IIA2013ICに参加して

今年のIIA（The Institute of Internal Auditors／内部監査人協会）の国際大会は、アメリカのオーランドで開催されました。2013年7月15日から17日まで参加してまいりましたので、感想をご報告したいと思います。

今年の大会

テーマは“One World, One Profession, One Destination”。直訳すると「ひとつの世界、ひとつの専門的職業、ひとつの目的地」となります。これは、今年、本部主催だったことが関係していると思います。IIAのチェアマンが、5つの数字を紹介していました。180,000—IIAメンバーの数、60,000—現役CIA（Certified Internal Auditor／公認内部監査人）の数、90,000—ソーシャルメディアのつながりの数、560,000—Webサイトの月間閲覧数、そして1—IPPF（International Professional Practices Framework／専門職的実施の国際フレームワーク）の数。こうしてみると、テーマの意味するところは、内部監査のグローバル基準であるIPPFをもとに専門性の高い仕事を目指そうといったところでしょうか。

大会のチェアマンは女性で（私が参加した3回では初めてでしたが、来年のロンドン開催も女性のようです）、オープニングセッションは女性で初めて元アメリカ国務長官を務めたオルブライト氏、最終日のセッションにはアメリカ史上最大の不正といわれるバーナード・マドフ事件を取材した女性記者が講演しました。昨年に続き実施された健康とチャリティを兼ねたプログラムでは、乳がんの団体に寄付が行われ、自ら病を克服し同じ病の人のために働く女性が登壇しました。こうして、自分と同じ属性をもつ人が活躍しているのを目の当たりにすると、それが少数派である場合は特に、とても勇気づけられます。

クラウド利用に関するリスク・マネジメント

IPPFによれば、内部監査部門は「ガバナンス、リスク・マネジメントおよびコントロールの各プロセスを評価し、各々の改善に貢献しなければならない」とあります。

たまたま、当社でクラウドを視野に入れて検討している業務システムがあり、クラウド利用に関するリスク・マネジメントの考え方についてヒントがほしいと思っていたので、選択式のセッションではクラウドと名のつくものをすべて受講してみました。セッションのタイトルは以下のとおりです。（かっこ内は筆者訳）

• Vendor Risk Management Reaching the Cloud （クラウドに及ぶベンダー・リスク・マネジメント）
• Your ERP, Email and Data Center Are in the Cloud, Now What? （あなたの会社のERP、Eメール、データセンターはクラウドのなかにある。さあ、どうする？）
• Winning in the Cloud: A Chief Audit Executive's Perspective on Cloud Services （クラウドにおける勝利：クラウドサービスに対する内部監査部門長の見方）
• CAEs New Testament – Auditing Competing SLA's and Evaluating ROI in Cloud （内部監査部門長の新バイブル–サービスレベル合意書に立ち向かう監査とクラウドにおける投資利益率評価）

クラウドの利用によりセキュリティが低下するのは事実ですが、セキュリティリスクだけでなく、機会リスク（クラウドを使わないことによる機会費用）にも目を向けなければならないとあらためて感じました。また、責任の観点から、ベンダーとのコントラクト（交渉の余地がないならばベンダーの選定）がとても重要だと思いました。

リスク・マネジメントの本質とは

大会とは関係ない話になりますが、先日、某省の職員があるメール共有サービスを利用し、内部情報が閲覧可能な状態になっていた問題がありました。気になったのは、省外の情報システムは届け出により利用できたものが、この問題のあと、メール共有サービスについて原則禁止になったことです。

多面的な検討を経て今回はそのような結論に至ったものだと思いますが、「危ないものを禁止する」というのはひとつの方策ではあるものの、リスク・マネジメントにおいて多用すべき方策・考え方ではないように思います。

リスク・マネジメントの用語に“Risk appetite”というのがありますが、最初聞いたとき、「リスクの欲求」という概念がぴんときませんでした（IPPFの日本語版では「リスク選好」と訳されています）。リスクを欲しがることなんてありえないと思ったからです。ですが、ビジネスにおいては、リスクとリターンは正比例の関係にあり、リスクを0にしようとすれば、リターンも0であるというのが法則なのではないかと思います。リターンが0であれば、企業の存続はありえません。

IPPFのリスク・マネジメントの項で、リスク・マネジメント・プロセスが有効だと評価できる条件のひとつとして「組織体のリスク選好に沿って、諸リスクに見合う適切な対応が選択されている」とあります。「リスク選好」はリスクの種類ごとにあり、内部監査人は、経営層が打ち出す各方針や経営層との対話を通じて、「リスク選好」を正しく捉えることが重要なのではないかと思います。

ITを含め、経営環境が目まぐるしく変化するなかにあって、リスクの種類も大きさも増大しています。リスク・マネジメントは、情報収集能力、バランス感覚などがますます必要になり、高度化していくのだろうと思いました。それに対応できる監査能力を高めていかなければならないと、今回の大会を通してあらためて実感しました。