金融機関の内部監査機能の高度化について、金融庁では令和元年6月に「金融機関の内部監査の高度化に向けた現状と課題」(以下、「現状と課題」)を公表して以降、毎年の金融行政方針でも明確に要件を示してきた。昨今、内部監査でもとりわけシステム監査の重みが増しつつあるが、システム監査の要諦に触れる前さばきとして、本稿では金融当局における金融機関の内部監査部門への期待と現状の課題を整理してみよう。
「現状と課題」で示された論点
「現状と課題」では、公表の前提とし金融庁は「当局のモニタリングにおいても、文書の個々の論点を形式的に適用したり、チェックリストとして用いたりすることはしない」としていた。ただし、「現状と課題」記載の観点が「当局の指し示す要点」として各業界団体から金融機関に対して共有されたことに加え、「現状と課題」に基づくモニタリングが当局により実施されてきたのが実態だ。
そのうえで令和5年10月には、「現状と課題」公表後における金融機関向けの内部監査の高度化に向けたモニタリングにより得られた示唆が、「金融機関の内部監査の高度化に向けたプログレスレポート(中間報告)」として金融庁から公表された。中間報告は、大手銀行グループにおける内部監査の取り組み状況および課題認識を整理したものとされてはいるものの、「現状と課題」を補完する位置付けとして、地域金融機関の内部監査の高度化にも資する情報と考えられる。
「現状と課題」公表当時(令和元年)、金融庁は当時の現状について、世界的な低金利環境が継続しており、金融を取り巻く環境そのものが激変しつつあると認識を示すとともに、DX下での金融機関業務の複雑化・高度化を念頭に、次の課題があるとした。
- 持続可能なビジネスモデルを構築することで業務の適切性や財務の健全性を確保し、金融システムの安定に寄与していくためには、ガバナンスが有効に機能していることが重要
- 内部監査部門が、リスクベースかつフォワードルッキングな観点から、組織活動の有効性などについての客観的・独立的な保証(アシュアランス)、助言(アドバイス)、見識を提供することにより、組織体の価値を高め、保全するという内部監査の使命を適切に果たすことが必要
こうした課題感は内部監査部門が実務をこなすうえで最低限理解すべきものであり、内部監査規程の冒頭で述べるべき基礎的概念ともなる。
なお、「内部監査の使命」について内部監査人協会(The Institute of Internal Auditors:IIA)は、次のように求めている。
<IIAが示す内部監査の使命>
- 内部監査部門は、リスクベースで、客観的なアシュアランス、アドバイス、見識を提供することにより、組織体の価値を高め、保全すること
そのうえで、内部監査におけるアシュアランス業務(Assurance Services)を次のように定義し、さらに関連用語を個別に解説している。
<内部監査におけるアシュアランス業務の定義>
- 組織体のガバナンス、リスク・マネジメント、およびコントロールの各プロセスについて独立的評価を提供する目的で、証拠を客観的に検証すること
- ガバナンス:役員会が、組織体の目標達成に向けて、組織体の活動について、情報を提供し、指揮し、管理し、および監視するために、プロセスと組織構造を併用して実施すること
- リスク・マネジメント:組織体の目標達成に関し、合理的なアシュアランスを提供するために、発生する可能性のある事象や状況を、識別し、評価し、管理し、コントロールするプロセスを指す
- コントロール:経営管理者、取締役会およびその他の者が、リスクを管理するために、また、設定した目標やゴールが達成される可能性を高めるために行うすべての措置
「現状と課題」は、こうした認識の下、令和元年当時の金融機関の内部監査の高度化に向けた現状と課題について整理されたものであることを理解することが肝要だ。なお、金融庁は「現状と課題」公表に際し、「各金融機関が自身の規模・特性等を踏まえた主体的な検討を行うことが必要であること等に十分留意」する必要があるとしている。規模・特性とは、金融機関の資金量や全国展開の有無、業務の複雑性、顧客基盤の状況、といった複数の要素が個々に勘案される。そのうえで金融庁は、金融機関の内部監査部門と有意連携を図ることを掲げているのが特徴だ。
内部監査の水準に関するモニタリングの観点
金融庁は、金融機関の内部監査部門が、ビジネスモデル、経営戦略および組織態勢を前提としたリスクプロファイルに対応した監査を実施しているかといった観点などから内部監査の実効性を検証している。また、内部監査部門などとの対話を通じ、その「全般的な水準」について評価し課題を特定している。その際、内部監査の水準を3段階の発展段階としてとらえ、各段階での内部監査の評価視点を定めている。なお、金融庁は、「現状と課題」の公表に合わせ、外国金融機関グループの内部監査部門並びにコンサルティング会社および監査法人の内部監査に関する有識者との意見交換を行っている。金融庁は恐らくこうした活動も含めて「水平レビュー」と認識している様子が窺える。
そのうえで、海外の金融機関グループでの内部監査の先進事例を踏まえ、「第三段階を超えた内部監査の更なる高度化した段階」として参考情報ではないものの、第四段階の存在について言及している。海外の金融機関における内部監査高度化の背景として金融庁は、デジタライゼーションの進展による経営環境の急激かつ革新的な変化に加え、ステークホルダーからの要求の多様化・高度化があるとしている。また海外では、金融機関におけるデータに着目したガバナンスの範囲は、政府主導で経済安全保障への対応などが加速していることも受け、単なる情報保全から、データ管理手法や内外での積極的な利活用へと拡大しているといった実態もある。
反面、こうした状況変化やステークホルダーの要求水準や要請事項の高まり・多様化が進む一方、役職員における教育や浸透策が実行されていないなどを理由とした職員の認識不足に起因するコンダクト・リスク、オペレーショナルリスクが高じる格好となっている。したがって、第四段階で想定される内部監査部門の役割とは、第三段階までの機能に加え、経営や外部機関から「信頼されるアドバイザー」として位置付けられることを意識し、経営陣をはじめとする組織内の役職員に対し、「経営戦略に資する助言を提供」することが期待されるとしている。
内部監査部門が信頼されるアドバイザーになるために
内部監査の第一段階から第三段階、さらには海外の金融機関にみられるような第四段階への発展・高度化を目指すうえでは、各金融機関の内部監査部門が、現時点での自らの対応のレベルを見極める必要がある。金融庁は、金融機関の内部監査水準が第三段階にあり、自律的な機能発揮が可能と認められる場合には、金融庁と金融機関の内部監査部門における情報共有体制を強化したうえで、モニタリングにおける活用を図る方針としている。現状では、業態も数も多い金融機関を対象に十分なモニタリングを行う上では、検査・監督を担う金融庁、財務局の職員数は不足しており、結果として定期検査見送りの一因ともされてきた経緯がある。実際、民間からの出向者を募り、検査要員を確保しているといった実態もあるのだ。民間からの出向者を募り、検査要員を確保しているといった実態もある。
そこで、こうした現状への対処として金融庁は、より合理的な検査実務の実践の面でも、金融機関の内部監査部門との連携が有用と判断したようだ。具体的には、事前に金融庁が内部監査部門と対話し、当局としての現下の関心事項(個別金融機関に関するリスクや課題事項、対象金融機関が属する業態に共通するリスクや課題事項、金融機関全般に共通するリスクや課題事項)を伝えたうえで、双方の課題認識を共有する。また、これを受けた内部監査部門が、課題認識に沿ってリスクアセスメントを実施することが計画されている。その上で、金融業態横断的に対応すべきテーマがある場合には、必要に応じて当局が内部監査部門に当該テーマの監査を要請し、結果を当局が受領する、といった推進手法が検討されている。さらに、当該結果を踏まえ、個々の金融機関における当局としての検査に濃淡をつける、といった流れも視野に入れた検討が進んでいるようだ。すなわち、第三段階に到達した金融機関の内部監査部門は、実態として「金融庁の別動隊織」に近しい様態として位置付けられ、当局のモニタリング機能を代替することになる、という構想だ。
こうした構想は、金融庁における内部監査への基本的な問題意識とも合致する。すなわち、かつて金融機関の内部監査部門はいわゆる「あがりポスト」として認識され、退職間近の行職員が配置されるなどし、結果として経営や組織への牽制機能が必ずしも果たされていないのではないか、といった指摘がなされていた点だ。こうした将来的な取り組みを通じ、金融庁はモニタリングに従事する職員数の物理的制約と併せた解決を模索しているのであろう。
「中間報告」を通じて金融庁が示す主要な論点
令和5年10月には「現状と課題」の更新版となる「金融機関の内部監査の高度化に向けたプログレスレポート(中間報告)」(以下、「中間報告」)が公表された。「現状と課題」では、内部監査の水準について、4つの発展段階が示されており、大手金融機関は「第二段階~第三段階に位置づけられる」とされていた。
「現状と課題」の公表後、金融庁は金融機関に対し、内部監査の高度化に向けたモニタリングを重ねており、大手銀行グループについては、通年検査の一環で内部監査部門のトップと内部監査の高度化に向けた取り組み状況や課題について対話したとしている。また、併せて外部有識者との間でも、金融業界の内部監査機能の発揮状況や海外の先進事例に関して意見交換を進めてきた。「中間報告」はこうしたモニタリングなどを踏まえ、大手銀行グループにおける内部監査の取り組み状況および課題認識が整理されている。
例えば、被監査部門が自己認識している課題およびその改善対策を内部監査部門へ申告する制度を整えている金融機関があり、これを受けて内部監査部門が被監査部門のマネジメント層のリスク認識および内部統制構築への取り組み状況を評価すると共に改善対応策の定着までフォローアップ、アドバイスする制度を導入した例が紹介されるなど、地域金融機関にとって有効と思われる取り組みも存在する。その結果、「大手銀行グループでは、第3段階から第4段階に進んでいると認識されるグループも見受けられた」と金融庁は報告しており、「現状と課題」公表からのわずかな期間で、大手銀行グループにおける内部監査機能の高度化が急激に進展した様子が窺える。
なお、「中間報告」では、今後の金融庁における方向性のほか、全体を通じた主要な論点が示されている。地域金融機関としては、論点として示されたポイントをあるべき姿として独自に解釈し直し、現在の自行庫の内部監査機能の現状とあるべき姿とのフィット&ギャップを行う必要がある。
第一の論点として挙げられたのが、経営陣や監査委員・監査役による内部監査部門への支援状況の確認である。金融庁は内部監査について、経営陣のトップダウンでの判断だけではなく、より具体的な部分に踏み込んだ関与を強めるよう要請している。また、経営陣のみならず、監査委員や監査役と連携した内部監査の高度化を推進していることを理解し、3者間での情報連携基盤を確立することも促している。内部監査部門としては、金融庁からかかる要請が論点として示されていることを経営陣に認識してもらうことで、自行庫における具体的な対応に向けた活動の底上げを図る必要があるだろう。
続く第二の論点としては、内部監査部門の監査態勢高度化・監査基盤強化が挙げられる。ここでは金融庁が、内部監査部門自らが以下の検討を行うことを要請していることがわかる。
論点1は経営陣への金融庁の期待、と理解されるが、論点2のポイントは、内部監査部門に能動的な取り組みを要請している部分である。とりわけ言及しているのが監査ツールの活用による高度化、ということになろう。現在では、内部監査部門において、職員が利用する本部・営業店端末などの動作や操作ログなどをリアルタイムに閲覧する権限が付与されることも珍しくない。また、いわゆる経営ダッシュボードのように、自行庫で内部生成された各種データや統計情報を一目で捕捉・表示可能なツールも存在する。金融庁は、こうした監査高度化ツールなども用いつつ、少人数であったとしても幅広い監査対象のカバーを効果的に実現することも要請していると受け止めるべきである。
内部監査機能の高度化には、現場部門の理解や協力への意識変革が必要となり、これに向けた組織内での意識啓発や当該意識の浸透が欠かせない。そのため、論点3として金融庁は、経営陣や監査委員・監査役、内部監査部門に共通的な課題として組織だった連携態勢の構築を提起している。かつてみられたような経営と内部監査部門間の対立構造等は現在ではさすがに「ナリ」を潜めたとしても、依然として被監査部門からは「煙たい存在」として認識されがちなのが内部監査部門の辛いところだ。こうした対立構造に陥ることなく内部監査部門が有意にその機能を発揮するためには、経営陣による被監査部門への周知等を通じた理解浸透策が欠かせない。また、キャリア形成のステップとして、経営幹部への登用基準の一つに内部監査部門の経験を要件として組み込むことも有効となろう。
金融庁は、このように、現在の内部監査部門の現状に寄り添いつつ、半ば「答え」を示すことで有意に高度化へと誘導するだけでなく、将来的には金融庁のカウンターパート、さらには検査機能の代替基盤としても位置付けようとしている様子が窺える。こうしたメッセージを受け止めつつ、内部監査部門自らの取組強化もさることながら、経営陣からのこうした変革に向けた活動の後押しが強く期待されるところである。