～付加価値の高い内部監査人になるために～

新型コロナウイルス感染症の拡大によってリモートワーク・リモート監査の普及が加速する中、内部監査においても新しいリスク対応が求められています。このような環境において、付加価値の高い内部監査人となるためには、どういった知識を身に付けていくべきかーー。今回は、複数の監査系国際資格を持つアビタス卒業生・阿子島隆さんと、アビタスの八野寿典講師に、CIA（公認内部監査人）、CISA🄬（公認情報システム監査人）、CFE（公認不正検査士）を取得する意義と将来性について語ってもらいました。

＊2020年11月実施のオンラインイベントをまとめています。情報は開催時のものです。

―ご経歴と取得資格について教えてください。

阿子島隆さん（以下、阿子島）　私は前職の生命保険会社に在籍していた2016年4月に、自分から希望して内部監査部に異動しました。経験がない中、短期間で内部監査の全般を把握して業務に生かしたいと考え、2017年3月にCIAを取得しました。 その勢いのまま、キャリアにおける20年近いシステムエンジニア経験を生かそうということで、CISA🄬にも挑戦しました。こちらは3カ月ほどで、同年6月に合格しました。 CFEは、その翌年の2018年7月に取得しました。内部監査は不正検査に直接携わることはあまりないかもしれませんが、不正について避けることができない職務だと考えています。全般的な不正検査、不正調査、あるいは不正に関する法律を体系的に把握したかったのが、CFEを勉強しようと考えた理由です。なお、その後、転職して、現在はメガバンク系のフィンテック企業に在籍しております。

八野寿典講師（以下、八野）　私はもともと国内大手衛星放送会社に20年ぐらい勤めていましたが、J-SOX（内部統制報告制度）が適用された2008年には経営企画部に在籍しており、非常に苦労しました。それがきっかけでUSCPA（米国公認会計士）を取得して、少し修行してから独立しました。 公認会計士が行う会計監査では、外部の立場から財務諸表に重要な虚偽表示がないかのチェックを行います。その一方で、内部の監査部門はもっと業務に密着して、会社に価値を付加するようなことをやられているわけです。 本当の意味で企業と一緒に仕事をしていくためには、内部監査についてしっかり勉強しないといけないと考えたのが、私がCIAを取得した理由です。そういう意味では、仕事に特化していくために必要だったということです。 CFEに関しては、まさに阿子島さんのおっしゃる通りで、不正は避けて通れないテーマです。そういった不正が疑われるようなことが起こったときに、専門家としてしっかり対応できるようにということで、CFEの資格も取得しました。

―CIA・CISA🄬・CFEが実務においてどのように役立ったのでしょう。CIAを取得した意義を教えてください。

阿子島　多くの企業で内部監査規程が定められていると思いますが、ほとんどの場合がIPPF（専門職的実施の国際フレームワーク）に従って条文が立てられているはずです。CIAの学習を通じてこのIPPFを深く学ぶことは、内部監査人としてのスキルをしっかり身に付けることにつながると思います。IPPFは国際基準なので、国内はもちろんのこと、外国の人とのやりとりでも、一つのスタンダードに基づいて話ができるようになります。そういった意味でも、非常に意義のある資格と言えるでしょう。 CIAで学んだことは、全てが実務において役立っています。その中であえていくつかピックアップすると、例えば内部監査を実施する際の段取り、監査要点を設定する際の考え方、サンプリングの方法など、基本的な知識を得ることができます。 また、内部監査を行う際、監査対象となる部門はそれぞれの分野におけるプロフェッショナルです。彼らの話すことを内部監査人は理解できる必要がありますが、そういったビジネスの中身やルール、バックグラウンドについても網羅的に学ぶことができました。

もう一つ、これはCISA🄬にも関係しますが、現在の企業においてITを利用しない業務はほとんどないと思います。そうした中で、業務監査においてITのどこに目を付けたらいいのかといったことも、CIAで学べる重要な部分です。

八野　阿子島さんは、資格取得者として実務をされる中で感じられたことを話されていて、大変貴重なご意見だと感じました。阿子島さんがおっしゃった通りで、CIAで学ぶことは全てが後になって役立ちます。これは確実です。 私個人の話をしますと、ものすごく商売に役立っています。最近は会計監査よりも、内部統制やリスクマネジメントやガバナンスといった方面について、「アドバイスをしてほしい」「一緒に構築してほしい」といったオファーが多くなっています。IPPFはそういったときの基本になっていて、非常に役立っています。

あと、CIAを取得していると、一目置かれるところがあります。私の経験ですが、内部統制のチェックでメキシコの工場に行ったときは、「CIAです」と資格の紹介をすると、背筋がピンと伸びた感じで、非常に協力的に調査に対応していただけました。 他にも、中国の子会社などは日本の本社から言われることに対して、「中国のやり方がある」といった形で反抗されることもあるのですが、「これは国際基準です」と言うと途端に受け入れてくれます。これが良いか悪いかは別にして、特に国際的に役立つというのは紛れもない事実です。

―CISA🄬を取得する意義を教えてください。

阿子島　IT監査では、全体を含めてIT関係を網羅的に把握していかなければなりません。システム監査の対象について、どの部分を監査要点とするか決めていくときに、全ての観点を確認しながら進めていくことになります。 どの観点が欠けてもいけないので、穴のないように知識を身に付けておくことが大切です。CISA🄬の認定を行っているISACA🄬（情報システムコントロール協会）という団体も、そういった全体を網羅して把握できる能力を求めているわけです。そういう意味では、全てが実務において役立ちますし、全てが必要なドメインと言えるでしょう。

これからの時代、ITに関しても知識を持っておかないと、内部監査人はIT部門を含めた業務監査ができなくなるという感覚を私自身は持っています。そういう意味で、今後長く監査人をやっていくのであれば、CISA🄬はお薦めの資格だと思います。

―最後に、CFEはいかがでしょう。

阿子島　事業会社にいるという前提でお話しさせていただきますと、不正に立ち会うことはなかなかないですし、立ち会いたくないというところもあると思います。ただ、大事なのは、いざというときに不正の兆候を内部監査で感じ取れるかどうかです。 内部監査をしていて、怪しいところについて「その先にどう進むべきか？」となったときに、不正検査のスキルと知識を持っているかどうかで大きく違います。例えば、インタビューの仕方によっては、訴追のときの証拠にならないこともあるわけです。 こういった観点は、一般的なCIAやCISA🄬の試験のドメイン（論点、トピックのようなもの）には含まれていません。不正に関する勘所を押さえるという意味で、CFEは非常に重要だと思います。

八野　阿子島さんのおっしゃったところと関連しますが、例えばCFEには法律を学ぶ科目があります。内部監査人として不正の調査を行う際は、最低限の法律の基礎知識を分かっていないとまずいところがあります。 多くの企業では海外子会社を持っていると思いますが、そういったところで不正に関する調査をする場合、やはり現地の法律、法体系に従った最低限のことを守った上でやっていくことが重要です。こういったところを、CFEではしっかり学ぶことができます。 その他にも、例えば横領など、悪い人たちの手口を知ることができます。ホワイトカラー犯罪についても網羅しており、どういったときに不正が起こりやすいかなど、悪いことをする人の心理状態まで、CIAよりも一歩踏み込んで学ぶことができます。 不正の専門家になろうという人でなくても、CFEで学ぶことは内部監査人としての職務において大変役立ちます。特に国際展開しているような企業でしたら、CFEを取っておくべきと言ってもいいぐらいかもしれません。

―さまざまなバックグラウンドの人がいらっしゃいます。どのように資格を選択すればいいでしょうか。

阿子島　例えば、内部監査部門にいる人であれば、王道としてはCIAなのだろうと思います。最初の監査資格を取得する場合は、CIAで内部監査の全体像を把握してマスターしていくのが、業務的にもその後にも一番つながっていくと思います。 それ以外ですと、例えば法務部門やコンプライアンス部門の人であれば、最初はCFEというのもいいかもしれません。ただ、その後のキャリアとして内部監査部門をお考えでしたら、やはりCIAという選択肢も良いと思います。

また、システム部門の人が将来を見据えて監査資格を取りたいという場合には、一番入りやすいのはCISA🄬になると思います。

八野　基本的には阿子島さんのおっしゃる通りで、土台になっているのはCIAです。もし複数の資格を取得されたら、CIAがベースにあって、専門的に特化していくところにCISA🄬やCFEがある、ということが分かってくるでしょう。

その上でですが、もし自分が一番必要だと感じたものがCISA🄬やCFEであれば、その勉強を始めていただければいいと思います。必要に迫られて勉強するというのは、大きな意欲につながるからです。逆に必要に迫られていない勉強は大変で、精神が相当強くないと最後までたどり着けません。 「先にCIAを取りなさい」とは言いにくいところもあるのですが、この辺りは阿子島さんや私の意見を参考にしながら、自分なりの道を進んでいただけたらいいと思います。

―コロナ禍において、内部監査業務においてどのような変化がありましたか。

阿子島　これは私個人の意見ですが、新型コロナウイルス感染症の流行以前と以後では、実際にその場に行きにくくなってきたという変化があります。実物を触れないというのは、監査において実務的に最も大きな影響がある部分だと考えています。 これについては、組織の中でいろいろな論議がされているはずです。実際にその場に行かないでどうやって監査をするのか、あるいは、不正の兆候をどうやってつかむのかということは、組織として考えていくことになるでしょう。

今の状況を見ていると、当面はウィズコロナ の状態で内部監査を行っていかなければなりません。個人の内部監査人としても、方法を自分で考えることもあるでしょうし、自分自身のスキルや能力をさらに磨き上げることも必要でしょうし、これは人によって違ってくるところですが、いろいろ考えながら進んでいく必要があるのかなと思います。

八野　監査に関しては、大変苦戦していますね。例えば、米国のお客さんの所にも行きにくくなっていますが、写真を撮ってもらったり、現地に行ける第三者の人に確認していただいたり、そういうことを繰り返しながら模索している状況です。 米国などは、現地の監査法人自体がリモートでやっています。「それでいいのですか」という感じがしないことはないのですが、結局はやり方を探しながらやっているということだと思います。

ただ、変化はリスクを伴います。コロナ禍によって仕事の進め方が変化するというリスクに対して、会社がどのように対応および評価しているのか、この辺りについて内部監査の観点からはしっかり確認していくことが大切になると考えています。

―今後、コロナ禍による変化もある中で、それぞれの資格はキャリアアップにおいてどういった形で貢献するでしょうか。

阿子島　私自身のことを言えば、CIA、CISA🄬、CFEという順番で、割と王道的に取得できました。時間がかかるところもありますが、他の人にもお勧めしたい形です。また、私は転職していますが、そのときに客観的な証拠としての資格を取得していることは有用だったという実感があります。

CIAやCISA🄬、CFEを取得している人を評価する流れは、強まることはあっても衰えることはないという感覚を私は持っています。内部統制についても、特に上場している事業会社ではより一段と強まりますので、これらの資格のニーズは広くなりますし、必要とされる環境も広がっていくのではないでしょうか。 こういった環境の中で、できるだけ早い時期に資格を取得してポジションを獲得しようとするのが、キャリアを考える上での戦略としては正しいスタンスなのではないかと思います。

八野　10年ぐらい前は、CIAやCFEはあまりメジャーではなく、一部の限定された業界以外ではあまり評価されなかったところがありました。しかし、ここ5年ぐらいで、経営者としても、また、社会としても、専門家による監査を許容する、あるいは求める時代に日本もなってきたと感じています。

現在は、例えばCIAのタイトルホルダーとして、本来の活躍がしやすい状態になってきました。資格を取得した方が活躍の機会は広がりますし、何より自分自身がどんどん進歩していくきっかけにもなるはずです。 今後の日本では、その人の専門性を評価して報酬を決めるジョブ型雇用が進んでいくと考えられます。つまり、米国型になるということです。時間をかけて資格を取得するわけで、取得していない人よりも付加価値は高くなるのですから、能力や専門性を高く買ってくれる会社をしっかり選んでいってほしいと思います。

阿子島 隆
メガバンク系フィンテック企業　Technology & Design Div./Corporate Planning Div　(テクノロジー部門、経営管理部門)　 Internal Auditor　CIA（公認内部監査人）、CISA🄬（公認情報システム監査人）、CFE（公認不正検査士）

（あこしま・たかし）約20年にわたるIT業務への従事経験を経て、生命保険会社にて内部監査部に異動し、内部監査業務およびシステム監査業務を担当。現在はメガバンク系フィンテック企業に参画。

八野 寿典
アビタスUSCPA（米国公認会計士）、CIA（公認内部監査人）、CFE（公認不正検査士）プログラム講師

（はちの・ひさのり ）国内大手衛星放送会社で経営企画、著作権（知的財産権）系などを担当。米ハリウッドの映画会社との契約交渉をまとめ、著作権（知的財産権）ビジネスに精通する。独立後は、財務会計、プロジェクト・マネジメント、内部統制などに特化したサービスを提供する。