今回は「年間内部監査計画」を受けて実施する個別の内部監査のプロセスについてご説明します。リスクの動きが速い業界とは言え、「保証」が求められる内部監査の手続きは大きく違いがないのではないかと考えます。
ここでは具体的に、特に強い保証が求められている「マネー・ローンダリング対策(以下、「AML」、リスクについては「MLリスク」といいます)」について実施した内部監査のプロセスをトレースしたいと思います。
ステークホルダーの期待の把握と評価基準の整備
AMLは暗号資産交換業登録[1]に際して行われた規制当局による審査において最も重視されていたテーマのうちの一つでした。規制当局とのコミュニケーションでは、「MLリスクは他のリスクとは別次元のもの」「(当時の)同業他社と同水準ではなく、地銀上位行レベルの態勢の整備を目指してもらいたい」ということが示され、経営陣もこの状況を認識していましたので、その期待水準を内部監査で受け止め、評価基準に織り込みました。
ちなみに「AMLガイドライン[2]」では、内部監査に「対応が求められる事項」として、AMLに係る「方針・手続・計画等の適切性」「(左記を)遂行する職員の専門性・適合性等」「研修等の実効性」「検知基準の有効性等を含む IT システムの運用状況」また「リスクが高いと判断した業務等以外についても、一律に監査対象から除外せず(フルスコープ)、頻度や深度を“適切に調整して監査”を行う」こととされています。
この中で記載されている「適切性」「適合性」「実効性」「有効性」という言葉が、内部監査の保証の中で最も難易度の高いものでありるということに気づいていらっしゃる方も多いと思いますが、そこからも、その期待水準の高さが垣間見えます。
「適切」「適合」
内部監査の報告書で、結論として「適合している」というためには、例えば、業態・規模特性から見てガイドラインの求める水準に合致していることを保証しなければなりません。ガイドライン等に準拠していることをプロセス(体制レビュー)で確認するにとどまらず、実際の運用も検証し、結果、問題がないことがわかって初めて使える言葉であると考えています。「適切である」も同様で、「統制」が、状況からみて妥当なものでリスク低減効果があったことを確かめた結果使うことができるようになる言葉であると考えています。
「実効性」
「実効的である」というためには、効果測定を行い求められる水準通りの効果があったことを保証せねばならず、取り組みの有無に止まらず効果を含めたプロセスの評価が必要となると考えます。
「有効性」
「有効である」というためには求められるとおりに機能していることを保証しなければならないということになるため、実際の統制が期待された通り機能し、リスクが十分に低減できていることを運用結果から見て評価しなければならないと考えています。
「運用状況」
これらの用語を内部監査報告書等で監査意見を述べる場合に用いるには、何をもって「適切」といったのか、「実効的」と結論付けたのか等、内部監査の検証手続きの記録(運用状況の検証結果)をもって証明できなければならない点に留意が必要です。言い換えると、インタビューで得た心証のみでは用いることはできず、数字で把握できる事実やサンプリング等の実証手続きの結果による客観的な裏付けが必要と考えています。
なお、余談ですが、内部監査の結論が「適切に調整して監査」した結果であるということを表明するためには、「内部(品質)評価」による振り返りが重要と考えます。なぜその内部監査の種類としたのか、なぜその検証アプローチを採用したのか等、内部監査のプロセスについても理由を記述し、規制当局等に対して説明できるようにしておくことも重要と考えます。
ウォークスルー
ここからは具体的な検証手順に入ります。弊社は幸いAMLの専門性を有する者が、システム部門にもコンプライアンス部門にも在籍し、AMLガイドラインとのギャップ分析も済ませていたため、その結果および規程・マニュアル等のレビューで「統制」の整備状況を把握することができました。通常は関係業務の所管部門へのインタビューや一定期間のモニタリング資料等を分析することで、一連の業務プロセスをトレースし、整備状況をレビューすることになると考えます。
個別リスクアセスメント
リスクアセスメントでは、テーマ内部監査を行う単位を基にリスクの粒度を定めていたため、「ML」リスクを一括りにして評価していました。もちろんその中には、顧客管理(CDD[3])、スクリーニングや疑わしい取引の届け出等様々な業務が包含されており、業務に対応したリスクがまた存在します。規制当局からは上述の通りフルスコープが求められていますが、検証の深度を調整するためにも、AMLに係る業務を分解し、業務に対応するリスクの評価を行うことが有効であると考えています。
[3] カスタマー・デュー・ディリジェンス
個別内部監査計画
上記で検討してきた内容を簡単に整理し、今回のテーマ監査の目的を設定します。個別リスクアセスメント結果もここに記載し、結果に応じた内部監査リソースの配分も記載しています。またリスクに対する検証アプローチをそれぞれ記載し、内部監査プログラムとして取りまとめ計画に添えています。中間報告や最終報告の予定や報告の場等今後のスケジュールについても計画段階で予めスケジューリングし、記載するようにしています。
第5回では、準備段階で計画の立案までを扱いましたが、次回は、実査から報告書の発行・フォローアップまでを対象とします。