第1回 内部監査とステークホルダーの期待の整理

はじめに

これから7回にわたって、リスクの動きの速いといわれている暗号資産(仮想通貨)交換業にあって内部監査態勢をどのように整備しているかについて、ご紹介したいと思います。

なお、同業社や同様の特性・リスクを有する組織には「参考事例」として、他の業態には「比較材料」を提供できればと考え、具体的な記載を心がけつつ、できるだけプロセスは一般化し、特に留意して態勢を整備している点については、その背景や理由に触れていきたいと考えています。

ステークホルダーの期待の整理の必要性

内部監査態勢を整備するなかで最初に把握し整理しておくべきことが「組織体の目標[1]」だと考えます。

例えばこれから主としてご説明する暗号資産交換業には24社の登録(2020年8月末現在)があり、暗号資産について売買の場を提供し収益を上げることを目標としている会社もある一方で、暗号資産のもつ将来性や可能性やブロックチェーン技術に基づく安価な社会基盤の創設の一助となるべく普及の手段として取引所を選んだような会社もあり様々です。

私の所属する「ディーカレット」は、暗号資産交換業の登録業者ですが、「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目標にしています。

私の経験上ではありますが、「既存の事業で収益を上げ、会社が存続していくこと」を組織体の目標としている内部監査人が少なくないように感じています。もちろん事業の継続(ゴーイングコンサーン)の観点も重要ですが、組織として実現しようとしていることを把握し整理することは、すべての内部監査活動の拠り所であり、評価基準にもなりますので、重要なプロセスであると考えます。

私は、ステークホルダーの期待を以下のように整理し内部監査活動に取り込むようにしています。内部監査には、各ステークホルダーの期待を利害関係者間で共有の上、調整する働きもあるのではないかと考えています。


[1] 「組織体の目標」:「IPPF(専門職的実施の国際フレームワーク)「Internal Audit Activity〈内部監査部門〉」より抜粋
「内部監査部門は、ガバナンス、リスク・マネジメントおよびコントロールの各プロセスの有効性の評価、改善を、内部監査の専門職として規律のある姿勢で体系的な手法をもって行うことによって、組織体の目標の達成に貢献する。」

ステークホルダーとしての規制当局

ステークホルダーの期待を整理していくなかで、内部監査が誰の期待を重視するのか、という点は自然と整理されてくると考えています。もちろん多くの会社では、主に株主、経営者およびサービス利用者になると考えますが、規制に服する業種においては、その規制当局の期待を一定程度踏まえなければならない点が特徴となります。

ステークホルダーの期待は、内部監査における監査対象業務の一つの評価基準となります。規制当局の期待は、監督指針や事務ガイドライン等として示されていますので、期待に応えるには、遵守を目指す(ギャップを生じさせない態勢を整備する)ことが近道となります。もちろん必須のものを除き遵守(Comply)することが、組織の規模・特性等から見て妥当ではない場合もあります。その場合は「Comply or Explain」ルールに則り、しっかりと期待水準に応える態勢であることを説明(Explain)していくことが重要と考えます。

なお、暗号資産交換業は、資金決済法下で規制の対象となって以降、22回の業務改善命令および業務停止命令(2020年8月末現在)が出され、登録申請の取り下げから廃業に至った会社も少なくありません。これはステークホルダーの期待を裏切った結果顕在化したいわゆる「当局リスク」であると考えています。逆に言えば、リスクを想定したうえで、ステークホルダーの期待を管理しておれば回避できたリスクであるとも考えています。

そのため暗号資産交換業の内部監査では、規制当局を含めたステークホルダーの期待に応える業務遂行・管理態勢となっていることを、内部監査活動を通じて評価することが特に重要であると考えます。

※本コラムでの暗号資産固有のリスクの取り扱い

次回以降、内部監査活動をより具体的に説明したいと考えていますが、暗号資産固有のリスクについては本コラムの対象外としています。

暗号資産そのもの(ビットコインやイーサリアム等)は、それぞれ異なる仕組み・技術仕様を有しているため、複数の暗号資産を扱う組織の内部監査で、すべてのリスクを個別に検証するには限界があります。暗号資産自体のリスクは、そのものを直接検証するのではなく、暗号資産を取り扱う際の「暗号資産の審査」(関係するホワイトペーパーや外部評価書のレビュー等)というプロセスが十分であったか、それぞれの「仕様変更(ハードフォーク等)」等の局面への対応が妥当なものであったか等、いわゆる「プロセス」を検証することが一般的となります。もちろんブロックチェーン上の有り高の確認等、特別な検証手続きもあるのですが、大半は間接的な検証にとどまっており、他の内部監査と同じ検証アプローチとなることから、本コラムでは暗号資産固有のリスクは対象としていません。

Syuta Takeuchi

竹内 秀太

株式会社ディーカレット 内部監査グループ ヘッド
公認内部監査人(CIA)、公認情報システム監査人(CISA)

戦略系コンサルティング会社、Big4、金融庁(監督局)・証券取引等監視委員会(検査)、外資・日系保険会社、等を経て現職。
コンサルタントとして態勢構築を支援する側、規制当局として検査・監督する側、内部監査する側/される側、品質評価する側/される側、そして現在は態勢構築中と様々な立場で内部監査に従事。

内部監査の高度化の端緒は「外部からの刺激」であると思っています。ご意見もいただけると嬉しいですし、可能であれば意見交換もさせていただければと考えています。

________________________________________

株式会社ディーカレット DeCurret Inc.
「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目的に2018年1月に設立され、デジタル通貨の取引・決済を担う金融サービス事業を営む。
https://www.decurret.com/
暗号資産交換業者 関東財務局長 第00016号

「日本におけるデジタル通貨の決済インフラを検討する勉強会」を開催し事務局も務めている
https://www.decurret.com/company/studygroup-2020/

(ディスクレーマー)
本コラムの意見に関する部分は、筆者の私見です。筆者の所属する組織等の意見を代表するものではありません。
本コラムは、筆者が信頼できると判断した資料・データ等により作成いたしましたが、その正確性および完全性について保証するものではありません。
参考にさせていただいた資料やそこに記載されていた数値等は、その合理性や妥当性についてのレビューは行っておりません。
本コラム中に記載された意見や予測は、作成時点のものであり、今後新たな情報等が得られた場合には予告なく変更される可能性があります。
以上の点ご理解いただき、一つの意見として本コラムをご覧いただけると幸いです。

関連記事

記事を読む

おすすめ記事 最近の記事
  1. 金融庁「地域金融機関の経営とガバナンスの向上に資する主要論点(コア・イシュー)」

  2. IIA「RETHINKING PREPAREDNESS: PANDEMICS AND CYBERSECURITY」

  3. IPA「DXに対応する人材のあり方研究会」

  4. 総務省「プラットフォームサービスに関する研究会 最終報告書」

  5. IIA国際基準の考察(1220 ─ 専門職としての正当な注意)

  6. CIIA「Internal audit careers 2020: tools for tomorrow」

  7. 証券取引等監視委員会「中期活動方針(第10期)」

  8. ポストコロナを考える

  9. 金融庁(IOSCO)「暗号資産取引プラットフォームに関する論点、リスク及び規制に係る考慮事項」

  10. IIA国際基準の考察(1312 ─ 外部評価)

  1. 第7回 品質評価

  2. 第6回 個別の内部監査(2)

  3. 株式会社ディーカレット:企業インタビュー

  4. 第5回 個別の内部監査(1)

  5. 第4回 年間内部監査計画

  6. 第3回 リスクアセスメント(2)

  7. 第2回 リスクアセスメント(1)

  8. 第1回 内部監査とステークホルダーの期待の整理

  9. 最終講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  10. 最新の3線モデル(スリーラインズ・モデル)