新型コロナ影響下での内部監査

新型コロナの猛威と内部監査

新型コロナウイルスが世界に猛威を振るっています。中国・日本・韓国等のアジア地域だけでなく欧州や米国等世界規模の流行となり、3月30日時点で世界全体では60万人以上が感染し3万人近くの人々が死亡する、近年にないパンデミックとなっています。

日本でも同日時点では1866人が感染し54人の方々が亡くなられています。(厚生労働省3月30日7時発表)
東京オリンピックの延期は正式に決定し、3月28~29日に掛けての東京都知事による外出自粛の強い要請があり、3月28日に政府の「新型コロナウイルス感染症対策本部」が開催され、新型コロナウイルス感染症対策の基本的対処方針が決定されています。

欧州や米国からの入国禁止に関する措置も報道されており、事態の収拾目途はついていません。こうした中、外食・観光・宿泊業等は勿論経済全体にリーマンショック以上と言われる大打撃が想定されています。

日本の内部監査部門では、2月~3月に掛けて20年度の内部監査計画の策定を行い、社長又は取締役会の承認を経て4月から各監査案件の着手に掛かる段階の会社が多いと思います。

しかし、こうした状況がエスカレートした中で、仮に承認が得られていても通常の内部監査を行うことは無理があります。それどころか会社の活動を阻害する恐れすらあると言っても過言ではないでしょう。

新型コロナ影響下での内部監査は何をすべきなのか考えてみました。

※5月5日追記
・その後緊急事態宣言が4月に発令されました。また5月4日には当初の緊急事態宣言期間であった5月6日から、5月31日まで当該宣言が延長されています。首都圏や関西の一部・福岡・北海道は特定警戒都道府県に指定され続けています。全体的な感染状況は多少改善されていますが、終息までの見通しは依然つきにくい状態です。

※6月8日追記
・緊急事態宣言も解除され段階的に経済活動が再開されるようになりました。他方で都内の感染者は毎日二桁を超え「東京アラート」が発せられるなど予断を許さない状態です。
・既に一般化された「ニューノーマル(コロナ時代の新たな日常)」で生じるリスクに対応しつつ、従業員の負荷や課題解決に対応していくことが求められるのではないでしょうか。依然として考慮すべき事項はコロナ前とは大きく異なると考えます。
・公開されたIIAの記事をベースにリスクに関する記事を追加しました。

事前に確認・検討すべき事項

新型コロナ影響下における主要なリスクの理解

一番最初に行うべきはCOVID-19やニューノーマル時代における主要なリスクを理解することです。

多くの内部監査部門では年間監査計画の策定前に全社的リスク評価をしていたでしょうが、今回の世界的な危機がもたらした影響を考慮しなければ、当該評価及びこれを前提とした監査計画は陳腐化していると言わざるを得ないでしょう。

2020年4月に公表されたIIAのレポートでは、いくつかのリスクについて言及されてます。当該記事を参考に主なリスクを記載します。

【新型コロナ影響下で考慮すべきリスク】
・収益リスク:収益の認識、回収と流動性、新製品販売の遅れ、設備の入れ替え、製造コストの変更
・人的資源リスク:従業員の安全と福利
・サプライチェーンリスク:サプライチェーンの重要生産拠点への波及効果と混乱
・サイバーセキュリティリスク:リモートワークでの勤務、作業手順移行に伴うサイバーリスク評価の不足


※「新型コロナウイルス感染症と内部監査-2020年以降のニューノーマルの準備」(月間監査研究 2020年6月号)でのリスク記載をベースに筆者が一部追記

【参考記事】新型コロナ関連の個別リスクと対応をテーマにした記事です。

経営者の現状・認識/修正事業計画

次に、新型コロナ影響により20年度の事業計画への変更箇所・内容を理解することです。現時点ではパンデミックの底が見えず手探りの箇所も多いはずですが、会社のビジネスモデルに与える影響、重要施策や注力領域での変更がどの程度あるか、これを実現する体制・環境がどのように変わるのか等を理解する必要があります。

場合によっては当初監査対象とするはずのテーマや事業、システム開発等自体がペンディングになったり大きな見直しがされたりしているでしょう。

上記を踏まえて、経営者の意向・会社全体のリスク状況を鑑み、内部監査としての実施事項を検討することが重要です。

業務プロセス業務環境の変化

監査を行うにあたり、業務内容や勤務形態の変更を確実に把握する必要があるでしょう。最も直接的に影響があるケースとしては、原則として在宅勤務となりオフィスに出社しなくなることにより、各種業務プロセス・会議体・成果物等に変更があることが考えられます。

また従来はオフィスからの社内NWアクセスを前提としていたのものが、リモートアクセスの増加に伴いVPN機器やVDI機器の増強の必要が生じ、システム環境をクラウドに移行する等のシステム・ネットワークレベルでの変更もあり得ます。

20年度の内部監査部門としての取り組み方針の例

方針①『不要・不急な』監査をしない

内部監査は組織に価値を付加するための独立にして客観的なアシュアランス・コンサルティングとされますが、これはあくまでも正常な企業活動を可能である前提に立っています。 掲題の会社、業界はおろか国家・世界全体が厳しい試練に直面し、必死の活動をしている中では内部監査の活動は二義的な優先度しか持ち得なくても致し方ありません

実際にかつてのリーマンショックや東日本震災のような事態にあって、多くの内部監査部門では当面の計画を休止していました。 今回はこれら事態をも上回る影響があるとされています。

『不要・不急な』監査テーマは当面の状況を落ち着くまでペンディングにすることが、会社・部門・監査部門自体にとっても必要な判断といえるでしょう。

方針②法令対応等で必要なテーマを厳選/時期も慎重に考慮

①に関わらず、法令に基づくガイドラインへの対応等のために、定期的な監査が事実上要求されている領域を持つ場合があります。例えば下記等です。

  • J-SOXでの経営者評価等の制度対応上必要な監査活動
  • 法令に基づくガイドライン等での内部監査要求
    例:個人情報を取り扱う業務を外注している場合の委託先の安全管理措置の検証、資金移動業において資金決済法に基づくガイドラインでの内部監査要件に対応する場合等
  • 業界の自主規制等に伴うルール等への内部監査対応
  • ISO等の認証を受ける場合に規格要求として行う内部監査
    例:ISO9001、27001(ISMS)、プライバシーマークに関する内部監査
  • 社内規則で実施が規定されている内部監査
    例:グループ会社への定期的な内部監査等

上記の中でも必要性の度合いや要求品質には差異があります。また、行う場合でも被監査側の受け入れ可否状況を踏まえ監査の時期・内容を慎重に調整する必要があります。

各認証機関自体が継続審査(サーベイランス)や更新審査の延期を表明する場合もあります。こうした情報もウォッチすべきでしょう。

基本的に被監査側が今行うほうが却って助かる(資料やルール運用の証跡が有効に保持されている)等の特別な場合以外は、延期を検討することも必要でしょう。

方針③:コロナ影響下での企業活動を支える監査テーマの検討

他方でこうした状況だからこそ、独立した立場から調査や提言を行うことが効果的なこともあるかもしれません。
例えば前述の主要リスクを踏まえ下記等の監査でのモニタリングテーマとすることが考えられます。

テーマ1:新型コロナ関連重要リスクへの対応をテーマとした監査

在宅勤務下でのサイバーセキュリティや、サプライチェーンリスクを踏まえた事業継続などは有効なテーマの一つでしょう。ただし既に会社のセカンドライン系組織(セキュリティ管理部門、リスクマネジメント部門、経営管理系部門)で類似の調査やモニタリングを計画している可能性があります。状況確認するとともに、こうした諸活動との整合性を取るような調整が必要でしょう。

テーマ2:新型コロナ発症者又は濃厚接触者が出た場合の報告フロー、対応手順の整備・運用状況

現時点でこうしたフローや手順を検討していない会社はないかもしれませんが、当該手順が従業員や公共の安全に資する形で整備されているか、社内でこれらが順守されているかを検証することが考えられます。

テーマ3:事業施策における政府・自治体の要請事項との準拠性検証

各種要請事項が出ている中、社会の一員として事業やサービス内容もこれに即したものであるかを考慮する必要があります。
内部監査として各種施策が公的なガイダンスや会社方針に即したものとなっているかを検証すること、これ自体を監査テーマとすることが考えられます。

テーマ4:COVID19対応の全社組織モニタリング

対応や情報発信を一元化するため、全社横断のプロジェクトや会議体を構築し、そこで意思決定や情報発信をしている会社もあると思います。当該会議等に陪席し定期的に経営層に状況・課題報告をする等の活動が考えられます。

テーマ5:従業員への問題・課題ヒアリング調査

事業内容や状況により千差万別ですが、かつて例のない事態に直面する中で、社員が様々な課題感やストレスを感じることがあります。例えば下記などは起きていないでしょうか。

【業務運用】
本来リモートワークを行いたいが、紙媒体や印章の取り扱いがあるので出社をする必要がある
取引先からは直接現地に来ることを要請されるが、一部はリモート会議に切り替えたい
4月から異動した。異動先社員と直接対面せずリモート環境で仕事の引継ぎがされていくが、上手く理解できず適応できない

【システム・ネットワーク環境】
VPN接続がルール上必要だが、実際に接続するとVPN機器の不具合が多くアクセスが不安定になる
個人情報へのリモートアクセスの際に使用する仮想デスクトップ(VDI)の処理が重く業務に支障がある
社内ネットワークからしかアクセスできないフォルダやシステムに業務上必要な情報が多く格納されている。一時的にポリシーを見直し社外からのアクセスも可能にしてほしい

【コンプライアンス・メンタルヘルス】
・全社方針に反して上長から出社を強要されており、困っている
業務が新型コロナに伴い事実上無くなってしまい、先行きが不安である
身内から濃厚接触者が出たことにより、周囲の従業員から差別的な発言や取り扱いをされて苦しい

こうした状況をアンケート等で収集し、課題をグルーピンクして改善方向性とともに提示する等の活動があります。上手く実施すれば経営貢献度も高いテーマとなるでしょう。

方針④:余った時間は自分たちの業務改善に

上記①~③の方針を経て行う活動を具体的に検討したのち、時間の猶予ができる場合もあると思います。その場合、内部監査業務の標準化やベストプラクティス検討、ガイドラインやマニュアル策定等、周辺部門の業務に影響しない活動を検討することになるでしょう。

最後に

日本でも緊急事態宣言の発令が検討されており、まさに未曾有のパンデミック事態となっています。 こうした際、従来の内部監査計画やスタイルに固執することは生産的ではありません。

内部監査としては現実的な目線に立ち、自身が所属する企業の健全でモラルのある活動に貢献できるよう、予断なく振る舞うべきではないでしょうか。

投稿者プロフィール

ネット企業の監査人
ネット企業の監査人ネット系事業会社 内部監査室 室長
J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。

自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。

【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)

【所属】
・日本内部監査協会会員
・ISACA東京支部会員

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です