダーと対話を重ねることで、モニタリングすべきリスクやコントロールを特定することができます。何もかも自動化すべきというわけではなく、ファイナンシャルリスクとコントロールを優先するか、オペレーショナルリスクとコントロールを優先するかといったスコーピングの問題が立ちはだかります。

自動化ツールで使用可能な機能を理解することで、早期に効率化できる業務を特定することができます。これらの業務には、一般的にファイナンシャルコントロールや残高照合が含まれます。

往々にして自動化は、容易に実現できるコスト削減とアシュアランスの強化を同時に達成するための豊富な機会を提供してくれます。さらにコアアシュアランスの自動化によって、内部監査部門は高付加価値分野や活動に資源を配分することができるようになります。

アナリティクスは長年にわたって内部監査の重要分野であり続けています。第1に、初歩レベルのアナリティクスは入手可能な単一ツールであり、内部監査部門にとって効率性と効果性を向上させるうえで、最も強力であることです。第2に、ビジネスの継続的なデジタル化は大量のデータを生み出しますが、それらのデータはアナリティクスの活用により、付加価値の高い情報やビジネスインサイト（洞察）に生まれ変わるからです。第3に、データの分析・可視化ツールはシンプルかつ安価になり、入手が容易で、使用も簡単になりました。最後に、ステークホルダーが、従来以上に高いレベルのアシュアランス、インサイト（洞察）、リスク予測を必要としているからです。

しかしながら、内部監査部門におけるアナリティクスの採用は比較的バラつきが見られ、また遅れがちです。内部監査部門は、現状を変えたり、新たな手法を採用したりすることが難しい分野です。前進を阻むものとして今まで見過ごされがちだった障壁の1つが、方法論です。従来型の監査アプローチは、イノベーションを遅らせ、データ収集を制限し、アナリティクスを不可欠なものというより、補助的な機能として捉えます。

内部監査アナリティクス考慮すべき点：アナリティクスは、すべての内部監査計画や、監査の実施、レポーティングに不可欠であると認識し、適宜、監査手法や必要なスキルに組み込まれるべきです。

情報が不十分な状況で硬直的に監査目的を設定するのではなく、監査のスコーピングの段階でデータを活用し、不規則なパターンや、想定外の関係性、事業環境の変化などを特定する必要があります。

アナリティクスの有用性を検証するために、データが容易に入手可能で、かなりの成功可能性が見込め、その結果によって価値が高められる（具体的には不正、浪費、ルール違反などの削減につながる）分野でパイロットプロジェクトに着手すべきです。

仮説を立て、関連するデータを収集するところから始めると良いでしょう。例えば、特定の行動や結果が期待される場面で、それがデータによって裏付けられるかを検証します。そのうえで、データを繰り返し処理し、サンプリングを進め、関連するインサイト（洞察）を生み出し、さらにデータ可視化ツールを使ってこれを加速します。

また、（先に述べたように）反復作業の自動化やレポーティングの効率化が必要な箇所には、RPAやCIの活用も検討されるべきです。先進的なテクノロジーの利用と監査を含む統合アナリティクス機能である「デジタル内部監査」2にも目を向けるべきです。

2 The untapped power of “Digital IA,” Deloitte, 2017。

9

内部監査インサイト2018｜インパクトが大きな重点領域

企業の経営陣は、ベンダーの審査、選定、契約、評価、支払い、解約などのプロセスにおいて以前からアシュアランスの必要性を感じてきました。また、コスト削減の余地や回収可能性についても、内部監査で特定されることを望んでいます。

テクノロジーの進化と自動化の導入は、先進的な分析手法やリアルタイムのアシュアランスを可能にしました。ここへ来て経営陣が望むことは、総体的なサードパーティーリスクの把握と管理です。

したがって内部監査部門に必要とされるのは、サードパーティーとの関係に関する組織全体のアプローチを理解することです。2016年のデロイト グローバル サーベイ3で述べたように、サードパーティーリスクには、サードパーティーのエコシステムや、サードパーティーリスクの管理およびガバナンス、サードパーティーとの関係を監視・管理するテクノロジーや手法が含まれます。

コスト削減や回収は重要ですが、サードパーティリスクマネジメント（Extended ERM, EERM）も必須です。それは、企業にとってサードパー

サードパーティーリスクティーとの関係が不可欠になる一方で、サードパーティーの存在が多大なリスクをはらんでいるからです。

考慮すべき点：内部監査計画の策定では、サードパーティー契約を費用とリスクをもとに査定するところから始めましょう。通常の購買契約と比べ、大規模で複雑なサードパーティー契約ほど、潜在的なエクスポージャーやリスクが大きいものとなる傾向があります。

ベンダーアシュアランスについては、費用やベンダーパフォーマンスの分析に自動化ツールの導入を促進するか、すでに導入済みである場合はベンダーの信頼性や有効性に対するアシュアランスを自動化します。これらのツールの一部は、デリバリーデータ、サービスレベル、取扱高などの基準にRPAを適用し、リアルタイムのサードパーティーアシュアランスを現実的なものにし、実現に近付けます。また、これらのツールを活用することにより、省力化されたリソースを、他のサードパーティーリスクへの対応に配分できます。

全体的なEERMのフレームワークは、特にサードパーティーのエコシステムに含まれる主だったリスク要因を表面化させる目的で活用することができます。エコシステムやその構成要素の健全さを評価する効果的な監査プログラムは、企業戦略や運営に最も重要となる物品およびサービスの調達に関連するリスクの低減に役立ちます。

3 The threats are real: Third party governance and risk management, Deloitte global survey, 2016。（英語サイト）<https://www2.deloitte.com/content/dam/Deloitte/za/Documents/risk/ZA_Third_Party_Governance_and_Risk_Management_Survey_RA_Dec16.pdf>

クラウドサービスの活用は、対象となるデータ、使用するクラウドのサービス、モデルタイプ、ユーザー、サードパーティーの関与度合いに応じて、企業のリスクプロフィールを大きく変える可能性があります。クラウドサービスは、「サース（SaaS）」、

「パース（PaaS）」、「イアース（IaaS）」に大別できます。SaaSとPaaSは、クラウドベースのソフトウエアやプラットフォームサービスを提供し、IaaSはインフラサービスを提供します。またクラウドサービスは、プライベートクラウド、パブリッククラウド、およびハイブリッドクラウド（オンプレミス、プライベートクラウド、パブリッククラウドの組み合わせ）などのモデルに分類できます。

それぞれのサービスタイプに付随するリスクは、アクセスとデータの重要性に応じて変わります。ユーザーコントロール・レベルの違いにより、サービスやモデルのタイプごとにセキュリティ要件が変わります。適正なセキュリティコントロールもまた、対象となるデータやプロセスによって変わります。

サービスのタイプにかかわらず、パブリッククラウドではデータがサードパーティーに委託されます。委託側である程度までコントロールのデザインや運用を監査できますが、サードパーティーによるアシュアランスに依拠することになります。クラウドのサービスプロバイダーから得るアシュアランスや契約によるアシュアランス内容にかかわらず、プロバイダーの環境に関する情報は限られています。

クラウドマイグレーション（移行）考慮すべき点：ネットワーク構成、資産保全、アクセス管理、ロギング／モニタリング、脆弱性評価などの従来型の監査はクラウドサービスでも適用可能ですが異なる場合もあります。SANS Institute、NIST、ISO、CSAによるクラウドサービスの基準やガイドラインは、どれも便利である一方で、それぞれ重視する項目が異なることから、企業の戦略、リスクプロファイル、ユーザーケース、クラウドサービスの種別に応じて、独自基準を設定することが重要です。クラウド環境を総合的に査定し、ガバナンス要素や責任分担を評価することが必要です。

誤解が生じやすい分野は、コントロールの引継ぎ、事後対応責任、危機対応能力などです。クラウド認証の取得や外部専門家へのコンタクトを検討すべきでしょう。

コスト削減策として注目されているクラウドサービスですが、適正価値を確保するためには、慎重なサービスの選択、リソースの厳格な監視や管理、不必要な機能の迅速な無効化が必要であり、これら全ての見直しが必要です。

また、サービスプロバイダーの所在地、ビジネスモデル、顧客層、社歴、財務の健全性などを査定することで、追加的なアシュアランスが得られます。経営陣が、クラウドサービス・プロバイダーと自社の契約上の責任分担（両者共有の責任範囲を含む）を把握していることも重要です。

10

内部監査インサイト2018｜インパクトが大きな重点領域

企業の経営陣は、ベンダーの審査、選定、契約、評価、支払い、解約などのプロセスにおいて以前からアシュアランスの必要性を感じてきました。また、コスト削減の余地や回収可能性についても、内部監査で特定されることを望んでいます。

テクノロジーの進化と自動化の導入は、先進的な分析手法やリアルタイムのアシュアランスを可能にしました。ここへ来て経営陣が望むことは、総体的なサードパーティーリスクの把握と管理です。

したがって内部監査部門に必要とされるのは、サードパーティーとの関係に関する組織全体のアプローチを理解することです。2016年のデロイト グローバル サーベイ3で述べたように、サードパーティーリスクには、サードパーティーのエコシステムや、サードパーティーリスクの管理およびガバナンス、サードパーティーとの関係を監視・管理するテクノロジーや手法が含まれます。

コスト削減や回収は重要ですが、サードパーティリスクマネジメント（Extended ERM, EERM）も必須です。それは、企業にとってサードパー

サードパーティーリスクティーとの関係が不可欠になる一方で、サードパーティーの存在が多大なリスクをはらんでいるからです。

考慮すべき点：内部監査計画の策定では、サードパーティー契約を費用とリスクをもとに査定するところから始めましょう。通常の購買契約と比べ、大規模で複雑なサードパーティー契約ほど、潜在的なエクスポージャーやリスクが大きいものとなる傾向があります。

ベンダーアシュアランスについては、費用やベンダーパフォーマンスの分析に自動化ツールの導入を促進するか、すでに導入済みである場合はベンダーの信頼性や有効性に対するアシュアランスを自動化します。これらのツールの一部は、デリバリーデータ、サービスレベル、取扱高などの基準にRPAを適用し、リアルタイムのサードパーティーアシュアランスを現実的なものにし、実現に近付けます。また、これらのツールを活用することにより、省力化されたリソースを、他のサードパーティーリスクへの対応に配分できます。

全体的なEERMのフレームワークは、特にサードパーティーのエコシステムに含まれる主だったリスク要因を表面化させる目的で活用することができます。エコシステムやその構成要素の健全さを評価する効果的な監査プログラムは、企業戦略や運営に最も重要となる物品およびサービスの調達に関連するリスクの低減に役立ちます。

3 The threats are real: Third party governance and risk management, Deloitte global survey, 2016。（英語サイト）<https://www2.deloitte.com/content/dam/Deloitte/za/Documents/risk/ZA_Third_Party_Governance_and_Risk_Management_Survey_RA_Dec16.pdf>

クラウドサービスの活用は、対象となるデータ、使用するクラウドのサービス、モデルタイプ、ユーザー、サードパーティーの関与度合いに応じて、企業のリスクプロフィールを大きく変える可能性があります。クラウドサービスは、「サース（SaaS）」、

「パース（PaaS）」、「イアース（IaaS）」に大別できます。SaaSとPaaSは、クラウドベースのソフトウエアやプラットフォームサービスを提供し、IaaSはインフラサービスを提供します。またクラウドサービスは、プライベートクラウド、パブリッククラウド、およびハイブリッドクラウド（オンプレミス、プライベートクラウド、パブリッククラウドの組み合わせ）などのモデルに分類できます。

それぞれのサービスタイプに付随するリスクは、アクセスとデータの重要性に応じて変わります。ユーザーコントロール・レベルの違いにより、サービスやモデルのタイプごとにセキュリティ要件が変わります。適正なセキュリティコントロールもまた、対象となるデータやプロセスによって変わります。

サービスのタイプにかかわらず、パブリッククラウドではデータがサードパーティーに委託されます。委託側である程度までコントロールのデザインや運用を監査できますが、サードパーティーによるアシュアランスに依拠することになります。クラウドのサービスプロバイダーから得るアシュアランスや契約によるアシュアランス内容にかかわらず、プロバイダーの環境に関する情報は限られています。

クラウドマイグレーション（移行）考慮すべき点：ネットワーク構成、資産保全、アクセス管理、ロギング／モニタリング、脆弱性評価などの従来型の監査はクラウドサービスでも適用可能ですが異なる場合もあります。SANS Institute、NIST、ISO、CSAによるクラウドサービスの基準やガイドラインは、どれも便利である一方で、それぞれ重視する項目が異なることから、企業の戦略、リスクプロファイル、ユーザーケース、クラウドサービスの種別に応じて、独自基準を設定することが重要です。クラウド環境を総合的に査定し、ガバナンス要素や責任分担を評価することが必要です。

誤解が生じやすい分野は、コントロールの引継ぎ、事後対応責任、危機対応能力などです。クラウド認証の取得や外部専門家へのコンタクトを検討すべきでしょう。

コスト削減策として注目されているクラウドサービスですが、適正価値を確保するためには、慎重なサービスの選択、リソースの厳格な監視や管理、不必要な機能の迅速な無効化が必要であり、これら全ての見直しが必要です。

また、サービスプロバイダーの所在地、ビジネスモデル、顧客層、社歴、財務の健全性などを査定することで、追加的なアシュアランスが得られます。経営陣が、クラウドサービス・プロバイダーと自社の契約上の責任分担（両者共有の責任範囲を含む）を把握していることも重要です。

11

内部監査インサイト2018｜インパクトが大きな重点領域

サイバーセキュリティや安全部門は、日々の業務に対するアシュアランスを提供していますが、内部監査部門は業務の効率性、有効性、リスク管理についてより詳細に評価することが求められます。

業務監査は、主に非金融資産とプロセスに重点を置きます。業務監査の目的は、業務パフォーマンスが経営陣の期待にどの程度合致しているかを確認し、深掘りすべき分野を特定し、強化策を提言することです。一方で、金融プロセスとパフォーマンスにより重点を置く内部監査部門も多くみられます。

製造業、石油・ガス関連などの資本集約的な産業においても、従来型の監査担当者は、基本的な業務を見過ごしがちです。これらの産業の内部監査グループは、サプライチェーン、サイバーセキュリティ、契約内容の遵守、投資計画、人材、サステナビリティについて、全社レ

オペレーショナルリスクに対するアシュアランスベルで有用な監査を行います。一方で、生産性、資産パフォーマンス管理、保守業務、業務テクノロジー／システム、規制の遵守と安全性、資産保全に対する現場レベルの監査は、より大きな付加価値を生み出す機会を提供します。

考慮すべき点：全社レベルの優れた業務監査は、必須項目です。コア業務に明確な重点を置くためには、現場レベルで業務を理解し、全社レベルでオペレーショナルリスクを理解する必要があります。セカンドラインの活動が適切な水準のアシュアランスを提供しているかどうかを確認し、提供していない場合には、セカンドラインの機能をサポートするか、内部監査が追加的なアシュアランスを提供します。

内部監査計画を策定する際は、組織のゴールや戦略、およびそれらに付随する主要なオペレーショナルリスクに対し、業務監査活動を関連付けることが重要です。オペレーショナルリスクの観点から、今後の投資計画、大規模な保守業務、その他類似の取り組みを評価します。組織のリスク評価やGRCシステムを注視するだけでなく、業務責任者との対話を徹底することが重要です。

プロセスデータにアナリティクスを適用することで、トレンド、パターン、アノマリー（例外）、根本原因を特定し、可視化ツール、追加的なインサイト（洞察）、リスク予測を用いた効果的な報告書を作成します。

外部の特定領域専門家（SME）が必要かどうかの判断や、ゲスト監査人制度やローテーションプログラムにより特定の知識に対する内部アクセスが可能かどうかの判断が必要です。

どの企業でも、組織文化はビジネスパフォーマンスや市場の評判に大きな影響を及ぼします。組織文化を形作る「経営陣の言動」、組織文化を維持する「従業員の日々の行動（コンダクト）や振る舞い」、組織文化を補強する「組織構造」が、組織としての価値観との間に矛盾が生じた場合には、組織文化はリスク要因ともなりえます。

カルチャーリスク問題が注目されるのは、往々にして企業が危機に陥ったり事件が起きたりした後ですが、企業価値の実現や、組織のパフォーマンス向上に、組織文化を積極的に活用する経営者が増えてきています。そのためには、データに基づく組織文化へのインサイト（洞察）を獲得し、従業員の役割や行動に対する理解を深め、リスク問題に先行して必要な経営手段を策定するために、外部の市場シグナルを探るといった取り組みが必要となります。

内部監査は第3のディフェンスラインとして、組織文化に対して適切なアシュアランスやアドバイスを提供し、リスク対応状況を検証するなど、カルチャーリスクマネジメントに重要な役割を果たします。組織文化の監査は、リスク関連のポリシーや手続きを見直すことではなく、職務遂行上のリスク管理に対するアプローチを理解することです。強固なカルチャーを持つ組織には、価値観、プロセス、行動規範、社内外への公約、正しい決断を評価する報酬体系、正しいリスク管理、正しい行動（コンダクト）、すなわち、「正しい組織文化」に対する一致した、明確な認識が存在しています。

カルチャーリスク考慮すべき点：内部監査部門は、組織文化に対して適切なアシュアランスやアドバイスを提供する、リスク管理活動を検証するなど、より広範な組織レベルのカルチャーリスクマネジメントに関与する役割を担うべきです。その役割を果たすために、内部監査の過程で組織文化のさまざまな側面を考慮する必要があります。例えば、組織文化のステークホルダー（人事、リスク管理、コンプライアンス、顧客管理、セキュリティ、ITなど）との連携によってリスクの高い分野を特定して監査領域を最適化することや、内部監査のリスク評価に組織文化と従業員サーベイを関連付けること、組織文化の評価を監査プログラムに取り入れてカルチャーリスクの要素を監査報告に加えることが挙げられます。

また、内部監査部門はカルチャーリスクマネジメントに関するリーディングプラクティスとの比較によって、経営陣へ提言したり、組織のカルチャーリスクマネジメントプログラムの有効性を評価したりすることができます。カルチャーリスク評価は、目に見えないリスク要因、コントロールの有効性、法令不遵守、潜在的な不正行為（ミスコンダクト）に対するインサイト（洞察）をもたらすほか、往査や分析を組織文化と関連付けることができます。非公開のインタビュー、コントロールが機能している分野、フラストレーションが生じている分野、意図した効果を生んでいない分野などを特定するためのデータアナリティクスを評価活動として行うことができます。

拠点ごとの組織文化の違いを評価するとともに、リスクマネジメントフレームワークが特異な行動（コンダクト）を特定し、これに対応できているかどうかを確認することが重要です。

第2のディフェンスラインが、第1のディフェンスラインのカルチャーを可視化できるようにし、また経営陣や取締役会が、組織文化は絶えず取り組みを要するものであると認識できるよう、対策を講じる必要があります。

12

内部監査インサイト2018｜インパクトが大きな重点領域

サイバーセキュリティや安全部門は、日々の業務に対するアシュアランスを提供していますが、内部監査部門は業務の効率性、有効性、リスク管理についてより詳細に評価することが求められます。

業務監査は、主に非金融資産とプロセスに重点を置きます。業務監査の目的は、業務パフォーマンスが経営陣の期待にどの程度合致しているかを確認し、深掘りすべき分野を特定し、強化策を提言することです。一方で、金融プロセスとパフォーマンスにより重点を置く内部監査部門も多くみられます。

製造業、石油・ガス関連などの資本集約的な産業においても、従来型の監査担当者は、基本的な業務を見過ごしがちです。これらの産業の内部監査グループは、サプライチェーン、サイバーセキュリティ、契約内容の遵守、投資計画、人材、サステナビリティについて、全社レ

オペレーショナルリスクに対するアシュアランスベルで有用な監査を行います。一方で、生産性、資産パフォーマンス管理、保守業務、業務テクノロジー／システム、規制の遵守と安全性、資産保全に対する現場レベルの監査は、より大きな付加価値を生み出す機会を提供します。

考慮すべき点：全社レベルの優れた業務監査は、必須項目です。コア業務に明確な重点を置くためには、現場レベルで業務を理解し、全社レベルでオペレーショナルリスクを理解する必要があります。セカンドラインの活動が適切な水準のアシュアランスを提供しているかどうかを確認し、提供していない場合には、セカンドラインの機能をサポートするか、内部監査が追加的なアシュアランスを提供します。

内部監査計画を策定する際は、組織のゴールや戦略、およびそれらに付随する主要なオペレーショナルリスクに対し、業務監査活動を関連付けることが重要です。オペレーショナルリスクの観点から、今後の投資計画、大規模な保守業務、その他類似の取り組みを評価します。組織のリスク評価やGRCシステムを注視するだけでなく、業務責任者との対話を徹底することが重要です。

プロセスデータにアナリティクスを適用することで、トレンド、パターン、アノマリー（例外）、根本原因を特定し、可視化ツール、追加的なインサイト（洞察）、リスク予測を用いた効果的な報告書を作成します。

外部の特定領域専門家（SME）が必要かどうかの判断や、ゲスト監査人制度やローテーションプログラムにより特定の知識に対する内部アクセスが可能かどうかの判断が必要です。

どの企業でも、組織文化はビジネスパフォーマンスや市場の評判に大きな影響を及ぼします。組織文化を形作る「経営陣の言動」、組織文化を維持する「従業員の日々の行動（コンダクト）や振る舞い」、組織文化を補強する「組織構造」が、組織としての価値観との間に矛盾が生じた場合には、組織文化はリスク要因ともなりえます。

カルチャーリスク問題が注目されるのは、往々にして企業が危機に陥ったり事件が起きたりした後ですが、企業価値の実現や、組織のパフォーマンス向上に、組織文化を積極的に活用する経営者が増えてきています。そのためには、データに基づく組織文化へのインサイト（洞察）を獲得し、従業員の役割や行動に対する理解を深め、リスク問題に先行して必要な経営手段を策定するために、外部の市場シグナルを探るといった取り組みが必要となります。

内部監査は第3のディフェンスラインとして、組織文化に対して適切なアシュアランスやアドバイスを提供し、リスク対応状況を検証するなど、カルチャーリスクマネジメントに重要な役割を果たします。組織文化の監査は、リスク関連のポリシーや手続きを見直すことではなく、職務遂行上のリスク管理に対するアプローチを理解することです。強固なカルチャーを持つ組織には、価値観、プロセス、行動規範、社内外への公約、正しい決断を評価する報酬体系、正しいリスク管理、正しい行動（コンダクト）、すなわち、「正しい組織文化」に対する一致した、明確な認識が存在しています。

カルチャーリスク考慮すべき点：内部監査部門は、組織文化に対して適切なアシュアランスやアドバイスを提供する、リスク管理活動を検証するなど、より広範な組織レベルのカルチャーリスクマネジメントに関与する役割を担うべきです。その役割を果たすために、内部監査の過程で組織文化のさまざまな側面を考慮する必要があります。例えば、組織文化のステークホルダー（人事、リスク管理、コンプライアンス、顧客管理、セキュリティ、ITなど）との連携によってリスクの高い分野を特定して監査領域を最適化することや、内部監査のリスク評価に組織文化と従業員サーベイを関連付けること、組織文化の評価を監査プログラムに取り入れてカルチャーリスクの要素を監査報告に加えることが挙げられます。

また、内部監査部門はカルチャーリスクマネジメントに関するリーディングプラクティスとの比較によって、経営陣へ提言したり、組織のカルチャーリスクマネジメントプログラムの有効性を評価したりすることができます。カルチャーリスク評価は、目に見えないリスク要因、コントロールの有効性、法令不遵守、潜在的な不正行為（ミスコンダクト）に対するインサイト（洞察）をもたらすほか、往査や分析を組織文化と関連付けることができます。非公開のインタビュー、コントロールが機能している分野、フラストレーションが生じている分野、意図した効果を生んでいない分野などを特定するためのデータアナリティクスを評価活動として行うことができます。

拠点ごとの組織文化の違いを評価するとともに、リスクマネジメントフレームワークが特異な行動（コンダクト）を特定し、これに対応できているかどうかを確認することが重要です。

第2のディフェンスラインが、第1のディフェンスラインのカルチャーを可視化できるようにし、また経営陣や取締役会が、組織文化は絶えず取り組みを要するものであると認識できるよう、対策を講じる必要があります。

13

内部監査インサイト2018｜インパクトが大きな重点領域

プロジェクトやプロセスの管理に、アジャイル開発を採用する企業が増えています。IT企業やテクノロジーや金融機関では、アジャイル開発で先行していますが、短期間で効率的・革新的なシステム開発を目指す他の業種も、アジャイル開発を採用し始めています（その中には、内部監査部門が含まれます⸺後述参照）。その目指すところは、成果創出の迅速化、一層のユーザーニーズ重視、より明敏な意思決定、文書量の軽減などの実現です。

アジャイル開発を採用することで、従来よりも短期で実現され、かつ焦点の絞られた目標に基づいた意思決定と計算されたリスクの受け入れが容易となりますが、一方で統制面ではストレスの要因ともなり得ます。開発期間の短縮はエラーなどの要因となりますが、これはユーザーによる直接関与の増大というメリットで相殺されます。

ユーザーのニーズに応えることが優先されるため、セキュリティや規制への準拠などの要素が軽視される可能性があります。この問題は、アジャイル開発チーム全体に基準の浸透と適用を徹底することで軽減されます。開発過程における文書化作業が軽減されるため、何がどのような理由で、誰によって、いつ行われたかについての把握が困難と

アジャイル開発の監査なり、ガバナンスや統制面での対応が必要となります。

内部監査部門は、社内のアジャイル開発のプロセスやプロジェクトを、その潜在的な問題や影響と併せて把握しておく必要があります。

考慮すべき点：内部監査部門は、アジャイル開発のチームリーダーと話し合い、開発手法を理解し、責任の所在、スケジュール、リソース、成果物、リスクとコントロールを明確にする必要があります。短い工期の繰り返しで開発が進むため、成果の達成までに多くの変更がなされる一方で、文書化の省略が、リスクの可視化を妨げます。作業のペースが上がるにつれ、担当者に伝わる情報も簡素なものとなります。したがって、内部監査部門などのアシュアランスを担当する部署は、プロジェクトの立上げからリリース前の段階まで、開発フェーズ全体のリスクとコントロールを評価しなければなりません。

従来型の監査計画では十分にカバーできないため、早期の関与ときめ細かなモニタリングが重要となります。内部監査部門は、アジャイル開発への対応を向上させるため、開発プロジェクトによって何がもたらされるか（アジャイル開発プロジェクトとプロセスの目的や、デリバリーリスク、必要となるコン

トロール）を理解するとともに、リスクやコントロールの管理を含め、プロジェクトの成果がどのように達成されるのかを理解する必要があります。

アジャイル開発の管理手法を確立し、バランスがとれて持続可能な管理を継続するために、内部監査部門の積極的な関与が重要となります。

危機管理は、企業が危機的な状況に対処するうえで必要なストラクチャー、リーダーシップ、意思決定、コミュニケーションを提供します。危機管理には、事業の継続性、災害復旧、サイバー問題への対応、金融市場危機への対応に関する計画執行が含まれます。大企業の大半では、基本的なBCPや災害復旧計画を策定しており、特にIT、サプライチェーン、設備の分野で、この傾向が顕著です。

内部監査部門は、ローテーションベースでこれらの計画をレビューし、関連規程類への準拠に対するアシュアランスを提供し、事象発生後のレビューを行います。一方で、継続管理の対象は、財務、業務、サイバー、レピュテーション、その他重要資産に回復不可能なダメージを与え得るあらゆるイベントを含むものに拡大しています。

危機管理計画では、上級役員が必要に応じて執行すべきフレームワークとコンティンジェンシー・プラン（緊急時対応等）が策定されています。危機管理対応の責任は上級役員に委ねられており、内部監査部門はアシュアランスやアドバイザリーを提供する、おそらく唯一の組織となります。

危機管理考慮すべき点：どの組織でも、ガバナンス、プロセス、リスクを包含する危機管理対応プログラムは必要です。ガバナンスは、プログラム・オーナーシップとセキュリティ、法務、IT、内部監査、その他の部門の役割や責任を体系化します。危機対応、意思決定、回復、コミュニケーション、コンティンジェンシー・プランのためのプロセスが必要です。トレーニングやシミュレーションを通じたシナリオプランニングや対応能力向上には、関連リスクの特定が必要となります。これらの分野において、アシュアランスやアドバイスを提供するとともに、事象を予測し、ベストプラクティスを浸透させることが重要です。

経営陣が次の問いに答えられるかどうかを検討する必要があります。すなわち、「何に対して準備ができているのか？」、「どの程度の準備ができているのか？」という問いです。シミュレーションが定期的に行われ、全体の計画や、個別のイベントに対する戦略ファイルの開発・検証に活用されていることを確認する必要があります。

規制ガイダンスやチェックリストの範囲を超え、計画策定の有無だけでなく、その計画の実効性も監査の対象とすることが重要です。

業界固有の問題や、欧州GDPRに定められた違反の報告義務などの新たに導入される規制も考慮の対象に加える必要があります。内部監査部門は、この分野で付加価値を提供するためにスキルアップを図るか、外部専門家を活用することが、組織全体の利益に資するという事実を認識すべきでしょう。

14

内部監査インサイト2018｜インパクトが大きな重点領域

プロジェクトやプロセスの管理に、アジャイル開発を採用する企業が増えています。IT企業やテクノロジーや金融機関では、アジャイル開発で先行していますが、短期間で効率的・革新的なシステム開発を目指す他の業種も、アジャイル開発を採用し始めています（その中には、内部監査部門が含まれます⸺後述参照）。その目指すところは、成果創出の迅速化、一層のユーザーニーズ重視、より明敏な意思決定、文書量の軽減などの実現です。

アジャイル開発を採用することで、従来よりも短期で実現され、かつ焦点の絞られた目標に基づいた意思決定と計算されたリスクの受け入れが容易となりますが、一方で統制面ではストレスの要因ともなり得ます。開発期間の短縮はエラーなどの要因となりますが、これはユーザーによる直接関与の増大というメリットで相殺されます。

ユーザーのニーズに応えることが優先されるため、セキュリティや規制への準拠などの要素が軽視される可能性があります。この問題は、アジャイル開発チーム全体に基準の浸透と適用を徹底することで軽減されます。開発過程における文書化作業が軽減されるため、何がどのような理由で、誰によって、いつ行われたかについての把握が困難と

アジャイル開発の監査なり、ガバナンスや統制面での対応が必要となります。

内部監査部門は、社内のアジャイル開発のプロセスやプロジェクトを、その潜在的な問題や影響と併せて把握しておく必要があります。

考慮すべき点：内部監査部門は、アジャイル開発のチームリーダーと話し合い、開発手法を理解し、責任の所在、スケジュール、リソース、成果物、リスクとコントロールを明確にする必要があります。短い工期の繰り返しで開発が進むため、成果の達成までに多くの変更がなされる一方で、文書化の省略が、リスクの可視化を妨げます。作業のペースが上がるにつれ、担当者に伝わる情報も簡素なものとなります。したがって、内部監査部門などのアシュアランスを担当する部署は、プロジェクトの立上げからリリース前の段階まで、開発フェーズ全体のリスクとコントロールを評価しなければなりません。

従来型の監査計画では十分にカバーできないため、早期の関与ときめ細かなモニタリングが重要となります。内部監査部門は、アジャイル開発への対応を向上させるため、開発プロジェクトによって何がもたらされるか（アジャイル開発プロジェクトとプロセスの目的や、デリバリーリスク、必要となるコン

トロール）を理解するとともに、リスクやコントロールの管理を含め、プロジェクトの成果がどのように達成されるのかを理解する必要があります。

アジャイル開発の管理手法を確立し、バランスがとれて持続可能な管理を継続するために、内部監査部門の積極的な関与が重要となります。

危機管理は、企業が危機的な状況に対処するうえで必要なストラクチャー、リーダーシップ、意思決定、コミュニケーションを提供します。危機管理には、事業の継続性、災害復旧、サイバー問題への対応、金融市場危機への対応に関する計画執行が含まれます。大企業の大半では、基本的なBCPや災害復旧計画を策定しており、特にIT、サプライチェーン、設備の分野で、この傾向が顕著です。

内部監査部門は、ローテーションベースでこれらの計画をレビューし、関連規程類への準拠に対するアシュアランスを提供し、事象発生後のレビューを行います。一方で、継続管理の対象は、財務、業務、サイバー、レピュテーション、その他重要資産に回復不可能なダメージを与え得るあらゆるイベントを含むものに拡大しています。

危機管理計画では、上級役員が必要に応じて執行すべきフレームワークとコンティンジェンシー・プラン（緊急時対応等）が策定されています。危機管理対応の責任は上級役員に委ねられており、内部監査部門はアシュアランスやアドバイザリーを提供する、おそらく唯一の組織となります。

危機管理考慮すべき点：どの組織でも、ガバナンス、プロセス、リスクを包含する危機管理対応プログラムは必要です。ガバナンスは、プログラム・オーナーシップとセキュリティ、法務、IT、内部監査、その他の部門の役割や責任を体系化します。危機対応、意思決定、回復、コミュニケーション、コンティンジェンシー・プランのためのプロセスが必要です。トレーニングやシミュレーションを通じたシナリオプランニングや対応能力向上には、関連リスクの特定が必要となります。これらの分野において、アシュアランスやアドバイスを提供するとともに、事象を予測し、ベストプラクティスを浸透させることが重要です。

経営陣が次の問いに答えられるかどうかを検討する必要があります。すなわち、「何に対して準備ができているのか？」、「どの程度の準備ができているのか？」という問いです。シミュレーションが定期的に行われ、全体の計画や、個別のイベントに対する戦略ファイルの開発・検証に活用されていることを確認する必要があります。

規制ガイダンスやチェックリストの範囲を超え、計画策定の有無だけでなく、その計画の実効性も監査の対象とすることが重要です。

業界固有の問題や、欧州GDPRに定められた違反の報告義務などの新たに導入される規制も考慮の対象に加える必要があります。内部監査部門は、この分野で付加価値を提供するためにスキルアップを図るか、外部専門家を活用することが、組織全体の利益に資するという事実を認識すべきでしょう。

15

内部監査インサイト2018｜インパクトが大きな重点領域

アジャイル開発の原則やプラクティスは、未来志向の内部監査に採用されます。アジャイル型内部監査は、新しい問題への迅速な対応、ステークホルダーとの連携、デリバリーサイクルの短縮、効率化されたレポーティング4、監査アプローチの変更を意味します。例えば、定期的なスケジュールに従うのではなく、今、特に緊急で重要な監査を行うなどの変更です。内部監査が完了するまで待つことなく、週次、日次単位で発見事項のアップデートを行います。また、報告書は最小限に留め、より重要な項目に焦点を絞ったインサイト（洞察）についてレポートします。

アジャイル型内部監査は、監査をリスクベースでリアルタイムなものとすることで、内部監査に変革をもたらすという力を秘めています。

考慮すべき点：まず、アジャイル型内部監査で何を対象とするか（アジャイル型内部監査で対象としないものは何か）を明確にします。柔軟な手法である一方で、アジャイル（または「スプリント」、「スクラム」、「バックログ」などの呼称）を使えば、アジャイル型内部監査になるというわけではありません。アジャイル型を採用する監査部門は、アジャイル手法を内部監査のニーズに適応させます。アジャイル手法が、自部門で活用できるのか、またどういった状況で活用できるのかについては皆様次第です。迅速かつ適切なレポーティングが求められる領域や、システム導入や合併後の統合といった高リスクのプロジェクト、内部監査部門が限られた資源で多くの成果を求められる領域などが、アジャイル型内部監査が期待できる分野です。

アジャイル型内部監査アジャイル手法については、ソフトウエアやシステム開発に携わる内部の専門家から学んだり、外部のサポートを得たりすることができます。アジャイル手法に発想の転換や新たな手法の採用が必要であり、全ての内部監査部門で適応できるわけではありません。一方で、速いペースの仕事やステークホルダーへのコミットメントを楽しむことができ、アジャイル手法の導入による大きな成果を享受したい内部監査部門は、導入を検討すべきです。

4 Becoming agile: A guide to elevating internal audit’s performance and value, 2017、デロイト。（英語サイト）<https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-advisory-agile-internal-audit-part1-introduction-to-elevating-performance.pdf>

今後1年間は、デジタル化への対応が極めて重要となることは明らかです。前述した13項目のうち、半数以上が直接的・間接的にITに関連しています。内部監査部門は保証（Assurance）と助言（Advisory）業務を優先すべきですが、組織でのテクノロジーの活用やテクノロジーの活用による監査業務の強化も重要です。

将来を見据えた内部監査部門は、保証（Assurance）および助言（Advisory）の提供や、デジタルテクノロジーを業務に導入することに留まらず、テクノロジー

これからの1年間の導入に伴う課題やリスクを予測（Anticipate）しています。新たなテクノロジー、ストラテジー、ビジネスモデルに対するステークホルダーの動向を予測することにより、そうした動きへの内部監査部門や組織全体の体制を整えることができます。このように、内部監査部門は、ステークホルダーの直面する最も困難な一部の分野、すなわち、新しいリスクが出現すると同時にこれまでになかった価値の創出をも実現し得る新たな分野においてその支援役を担うことで、内部監査部門のインパクトと影響力を目に見える有用な形で高めているのです。

16

内部監査インサイト2018｜インパクトが大きな重点領域

アジャイル開発の原則やプラクティスは、未来志向の内部監査に採用されます。アジャイル型内部監査は、新しい問題への迅速な対応、ステークホルダーとの連携、デリバリーサイクルの短縮、効率化されたレポーティング4、監査アプローチの変更を意味します。例えば、定期的なスケジュールに従うのではなく、今、特に緊急で重要な監査を行うなどの変更です。内部監査が完了するまで待つことなく、週次、日次単位で発見事項のアップデートを行います。また、報告書は最小限に留め、より重要な項目に焦点を絞ったインサイト（洞察）についてレポートします。

アジャイル型内部監査は、監査をリスクベースでリアルタイムなものとすることで、内部監査に変革をもたらすという力を秘めています。

考慮すべき点：まず、アジャイル型内部監査で何を対象とするか（アジャイル型内部監査で対象としないものは何か）を明確にします。柔軟な手法である一方で、アジャイル（または「スプリント」、「スクラム」、「バックログ」などの呼称）を使えば、アジャイル型内部監査になるというわけではありません。アジャイル型を採用する監査部門は、アジャイル手法を内部監査のニーズに適応させます。アジャイル手法が、自部門で活用できるのか、またどういった状況で活用できるのかについては皆様次第です。迅速かつ適切なレポーティングが求められる領域や、システム導入や合併後の統合といった高リスクのプロジェクト、内部監査部門が限られた資源で多くの成果を求められる領域などが、アジャイル型内部監査が期待できる分野です。

アジャイル型内部監査アジャイル手法については、ソフトウエアやシステム開発に携わる内部の専門家から学んだり、外部のサポートを得たりすることができます。アジャイル手法に発想の転換や新たな手法の採用が必要であり、全ての内部監査部門で適応できるわけではありません。一方で、速いペースの仕事やステークホルダーへのコミットメントを楽しむことができ、アジャイル手法の導入による大きな成果を享受したい内部監査部門は、導入を検討すべきです。

4 Becoming agile: A guide to elevating internal audit’s performance and value, 2017、デロイト。（英語サイト）<https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-advisory-agile-internal-audit-part1-introduction-to-elevating-performance.pdf>

今後1年間は、デジタル化への対応が極めて重要となることは明らかです。前述した13項目のうち、半数以上が直接的・間接的にITに関連しています。内部監査部門は保証（Assurance）と助言（Advisory）業務を優先すべきですが、組織でのテクノロジーの活用やテクノロジーの活用による監査業務の強化も重要です。

将来を見据えた内部監査部門は、保証（Assurance）および助言（Advisory）の提供や、デジタルテクノロジーを業務に導入することに留まらず、テクノロジー

これからの1年間の導入に伴う課題やリスクを予測（Anticipate）しています。新たなテクノロジー、ストラテジー、ビジネスモデルに対するステークホルダーの動向を予測することにより、そうした動きへの内部監査部門や組織全体の体制を整えることができます。このように、内部監査部門は、ステークホルダーの直面する最も困難な一部の分野、すなわち、新しいリスクが出現すると同時にこれまでになかった価値の創出をも実現し得る新たな分野においてその支援役を担うことで、内部監査部門のインパクトと影響力を目に見える有用な形で高めているのです。

Member ofDeloitte Touche Tohmatsu Limited

© 2018. For information, contact Deloitte Touche Tohmatsu Limited.

デロイト トーマツ グループは日本におけるデロイト トウシュ トーマツ リミテッド（英国の法令に基づく保証有限責任会社）のメンバーファームであるデロイト トーマツ合同会社およびそのグループ法人（有限責任監査法人トーマツ、デロイト トーマツ コンサルティング合同会社、デロイト トーマツ ファイナンシャルアドバイザリー合同会社、デロイト トーマツ税理士法人、DT弁護士法人およびデロイト トーマツ コーポレート ソリューション合同会社を含む）の総称です。デロイト トーマツ グループは日本で最大級のビジネスプロフェッショナルグループのひとつであり、各法人がそれぞれの適用法令に従い、監査・保証業務、リスクアドバイザリー、コンサルティング、ファイナンシャルアドバイザリー、税務、法務等を提供しています。また、国内約40都市に約11,000名の専門家を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はデロイト トーマツ グループWebサイト（www.deloitte.com/jp）をご覧ください。

Deloitte（デロイト）は、監査・保証業務、コンサルティング、ファイナンシャルアドバイザリーサービス、リスクアドバイザリー、税務およびこれらに関連するサービスを、さまざまな業種にわたる上場・非上場のクライアントに提供しています。全世界150を超える国・地域のメンバーファームのネットワークを通じ、デロイトは、高度に複合化されたビジネスに取り組むクライアントに向けて、深い洞察に基づき、世界最高水準の陣容をもって高品質なサービスをFortune Global 500®の8割の企業に提供しています。“Making an impact that matters”を自らの使命とするデロイトの約245,000名の専門家については、Facebook、LinkedIn、Twitterもご覧ください。

Deloitte（デロイト）とは、英国の法令に基づく保証有限責任会社であるデロイト トウシュ トーマツ リミテッド（“DTTL”）ならびにそのネットワーク組織を構成するメンバーファームおよびその関係会社のひとつまたは複数を指します。DTTLおよび各メンバーファームはそれぞれ法的に独立した別個の組織体です。DTTL

（または“Deloit te Global”）はクライアントへのサービス提 供 を行 いません 。Deloit teのメンバーファームによるグローバルネットワークの詳細は www.deloitte.com/jp/about をご覧ください。

本資料は皆様への情報提供として一般的な情報を掲載するのみであり、その性質上、特定の個人や事業体に具体的に適用される個別の事情に対応するものではありません。また、本資料の作成または発行後に、関連する制度その他の適用の前提となる状況について、変動を生じる可能性もあります。個別の事案に適用するためには、当該時点で有効とされる内容により結論等を異にする可能性があることをご留意いただき、本資料の記載のみに依拠して意思決定・行動をされることなく、適用に関する具体的事案をもとに適切な専門家にご相談ください。

Japan Contacts

仁木　一彦有限責任監査法人トーマツリスクアドバイザリー事業本部パートナーkazuhiko.niki@tohmatsu.co.jp

徳永　貴志有限責任監査法人トーマツリスクアドバイザリー事業本部ディレクターtakashi.tokunaga@tohmatsu.co.jp

粟野　友仁有限責任監査法人トーマツリスクアドバイザリー事業本部ディレクターtomohito.awano@tohmatsu.co.jp

東　敏文有限責任監査法人トーマツリスクアドバイザリー事業本部シニアマネジャーtoshifumi.azuma@tohmatsu.co.jp

Global Contacts

Terry Hatherellグローバル内部監査リーダーthatherell@deloitte.ca+1 416 643 8434

Neil White内部監査アナリティクス担当グローバルリーダーnwhite@deloitte.com+1 646 436 5822

Peter Astley内部監査リーダー、欧州・中東・アフリカ担当pastley@deloitte.co.uk+44 20 7303 5264

Kristopher Wentzelグローバル内部監査リーダー、米州担当kwentzel@deloitte.ca+1 416 643 8796

Sandy Pundmann米国内部監査リーダーspundmann@deloitte.com+1 312 486 3790

Porus Doctor内部監査リーダー、アジアパシフィック担当podoctor@deloitte.com+91 22 6185 5030

Sarah AdamsIT内部監査、グローバルリーダーspundmann@deloitte.com+1 713 982 3416

内部監査インサイト2018インパクトが大きな重点領域