金融機関の内部監査を高度化するために今、考えることは？

2006年5月に施行された新会社法、同年6月に成立した金融商品取引法（日本版SOX法）で、日本における企業の制度としての内部統制強化が図られました。それから10年以上が経過しますが、金融機関の不祥事は後を絶たず、金融庁による行政処分が続いています。

このような状況のなかで昨年6月、金融庁は「金融機関の内部監査の高度化に向けた現状と課題」を公表しました。
本コラムでは、「金融機関の内部監査の高度化に向けた現状と課題」を紐解きながら、これからの日本の金融機関に求められる内部監査と、その実現のために活用できるテクノロジー（IT）をご紹介します。

1.金融庁発表「金融機関の内部監査の高度化に向けた現状と課題」とは？

2.金融機関の内部監査の使命

3.内部監査で活用できるテクノロジー（IT）

4.監査の対象およびソリューション

5.まとめ

金融庁発表「金融機関の内部監査の高度化に向けた現状と課題」とは？

金融庁は、令和元年6月、「金融機関の内部監査の高度化に向けた現状と課題」を公表しました。
これは、金融庁が、金融システム安定のためには金融機関が持続可能なビジネスモデルを構築して「業務の適切性」と「財務の健全性」を確保することが重要で、そのために内部監査を含むガバナンスが有効に機能していることが必要だと考えているためです。

「金融機関の内部監査の高度化に向けた現状と課題」には、金融庁が大手金融機関を対象に実施した内部監査のモニタリング結果や、金融庁が抱いている問題意識、今後のモニタリングの方向性について記されており、海外金融機関の内部監査部門やコンサルティング会社といった外部有識者との意見交換から得た知見も含まれています。

また、機動的な内部監査実現のため、データ分析を始めとするテクノロジー（IT）活用の必要性も指摘しています。

金融機関の内部監査の使命

「金融機関の内部監査の高度化に向けた現状と課題」によれば、金融機関の内部監査の使命は他業界と共通するものであり、内部監査人協会（The Institute of Internal Auditors（IIA））の「内部監査の使命」の定義では、「リスクベースで、客観的なアシュアランス、アドバイス、見識を提供することにより、組織体の価値を高め、保全する」とあります。

また、内部監査の成熟度は三段階、すなわち「第一段階：事務不備監査」「第二段階：リスクベース監査」「第三段階：経営監査」から成り、さらに高度化した第四段階が存在することも示唆しています。

第一段階：事務不備監査

第一段階での内部監査部門の役割は、規程の準拠性などの表層的な事後チェックといった限定的な事務不備監査に留まるといいます。

具体的には、事務不備や規程違反等の発見などで、これを通じ、営業店への牽制機能を発揮する役割が求められている段階です。

また、この段階では、内部監査の手法が監査人員の経験と勘に依存している傾向があるといいます。

第二段階：リスクベース監査

第二段階では、内部監査部門は第一段階の役割に加え、リスクアセスメントに基づき、高リスク領域の業務プロセスに対する問題を提起する役割が求められるといいます。

具体的には、内部環境や外部環境の状況を踏まえたリスクアセスメントを行い、高リスク領域の業務プロセスにかかる整備状況や運用状況の検証、営業店のみならず本部に対する監査や部署をまたいだテーマ監査などの実施です。

第三段階：経営監査

第三段階で内部監査部門に求められる役割は、第二段階までの役割に加え、組織体のガバナンス、リスク・マネジメントおよびコントロールの各プロセスの有効性・妥当性を評価し、各々の改善に向けた有益な示唆を積極的に提供すること、さらに、経営目線を持ち、内外の環境変化等に対応した経営に資する保証の提供だといいます。

具体的には、実質的に良質な金融サービスが提供されているかといった点に重点を置いた監査、経営環境の変化や収益・リスク・自己資本のバランスに着目した監査、経営戦略の遂行状況に対する監査の実施です。

さらに高度化した第四段階では、内部監査部門は保証やそれに伴う課題解決に留まらず、信頼されるアドバイザーとして、経営陣をはじめとする組織内の役職員に対し、経営戦略に資する助言を提供することが求められるといいます。

内部監査で活用できるテクノロジー（IT）

金融機関の内部監査部門に求められるこうした役割を遂行するために、どのようなテクノロジー（IT）の活用が可能でしょうか？

米国のAICPA（米国公認会計士協会）が2013年に発行した「監査委員会が考慮すべき内部監査に関する10のトピック（10 Key Internal Audit Topics for Audit Committee Consideration）」のなかで「監査に活用可能なテクノロジーツールの例」として挙げられた活用分野は、以下の5つです。

・監査管理

・データ分析

・コントロール・モニタリング/不正発見・防止

・CSA（Control Self Assessment/統制自己評価）

・GRC（ガバナンス・リスク管理・コンプライアンス）

テクノロジー（IT）を活用することで、おもに監査活動とモニタリング活動強化を図ることができます。
特に、内部監査の成熟度の第一段階では、監査手法が監査人員の経験と勘に依存しており、人手をかけて対応しているという課題も、テクノロジー（IT）の活用で解決できるでしょう。

監査の対象およびソリューション

メールの監査

文字情報から不正情報を獲得するのは非効率的だという意見もあります。しかし不祥事件の調査報告などから実際にメールや手紙などが重要な証拠となり実態解明に繋がることは証明されています。
社員のメールを全てチェックするのは相当な時間を割くことにもなり行動に移す企業は多くないと思われますが、内部監査でメールをチェックすることができれば有力な情報源を掴む可能性が期待できます。
方法として人海戦術も考えられますが、テクノロジーを駆使することで一定量のメールを短時間でチェックすることが可能になってきています。

営業対応のコンプライアンス違反

商品やサービスをクライアントに提案/説明する際や契約締結時、同業者との情報交換、行政との付き合いなど、営業担当者の活動場面ごとにコンプライアンス違反に触れるリスクは潜んでいます。
企業の発展のためには、営業担当者にそれらの不安を感じさせずに心置きなく業務にあたってもらうことが最重要です。しかしあまりに熱心な営業担当者が、リスクを負った行動をしてしまいその結果、法律に違反し逮捕されてしまったり、責任を問われて企業の役員が訴えられてしまう事案も発生しています。
自社の営業活動範囲の中で、どのようなリスクが潜んでいるかを把握し、予防策を取り、さらには発生してしまった後の対処法も用意しておくといいでしょう。

特許調査業務

自社の事業に活かせる有益な情報を獲得するためや、自社にとって弊害となりうる特許の存在を調査するために行うのが特許調査業務です。
調査の方法は大きく分けて

①技術動向調査

②先行技術調査

③侵害防止調査

④無効資料調査

の４つがあります。
近年フィンテックの進展に伴った仮想通貨や電子マネーによる決済システムなどの特許出願件数の増加と共に、インターネット取引での不正の事案も増えています。
今後更なる発展が見込まれる電子決済システム・電子決済サービスの不正をテクノロジーを駆使して調査していく必要があります。

広告審査ソリューション

広告や販促物等に掲載する商材やサービスの内容は、ユーザーに誤解を与えるような表現を含まず適切な内容であることが重要です。企業では広告のキャッチコピーや解説が適切なものかどうか、実態を把握し法令に照らし合わせて対応することが必要です。

これには、広告・販促物の景表法の低触チェックも含まれます。
景表法に抵触すると消費者庁または各都道府県知事から注意/指示/指導が入ります。それらに従わなかった場合、1年以下の懲役又は300万円以下の罰金、内閣総理大臣への措置請求が規定されています。
景表法における禁止事項は大きく「不当な表示」と「過大な景品提供」の２つに分けられます。

例えば、
・正確な根拠の記載がなく「業界NO.1」と表記する
・100％オレンジジュースが、実は果汁100％ではなかった
など身近な表現の中にも注意するべき点が存在しています。

また、医薬品、医薬部外品、化粧品、医療機器、健康食品、ヘルスケア商品に関しては特に注意が必要です。同意なしに送った広告メールによって罰金3000万円が科せられた事案もあり、市場の拡大により、ますます規制が厳しくなる可能性も示唆されています。執行体制がより厳しくなった今、事業者はコンプライアンス意識の改革/徹底を急務でおこなうべきと言えるでしょう。
その中で広告審査を自動化し、業務の円滑化を図る企業も数多く出現しています。今こそ広告運用を自動化する時なのかもしれません。

コンプライアンス違反チェック

決算書や産地が表記された書類を不正に改ざんしたり偽装行為を社内で取締るためには、会計税務、人事労務、公正取引などさまざまな部門での細やかなチェックが必要になります。
日頃から各部門のメールや文書を確認し不正の予防線を張ることができればほとんどの不正は防げるでしょう。自社でチェックリストを作成し各部門に監査を行うのも一つの手ですが、かなり骨の折れる作業です。
テクノロジー（IT）を活用してこの作業をまとめてあれば、コンプライアンス違反に触れる可能性のあるメールのやりとりや文書を特定することができるでしょう。