agile audit
法務財務税務と会計03 2月, 2021

よりアジャイルになるための即実践3か条

世界が目まぐるしく変化する今日、リスク環境も変わり続けています。社内外の要因によって戦略の選択や経営上の新たなリスクが次々に浮上し、それに伴うリスクエクスポージャーのレベルもかつてないほどのペースで深刻化しています。内部監査チームは単に過去の事象を受け身でレビューするだけでなく、それを超えた保証の提供を求められています。内部監査を担当する私たちは、組織の課題や直面するリスク環境をマクロレベルで深く洞察し、マネジメントと監査委員会が正しい方向に進んでいけるよう助言しなければなりません。

リスクマネジメントへの厳しい要求と相まって、ステークホルダーが保証の提供者に期待するレベルも高まっています。この状況に対して、「伝統的な内部監査手法」固有の弱点を批判的に分析して、内部監査の構成要素をどう再設計すれば組織により大きな価値をもたらせるかを考えることが重要になってきました。タッチストーンリサーチの内部監査に関する調査によれば、70%以上の組織がアジャイル監査手法を採用しているか、もしくは採用予定と報告されています。 内部監査チームは、長い間、適時性の問題を批判されてきました。ステークホルダーは最終監査報告書の形で監査結果がもたらされるまでにかかる時間に不満を感じています。リスク環境のボラティリティが高まる中、マネジメントは長文の監査報告書をゆっくり待っているわけにはいきません。監査報告書をより早く受け取ることができれば、その分迅速に対応できるのです。

協調が尊重される今日、監査人が考える「頼れるアドバイザー」というイメージは、現実の内部監査手法からはかけ離れているように思われます。協調というよりも、「トップダウン」と捉えられがちであるためです。この手法は、作業の本来の性格を考えれば、不正行為の調査には合っています。しかし、監査という点では、より協調的な態度で臨むことで、あまりなじみのない業務プロセス分野であっても、監査人は経験豊富な水先案内人の助けを得てより効率よく仕事を進められることもあります。すべての保証活動に一律で「トップダウン」の手法を適用することは、よくても被監査側の抵抗、悪くすれば監査側と被監査側の対立につながりかねません。いずれにしても、頼れるアドバイザーとしての内部監査チームの立場や、組織のリスク対応能力に惨憺たる結果をもたらすことになります。

監査最終段階で行われる監査の発見事項の詳細についての確認と、マネジメントの回答を受けての最終決定に必要な時間が長すぎることは、適時性と合わせて伝統的監査手法の課題の一つです。伝統的監査手法では通常こうしたやり取りは監査の最終段階でのみ行われるため、最終監査報告の完成も、肝心のマネジメントによる対応実施の開始もさらに遅れます。このプロセスが重なると、リスクは特定されるものの軽減されないままとなる、あるいはコントロールの不備がさらに長く放置されるという事態が生じます。結果として、監査チームとマネジメントはいらいらを募らせ、ステークホルダーは失望し、さらには組織目標の達成まで危うくなってしまいます。

agile audit

監査報告書の草案作成に2週間、マネジメントの回答受領に2週間、最終報告作成に1週間、合計すると結果を伝えるまでに平均5週間かかります。

agile audit

協調的な手法を使って価値のある成果をタイムリーに提供するために、監査チームはソフトウェア開発用に編み出された「アジャイルソフトウェア宣言」のアジャイルの12の原則に基づいたアジャイル手法の採用を検討すべきです。各監査部門はこれらのアジャイル原則を監査プロセス全体にバランスよく取り込んで、完全にアジャイルな手法を目指して努力することで「いいとこ取り」を実践します。

よりアジャイルになるために監査部門が今日から始められる3 か条:

  1. リスク評価の更新頻度を増やすこと

    リスクに基づいた監査手法の原点はリスク評価です。アジャイルな監査部門は新たに浮上したリスクに常に焦点を合わせることによってリスク環境における変化に対応します。従来、組織のリスク評価は年に一度行われていました。しかし、今日のようにリスク環境がめまぐるしく変わる中、年に一度のリスク評価ではすぐに状況にそぐわないものとなり、監査計画の妥当性も損なわれかねません。

    監査チームが適切な保証を提供するためには、よりアジャイルに働きかけ、マネジメントが悩んでいることを常に反映したリスク評価に努めなければなりません。つまり、リスク評価の更新は年に一度ではもはや済まされず、頻度を増やす必要がある、ということです。

    タッチストーンリサーチの内部監査に関する調査によれば、回答者の61%はリスク評価を年に一度更新していると答え、部署がアジャイル手法を取るようになるにつれこの更新頻度は高まります。アジャイル手法を実施している監査チームのうちリスク評価が年に一度である割合は28%だけで、大半のチームは四半期に一度以上の頻度で更新しています。

    agile audit

  2. 真にリスクに基づいた監査手法を採用すること

    組織のマネジメントは常に経費に目を光らせていて、内部監査であってもこの監視を免れることはありません。監査チームは、複雑さが増す中で従来以上に広範囲にわたって保証とコンサルティングのサービスを提供し、その真価を示し続けることが求められています。マネジメントや監査委員会は、組織内でリスクが高まっている分野において監査部門がしっかりとした判断を示すことも期待しています。

    重大なリスク分野に焦点を絞ることで、目標の枠組みがより明確になります。真にリスクに基づいた手法は効率化の基盤ともなります。明確に定義され絞り込まれた監査目標を持つアジャイルな監査チームは、ただ単純にリスク評価で特定された網羅的なリスクのリストに基づいて監査計画を設計・遂行することはしません。監査計画の作成に際しアジャイル監査チームは、合理的な保証の担保、リスクプロファイル、リソースおよび付加価値の間でバランスを取ります。

    タッチストーンリサーチの内部監査に関する調査では、監査チームがアジャイル手法を採用した場合、対象とするリスクを詳細に調べ、最もリスクの高いところに重点を置くという結果が出ています。

    監査チームがよりリスクの高い分野に素早く方向を定めることができるのがアジャイル手法を活用する利点です。監査に関与するマネジメントと最前線の業務スタッフは、リスクの低い事業分野をカバーする監査手続きに取られる労力が軽減されます。監査委員会としても、監査チームの貴重な労力と時間をより付加価値の高い保証作業に集中できる利点があります。柔軟な監査計画によるアジャイル手法は、価値のある有意義な保証を組織に提供することによって、監査委員会の満足度と監査結果への信頼度の向上を目指します。

    アジャイルチームの40%はビジネスに歩調を合わせて監査範囲を定めます。

  3. 頻繁なコミュニケーションとより緊密な協調体制の構築に努めること

    監査チームは価値の提供における焦点を絞るため、アジャイル手法の採用へと向かっています。特定はされたが軽減されていない、組織の目標に対する脅威となるようなリスクに組織が直面すると、監査の発見事項の価値は時間と共に急速に失われていきます。アジャイルなツールやプロセスを使えば、監査チームは監査の発見事項のタイムリーな伝達を計画・実行して、その価値を保つことができます。

    アジャイルなチームは一般的に、自らの業務を、重点リスクやハイリスクを中心として時間を区切った「スプリント」に分割します。この手法には議論の場が組み込まれていて、監査チームと被監査組織の間でのコミュニケーションの頻度を確実に増やし、より緊密な協調体制を促進します。

    各スプリントでは、大抵は監査報告書の草案作成を始める前に、監査チームはすでに問題を議論または解決し、指摘事項のリストを構築しています。各スプリントの最後に監査の発見事項をマネジメントと共有します。これによりマネジメントも最終監査報告書が発行される前に自らの見解をまとめ、あるいはこれらの問題に対応することすら可能になります。

    最終監査結果の報告のタイミングは次の二つの重要活動で決まります。

    • 監査報告書草案の発行
    • マネジメント回答の受領

    伝統的な監査チームとアジャイル監査チームを比較したところ、タッチストーンリサーチの内部監査に関する調査では、アジャイル監査チームの方が監査報告書草案を一週間以内に発行する割合が16%高いことが判明しました。

    タッチストーンリサーチの内部監査に関する調査からはまた、アジャイル活動を実施していないチームの29%は、推定/計画時間と実際にかかった時間を比較することによる追跡に力を入れていることが判明しました。これは確かに監査の完了に要した稼働率と時間の計算には役立つかもしれませんが、実施された作業や組織に対するリスクについての結論に透明性をもたらすものではありません。

    アジャイルな監査チームは「かんばん」ボードを使用することが多く、一部のケースでは、進行中の作業の見える化のためにこれを被監査組織と共有することすらあります。これは「障害」の早期発見に役立ちます。かんばんボードは簡単なものから複雑なものまで多種多様です。よりアジャイルになることを目指すチームは、既存のツールを活用して見える化を進めていくことで、監査チーム内および被監査組織との間での協調の基礎を確立します。

    agile audit
    一週間以内に監査報告書草案を発行するチームの割合
    agile audit
    一週間以内に最終監査報告を発行するチームの割合
    agile audit
    一週間以内に最終監査報告を発行するチームの割合

マネジメントとの協調的基盤を確立し、コミュニケーションの頻度を高めることはアジャイル手法の心臓部です。これらが揃うことによって、より多くの監査チームが一週間以内にマネジメント回答を受領し最終監査報告を発行できるようになります。

今日、さらにアジャイルに動こうとする監査チームは、よりオープンなマネジメントとのコミュニケーションをより頻繁に組み込み、協調的な文化を構築することで、監査による貴重な洞察の適時性を向上させることができるのです。

Sio Naidoo
プロダクトマネジャー、 チームメイト・アジアパシフィック
シオ・ナイドーはウォルターズクルワーのチームメイト・アジアパシフィックのプロダクトマネジャーです。アジア太平洋地域のニーズに常に適応したチームメイト監査テクノロジーを構築する責任者です。
ソリューション
TeamMate +監査
監査管理
世界をリードする監査管理ソフトウェア–あらゆる規模の監査部門に力を与えます