第5回 個別の内部監査(1)

今回は「年間内部監査計画」を受けて実施する個別の内部監査のプロセスについてご説明します。リスクの動きが速い業界とは言え、「保証」が求められる内部監査の手続きは大きく違いがないのではないかと考えます。

ここでは具体的に、特に強い保証が求められている「マネー・ローンダリング対策(以下、「AML」、リスクについては「MLリスク」といいます)」について実施した内部監査のプロセスをトレースしたいと思います。

ステークホルダーの期待の把握と評価基準の整備

AMLは暗号資産交換業登録[1]に際して行われた規制当局による審査において最も重視されていたテーマのうちの一つでした。規制当局とのコミュニケーションでは、「MLリスクは他のリスクとは別次元のもの」「(当時の)同業他社と同水準ではなく、地銀上位行レベルの態勢の整備を目指してもらいたい」ということが示され、経営陣もこの状況を認識していましたので、その期待水準を内部監査で受け止め、評価基準に織り込みました。

ちなみに「AMLガイドライン[2]」では、内部監査に「対応が求められる事項」として、AMLに係る「方針・手続・計画等の適切性」「(左記を)遂行する職員の専門性・適合性等」「研修等の実効性」「検知基準の有効性等を含む IT システムの運用状況」また「リスクが高いと判断した業務等以外についても、一律に監査対象から除外せず(フルスコープ)、頻度や深度を“適切に調整して監査”を行う」こととされています。

この中で記載されている「適切性」「適合性」「実効性」「有効性」という言葉が、内部監査の保証の中で最も難易度の高いものでありるということに気づいていらっしゃる方も多いと思いますが、そこからも、その期待水準の高さが垣間見えます。


[1] 2019年3月25日。当時は暗号資産交換業ではなく、「仮想通貨交換業」
[2] 「マネー・ローンダリング及びテロ資金供与対策 に関するガイドライン」

「適切」「適合」

内部監査の報告書で、結論として「適合している」というためには、例えば、業態・規模特性から見てガイドラインの求める水準に合致していることを保証しなければなりません。ガイドライン等に準拠していることをプロセス(体制レビュー)で確認するにとどまらず、実際の運用も検証し、結果、問題がないことがわかって初めて使える言葉であると考えています。「適切である」も同様で、「統制」が、状況からみて妥当なものでリスク低減効果があったことを確かめた結果使うことができるようになる言葉であると考えています。

「実効性」

「実効的である」というためには、効果測定を行い求められる水準通りの効果があったことを保証せねばならず、取り組みの有無に止まらず効果を含めたプロセスの評価が必要となると考えます。

「有効性」

「有効である」というためには求められるとおりに機能していることを保証しなければならないということになるため、実際の統制が期待された通り機能し、リスクが十分に低減できていることを運用結果から見て評価しなければならないと考えています。

「運用状況」

これらの用語を内部監査報告書等で監査意見を述べる場合に用いるには、何をもって「適切」といったのか、「実効的」と結論付けたのか等、内部監査の検証手続きの記録(運用状況の検証結果)をもって証明できなければならない点に留意が必要です。言い換えると、インタビューで得た心証のみでは用いることはできず、数字で把握できる事実やサンプリング等の実証手続きの結果による客観的な裏付けが必要と考えています。

なお、余談ですが、内部監査の結論が「適切に調整して監査」した結果であるということを表明するためには、「内部(品質)評価」による振り返りが重要と考えます。なぜその内部監査の種類としたのか、なぜその検証アプローチを採用したのか等、内部監査のプロセスについても理由を記述し、規制当局等に対して説明できるようにしておくことも重要と考えます。

ウォークスルー

ここからは具体的な検証手順に入ります。弊社は幸いAMLの専門性を有する者が、システム部門にもコンプライアンス部門にも在籍し、AMLガイドラインとのギャップ分析も済ませていたため、その結果および規程・マニュアル等のレビューで「統制」の整備状況を把握することができました。通常は関係業務の所管部門へのインタビューや一定期間のモニタリング資料等を分析することで、一連の業務プロセスをトレースし、整備状況をレビューすることになると考えます。

個別リスクアセスメント

リスクアセスメントでは、テーマ内部監査を行う単位を基にリスクの粒度を定めていたため、「ML」リスクを一括りにして評価していました。もちろんその中には、顧客管理(CDD[3])、スクリーニングや疑わしい取引の届け出等様々な業務が包含されており、業務に対応したリスクがまた存在します。
規制当局からは上述の通りフルスコープが求められていますが、検証の深度を調整するためにも、AMLに係る業務を分解し、業務に対応するリスクの評価を行うことが有効であると考えています。


[3] カスタマー・デュー・ディリジェンス

個別内部監査計画

上記で検討してきた内容を簡単に整理し、今回のテーマ監査の目的を設定します。個別リスクアセスメント結果もここに記載し、結果に応じた内部監査リソースの配分も記載しています。またリスクに対する検証アプローチをそれぞれ記載し、内部監査プログラムとして取りまとめ計画に添えています。
中間報告や最終報告の予定や報告の場等今後のスケジュールについても計画段階で予めスケジューリングし、記載するようにしています。

第5回では、準備段階で計画の立案までを扱いましたが、次回は、実査から報告書の発行・フォローアップまでを対象とします。

Syuta Takeuchi

竹内 秀太

株式会社ディーカレット 内部監査グループ ヘッド
公認内部監査人(CIA)、公認情報システム監査人(CISA)

戦略系コンサルティング会社、Big4、金融庁(監督局)・証券取引等監視委員会(検査)、外資・日系保険会社、等を経て現職。
コンサルタントとして態勢構築を支援する側、規制当局として検査・監督する側、内部監査する側/される側、品質評価する側/される側、そして現在は態勢構築中と様々な立場で内部監査に従事。

内部監査の高度化の端緒は「外部からの刺激」であると思っています。ご意見もいただけると嬉しいですし、可能であれば意見交換もさせていただければと考えています。

________________________________________

株式会社ディーカレット DeCurret Inc.
「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目的に2018年1月に設立され、デジタル通貨の取引・決済を担う金融サービス事業を営む。
https://www.decurret.com/
暗号資産交換業者 関東財務局長 第00016号

「日本におけるデジタル通貨の決済インフラを検討する勉強会」を開催し事務局も務めている
https://www.decurret.com/company/studygroup-2020/

(ディスクレーマー)
本コラムの意見に関する部分は、筆者の私見です。筆者の所属する組織等の意見を代表するものではありません。
本コラムは、筆者が信頼できると判断した資料・データ等により作成いたしましたが、その正確性および完全性について保証するものではありません。
参考にさせていただいた資料やそこに記載されていた数値等は、その合理性や妥当性についてのレビューは行っておりません。
本コラム中に記載された意見や予測は、作成時点のものであり、今後新たな情報等が得られた場合には予告なく変更される可能性があります。
以上の点ご理解いただき、一つの意見として本コラムをご覧いただけると幸いです。

関連記事

記事を読む

おすすめ記事 最近の記事
  1. IIA「RETHINKING PREPAREDNESS: PANDEMICS AND CYBERSECURITY」

  2. 経済産業省「事業再編研究会」

  3. 日本内部監査協会「IIA-Bulletin 対策の再考:パンデミックとサイバーセキュリティ(仮訳)」

  4. DIAMOND Quarterly Online「日本のコーポレートガバナンス その未来を考える」

  5. IIA国際基準の考察(2500 ─ 進捗状況のモニタリング、2600 ─ リスク受容についての伝達)

  6. 日本取締役協会「コーポレート・ガバナンス・オブ・ザ・イヤー2019 受賞企業発表 」

  7. IIA国際基準の考察(2200 ─ 内部監査(アシュアランスおよびコンサルティング)の個々の業務に対する計画の策定)

  8. インターネット・バンキングによる預金の不正送金事案

  9. 日本銀行「サイバーセキュリティの確保に向けた金融機関の取り組みと課題」

  10. ISACA 北米CACS

  1. 第7回 品質評価

  2. 第6回 個別の内部監査(2)

  3. 株式会社ディーカレット:企業インタビュー

  4. 第5回 個別の内部監査(1)

  5. 第4回 年間内部監査計画

  6. 第3回 リスクアセスメント(2)

  7. 第2回 リスクアセスメント(1)

  8. 第1回 内部監査とステークホルダーの期待の整理

  9. 最終講(全6講)企業風土監査の薦め ~企業価値の向上と毀損防止・企業変革へ向けて~

  10. 最新の3線モデル(スリーラインズ・モデル)