DX推進下でのモニタリング改革

コーポレートガバナンス・コードにおける、モニタリングを含むガバナンスの重要性の再確認、3線モデルの徹底した運用、および内部統制報告制度の改訂などが行われています。加えて、デジタルテクノロジーの進展、およびビジネスプロセスのデジタルトランスフォーメーション（以下、「DX」という）の推進は、内部監査やモニタリングに大きな影響を及ぼすと考えます。

本稿では、ビジネスプロセスのDXが進むなか、内部監査部門によるモニタリング業務にどのような影響があるのか、どのような対応が望まれるのかについて解説します。また、全社的に本当の意味での（狭義の）DXを実現するためには、DX推進態勢を対象としたモニタリングが重要となるため、DX推進態勢の監査について解説します。

なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

POINT 1
モニタリングにおける潮流を理解する
今後のモニタリングを考えるにあたっては、3線モデルの徹底した運用、内部統制報告制度の改訂影響の考慮、デジタルテクノロジーやデータ活用が重要である。リモート監査への移行により、監査の効率化・リソースの有効配分が実現できる。また、内部監査機能のありたい姿に合わせて、より戦略的・中長期的な内部監査部門の人材採用・育成戦略が重要である。

POINT 2
モニタリングの効率化にはDX利用が必須である
モニタリング対象を効率的に監視するためには、テキストマイニング、財務データ分析、プロセスマイニングなどDX利用が重要である。各子会社の財務数値の異常兆候を確認し、次に、異常兆候のある子会社を対象に仕訳分析で詳細を確認するアプローチが有効である。また、リスクマネジメントの効率化のため、GRCツールを活用することも有用である。

POINT 3
全社的にDXを推進するには、内部監査部門自体のDXが必要である
業務や企業文化の抜本的な変革である（狭義の）DXを全社的に推進するためには、DX推進のフレームワークに即して、DX推進態勢を対象としたモニタリング（内部監査）が重要である。内部監査にあたっては、内部監査部門が監査の目線を改革すること、内部監査部門自体のDXが必要である。

I.モニタリングにおける潮流
II.モニタリング手法のDX
III.DX推進態勢のモニタリング

コーポレートガバナンス・コードにおいてガバナンスを効かすためには、先を見越した全社的リスクマネジメント（ERM）体制の整備とともに、経営陣による適切なコンプライアンスの確保とリスクテイクを支える仕組みとしての内部統制が重要な基盤をなすと捉えられています。これは、「コーポレートガバナンス」を推進するうえで、「リスクマネジメント」と「内部統制」、「コンプライアンス」を相互に関連させて、「ガバナンス」を支える必要があるということです。そして、その実効性を「モニタリング」が維持・検証することになります（図表1参照）。

本稿では、有機的一体に機能する仕組みの実効性を維持・検証する「モニタリング」、特に内部監査部門におけるモニタリングにフォーカスし、その潮流を理解するとともに、企業が今後取るべきアクションの方向性を考察します。

企業のグローバル組織体系（事業本部や地域統括機能などの存在）により各種形は異なりますが、一般的な3線モデルにおける「モニタリング」は図表2のようになります。

（1）第1線の上席者のモニタリングは、監視を目的とする監督ではなく、所管範囲の業務品質を維持し、常に仕組み・方針を構築・更新し、運用状況を確認するとともに、業務レベルを引き上げるべき指導・教育を行います。

（2）第1線に対する第2線（全社部門）のモニタリングは、当該部門の専門性と事業部門からの中立性・客観性を活かして、あらかじめ各領域における管理業務の全社共通方針を策定・通知し、必要に応じて業務執行部署を指導・支援します。

（3）第3線のモニタリングは、代表取締役の指揮下にあって、業務執行部門・全社部門と独立性を保ちながら、内部統制システムの有効性のチェックにより、その適切性を保証し、必要な助言を提供します。

VUCAな時代と言われる昨今、Volatility（変動性）、Uncertainty（不確実性）、Complexity（複雑性）、Ambiguity（曖昧性）に対応するためには、優先順位の高いリスクに対して全社的に取り組む「リスクマネジメント」と、業務設計とその業務動作としてすべての部門において組み込まれるべき「内部統制」を相互関連させて、タイムリーかつ柔軟に取り組む必要があります。

また、2023年4月7日に、金融庁 企業会計審議会より公表された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」では、不正リスクについて考慮することの重要性や考慮事項が明示され、制度対応としてもリスクに対する捉え方の拡大が見られます。

そのため、グローバルで拡大するリスク領域を、3線モデルでどのように効率的・効果的にカバーし、モニタリングしていくべきか、企業の実態に合わせた形で解が求められています。部分監査から全体監査への転換が求められるなか、徹底したリスクアプローチとともに、近年では「モニタリング」のDX化の重要性がより高まっています。

人口知能（AI）に代表されるテクノロジーの進展とDXの推進は、内部統制やモニタリングに大きな影響を及ぼします。特に第3線による監査は、パンデミックやペーパレス化による環境変化を受け、DX対応の必要性が高まっています。

たとえば、新型コロナウイルス感染症（以下、「COVID-19」という）の影響が長期化したことで、内部監査は現地へ行く監査（オンサイト監査）から、現地へ行かない監査（リモート監査）への移行（部分移行含む）が増えています。リモート監査への移行により、監査の効率化・リソースの有効配分が期待できます。加えて、リモート監査と親和性の高いテクノロジーやデータを、リスク評価に基づいた監査計画から実施・報告に至るまで活用することで、有効性・効率性の向上も期待できます（図表3参照）。

部分監査から全体監査への転換が求められるなか、第3線は、内部統制・内部監査リテラシーだけでなく、ISO、品質、セキュリティ、環境などのスキルが求められるのに加えて、テクノロジーやデータを活用する監査前提では、データ分析スキルも必要とされます。また、内部監査の高度化の観点から、準拠性監査、リスクベース監査を経て経営監査の機能を持ち合わせるステージでは、より組織全体のビジネス・経営戦略を理解した人材の配置が必要となります。昨今重要性が高まっている企業のDX推進自体のモニタリングはその一例であり、詳細はIII.「DX推進態勢のモニタリング」で解説します。

このように内部監査機能のありたい姿に合わせて、より戦略的・中長期的な人材採用・育成戦略が重要となります。

モニタリング手法をDXすることで、モニタリング対象を効率的に監視し、問題の早期把握とその対応による損失回避や低減が図られるだけでなく、業務効率や業務改善も期待できます。

以下では、モニタリング手法のDXの例を紹介します。

「テキストマイニング」とは、自然言語解析の手法を用いて、大量の文章データ（テキストデータ）から、有益な情報を抽出する手法のことです。大量の文章からキーワードやトピックを抽出し、注意すべきテキストを収集・分類・整理することで、効率的で付加価値の高い分析が可能となります。

活用例としては、社内の稟議書を時系列分析することによって要注意案件を特定することが挙げられます。稟議書の大量の文章データから要注意ワード、たとえば減損回避につながる可能性のある『計画の見直し』などのワードを設定し、稟議書での該当件数や影響額（稟議金額）を可視化するのです。それにより、効率的に要注意案件を特定し、確認することが可能となります。

「財務データ分析」とは、企業の財務諸表に含まれる数値データを分析して業績評価する手法のことです。企業価値の毀損を回避するには、財務数値の実績について会計処理の重要な誤謬や不正などがないかを継続的に確認し、早期発見することです。

活用例としては、グループ企業の財務諸表の数値（月次や決算の残高数値）、仕訳（日々の活動履歴）、経費データ（個人の不正に着目）などを対象にしたデータ分析が挙げられます。まずは、各子会社の財務数値の異常兆候を確認し、次に、異常兆候のある子会社を対象に仕訳分析で詳細を確認するアプローチが有効と考えます。ポイントは、異常兆候を各子会社の状況に応じて効果的に抽出する分析シナリオを設定することです。その際には、企業の業種特性や活用できるデータの制約を意識した設定が必要となります。

また、子会社分析は、異常兆候を視覚的に捉えます。そのため、子会社ごとのリスクをスコアリングで把握すること、財務数値については長期トレンドで分析することが有用となります。

仕訳分析は、より取引実態に近い分析が可能です。ただし、仕訳データの質は、仕訳入力に係るルールの準拠状況（例:日々仕訳入力するルールにもかかわらず、月次で一括して1つの仕訳として入力するなど）やシステムの制約（例：誰が仕訳入力したのかがシステム上の履歴に残らない）などの影響を受けます。このため、仕訳データに不足がないか、データの活用が分析シナリオと整合しているか、抽出結果は有用かを早期に診断し、課題を明確にすることは重要です（図表4参照）。

仕訳分析は、親会社で各子会社の仕訳データを入手して集約化された分析ができれば、海外などリモート環境下であっても詳細レベルでモニタリングを実施することができます。

あずさ監査法人が開発し提供するSaaS型分析業務支援プラットフォーム財務データ分析ツール「Financial Data　Analytics II（FDA II）」を使った分析イメージについては、図表5を参照ください。

「プロセスマイニング」とは、業務システムの取引ログなどから収集した取引データを対象に、業務プロセスを網羅的・客観的に視覚化することで、プロセスの実態や逸脱したプロセスフローを特定し、リスクの高いプロセスや取引を分析する手法です。具体的には、特定の業務プロセスの取引フローを可視化し、通常とは異なる業務フロー（取引パターン）がないかを分析します（図表6参照）。

業務プロセスのパターンを網羅的に把握することができれば、リスクの高い取引の特定や業務改善を図ることが可能となります。たとえば、通常の在庫販売以外の直送販売取引などのように見過ごされていた例外プロセスの見える化、受注から出荷までのリードタイムが極端に短い（ゼロ）取引や極端に長い（365日）取引など高リスクの例外処理の特定などが挙げられます。

地政学リスクやESGリスクなど、リスクが多様化したことで、近年では継続的なリスクの棚卸や優先順位の決定、リスク対応の強化がより重要となっています。こうしたガバナンス・リスクマネジメント・コンプライアンス（GRC）領域における各種取組みや課題への対応は、組織横断的に進めることが求められます。しかしながら、複数部署や子会社での利用を意識した管理ツールを利用していない場合、業務の重複などによる非効率が発生し、プロジェクトが進まないケースがあります。

そこで、モニタリングを効率化するために、GRCツールを活用します。そのメリットには、（1）企業が重視するルールやポリシーが一元的に共有管理されるため、リスク対応・ガバナンスなどへの意識の向上が期待できる、（2）複数部署による対応状況や改善状況をスピーディーに確認できる、（3）リスク状況に変化が生じた場合に、関連する部署等や影響の把握、見直しに関する対応が容易となることが挙げられます。

一般的にDXの推進は、（1）紙からデジタルデータへの置換えである「デジタイゼーション」、（2）データとデジタル技術を活用した効率化や高度化である「デジタライゼーション」、そして（3）業務や企業文化の抜本的な改革である「（狭義の）DX」の3つのステップで表現されます。日本企業の多くはこの分類によるところの「デジタイゼーション」や「デジタライゼーション」に留まると言われてきました。どのステップも広義の意味ではDXと言われていることから、「デジタイゼーション」や「デジタライゼーション」への取組みであってもDX推進になりますし、その施策は多岐に渡ります。

DX施策は企業の現場で進めるDXとマネジメント層が推進するDXのイメージに差があったり、組織間の連携が困難であったりすることから、全社的な取組みとするのが困難であることが多く局所的になりがちです。

DXを確実に成功へ導くために、トップダウンとボトムアップのDX施策の整合を図り全社的に各領域の環境を整備することが「DX推進態勢」の目的です。「（狭義の）DX」は、業務や企業文化の抜本的な変革です。その目指す姿はさまざまで、他企業の取組みは参考にはなるものの、そのまま自社に取り入れることはできません。しかし、DXを実現しやすくする環境は存在し、そのレベルを向上させていくことで、DXを成功へ導くプロセスである「DX推進態勢」を整備することはできます。

近年では、DXを成功へ導く推進態勢について、一定のあるべき姿が見えてきています。加えて、DX推進が先行している金融機関や一部の事業会社では、DX推進態勢を対象とした内部監査が急速に広まっています。

それでは、「DX推進態勢」とはどういうものなのでしょうか。あずさ監査法人Digital Innovation部が多くの事例を基に定義したDX推進のフレームワークでは「Strategy」、「Governance」、「Trust」、「People」、「Process」、「Analytics & Insight」、「Technology」、「Data」の8つの領域に分類されます。各領域の内容については図表7を参照ください。

DX推進態勢の監査は、DX推進のフレームワークの各領域に即して監査手続きを実施します。ただし、監査対象領域が広範囲に及ぶことから、事前に監査スコープを十分に検討することが重要となります。その際には、リスクアプローチの視点と進歩の速いデジタルテクノロジーの領域である点を考慮して、今年度に優先して対応すべき部分と次年度に取り組む部分を検討します。

また、内部監査の実施においては、各項目に関する施策の有無のみでなく、施策の浸透度や、執行側と現場の認識の相違がないかを確認することも重要です。

DX推進態勢の監査対象について、具体的な例を紹介します。

（1）「Strategy」領域：監査の着眼点は、経営戦略、事業戦略、DX推進戦略、IT戦略の妥当性が考えられます。DX推進においては、経営ビジョンの中身の1つとしてDX推進戦略が掲げられていることが重要です。監査項目は、企業の実状に合わせて設計することになりますが、たとえば、長期的な環境変化を見据えた全社のDX戦略があるか、その戦略は妥当なプロセスを経て承認されているか、実現のためのテクノロジー戦略が存在するか、DX推進領域が明確になっているか、成果測定のためのKPIが設定されているかなどが考えられます。

（2）「Data」領域：データマネジメントは、DXの攻めと守りの双方において非常に重要な位置付けになります。監査項目は、従来から監査対象となることが多かったプライバシー、情報セキュリティ、データ品質に加えて、データの利活用を促進するための仕組みが整備されているかなどが考えられます。

上述のように、DX推進態勢の監査は、企業の全領域に及ぶこと、監査対象にデータやテクノロジーの利活用領域が入ってくることが特徴です。したがって、内部監査を実行するには、内部監査部門が監査の目線を改革すること、すなわち内部監査部門のDX推進が必要不可欠です。DXを実現した内部監査組織として、監査上の発見事項を通した助言を行うことで、企業のDX推進をサポートすることが期待されます。

有限責任 あずさ監査法人
アドバイザリー統轄事業部
マネージング・ディレクター　竹内 祥和
ディレクター 阿部 哲治
テクニカル・ディレクター　三浦 一成
Digital Innovation部
ディレクター　島田 武光