じげん内部監査室 室長の武谷。ヤフー、DeNAなどのIT企業で監査・リスクマネジメントのキャリアを積み、PwCあらた有限責任監査法人を経て2020年じげんに入社。じげんグループのセキュリティ・インシデント管理・内部統制などの「守り」の領域をハイスピードでアップデートしてきた。
今回は、じげんでの「内部監査」という仕事がどんなものなのか、というところから、仕事の魅力、じげんの魅力について武谷のキャリア変遷とともに語ってもらった。

内部監査の仕事とは

武谷さんのお仕事について教えていただけますか。

現在は内部監査室で責任者をしています。コーポレートガバナンスの一翼として、説明責任を果たせる実効的な内部統制・リスクマネジメント確立への寄与をミッションとしています。
主な業務ですが、先ずはいわゆる「監査」をしています。例えば、個人情報管理や経理業務等への業務監査、システム・セキュリティの監査、内部統制報告制度（J-SOX）のための各種統制の整備・運用状況評価等ですね。
これ以外には、全社横断の情報セキュリティ対策プロジェクトのPMOや、HR-コンプライアンスに関する定例会議・内部統制事務局の運営会議でのファシリテーターをしています。また今は他部門に引継ぎオブザーバーになっていますが、グループ内のインシデントを網羅的に管理するための事務局の立上げやガイドライン整備も昨年までしていました。

さまざまな案件に関わっていらっしゃるんですね。

そうですね。他にもグループ会社3社の監査役を兼務しているので、各社取締役会等の重要な会議体への出席や、期末・期中の監査役監査もしています。また自分としてはとてもうれしいことですが、社内や他グループ会社の方からセキュリティ・リスク管理や様々な相談を受けることもあります。
今、内部監査室は私ひとりですので、業務の範囲としてはかつてないほど広いですね。

さすがにおひとりでは大変ではないですか。

全く大変ではない、ということもないですが（笑）。
キャパオーバーにならないようにリスクアプローチを徹底して優先順位の見極めや全体のバランスを考えながら、コントロールをとるように心がけていますね。
またコーポレート部門・事業部門問わず関係各所から色々な知見をもらったり、逆にこちらが日常的なモニタリングでの気付事項に対応してもらったりと、とても良い距離感で協力関係が築けています。こうした助けもあり何とか頑張っています。

ちなみに、主な３つの業務で①通常の内部監査　②新しいルール・システムの構築支援　③監査役業務　ですと、どれがどのくらいの割合でお仕事されてたりしますか。

基本的には①が最も多いと思います。
ただ最近は、サイバーセキュリティ管理態勢強化の一環として、セキュリティガイドライン整備や体制強化の取組みを進めたり、M＆Aでの組織・ガバナンス・セキュリティ等のデューデリジェンスプロセスのアップデートにも関与しており、構築支援系の業務の割合が増えています。
全体的には６：３：１くらいですかね。

なるほど。ただ内部監査についてはあまりイメージが浮かばない人もいると思うのですが、内部監査の位置づけや目的を、馴染みがない人に説明するとしたらどのように伝えたら良いでしょうか。

立付的な話しになりますが、大まかにいえば日本での『監査』とは３種あります。ひとつは監査法人等の外部専門家による「外部監査」。もうひとつは先ほども出た「監査役監査」。最後は「内部監査」です。
内部監査とそれ以外での決定的な違いは、法令での根拠有無かと思います。

具体的には外部監査・監査役監査は、会社法や金商法等の規定により実施が義務付けられていますが、内部監査は基本的にはそうしたものはありません。各社の任意で実施されています。
法令根拠がないため強制力は弱くなるかもしれませんが、逆に言うと法令に縛られず自由度の高い業務が出来ます。

このため、100社あれば100通りの内部監査があるといえますが、内部監査の国際的専門団体である「内部監査人協会（IIA）」では「内部監査の定義」の中で次のように述べています。
『内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的なアシュアランスおよびコンサルティング活動である。』

内部監査は通常のレポートラインから独立した、”しがらみのない”立場から、会社に対して何らかの価値を提供することに本質的な意義があるとされています。「アシュアランス」は保証、「コンサルティング」は助言という意味です。厳密にいえば少し違うのですが、社内の重要ルール等の遵守状況確認がアシュアランス、ガイドライン整備やルールメイク支援等がコンサルティングのイメージでしょうか。こうしたところが内部監査の基本かと思います。

内部監査は「絶対の正解はない」そこが難しく、面白い

自由度が高い分、決めていくことが大変なのではないでしょうか。

そうですね。リソースには限りありますので全てを監査はできませんし、個々の監査で「何を基準とするか≒何がNGか」も様々です。

社内に必ずしも明確な規定がないこともありますし、世の中にある様々なフレームワークやガイダンス等公知の基準も、そのまま内部監査の実務に適用すると上手くいかないことも多いです。
監査対象の特性や許容可能なリスク水準を鑑みて、どのくらいのコントロールレベルが必要かを検討する必要があります。また被監査部門業務の繁閑を考慮したり、重複したモニタリングが無いように調整したりといった細かな配慮も欠かせません。
あまり明確なルールが無い領域に無理に監査をしても問題のモグラ叩きになりかねず、そうした場合は関係者と問題協議し解決に向けたプロジェクトを組成する方が効果的な場合もあります。

大変なこともありますが、こうした様々な要素を鑑みて合理的な監査プランを設計しそれをやり切ったときとは、各責任者との関係の質もとても向上しますし、達成感も大きいですね。

今は武谷さんがおひとりで進めていらっしゃると思いますが、新しくジョインいただく方とは、どのように業務分担されていくイメージをお持ちでしょうか。

内部監査には絶対の正解はありませんし、ご本人の適正や希望に合わせてうまくバランスしていければ良いと思っています。
ただ最初は内部統制の整備・運用評価やプライバシーマーク要求に準拠した個人情報保護監査等の過去実績がある領域から担当して頂くと、会社のことも分かりますし、実務にも慣れやすいかもしれません。
色々述べてきましたが、基本的には監査計画に即した業務であるので予見性もあり、ワークライフバランスも比較的とりやすいと思います。

自衛隊から民間へ　やりたいことから出来ることを選んだキャリア

武谷さんは内部監査、内部統制、通算15年で、業界でもベテランのポジションになってきますよね。

なんか気が付いたらそうなっちゃって。（笑）
実は私、最初は自衛隊にいました。
大学を卒業した後、福岡の幹部候補生学校に入り９カ月ぐらい教育を受けてから、札幌にあった対空戦闘を行う部隊に配属になりました。

意外なご経歴をお持ちですね。

災害派遣で活躍する自衛官の方を見て、当時は『後ろに下がってあれこれ批判する人間ではなく、実際の現地現場でちゃんと汗を流す人になりたい』という、気持ちが強くありました。

そうした「Will」はあったものの、恥ずかしながらいかんせん「Can」がなかったです。（涙）
すごい方向音痴で手先も不器用で。現場で機敏な判断や指揮は全くできなかったんです。小銃を分解しても何故か部品が余ったり。周りの方には迷惑を掛けていました。そうしたなか、師団司令部での法務業務支援や部隊の情報保全業務をする機会を頂いたりして、最初の気持ちとは裏腹ですが、専門性あるバックオフィス的な業務が自分の性に合っていると思いました。やりたいことより出来ることをやろう、と。

そのなかでも特に情報セキュリティやリスクマネジメントの分野に興味を持ち、この道でキャリア形成したいと考え３年ほどで自衛隊を退職して民間に行くことにしました。最初は技術的なところに少しでも触れたいと考えて、ネットワークのヘルプデスクの仕事から入りました。

さまざまなIT企業を見てきた武谷が、じげんを選んだ決め手とは

武谷さんはその後ヤフー、DeNAとIT企業のご経歴がありますが、その中でじげんをどう捉えていらっしゃいますか。

ヤフーやDeNAは企業規模も大きく、コーポレートや守りの領域も優れた方が多くいらっしゃいましたね。特にヤフーはルール整備や社内管理態勢の成熟度が高く、ここでシステム監査のリーダーやERMプロジェクト企画・推進等の仕事をさせて頂いたことは得難い財産です。他方で組織が大きいと仕方のないことですが、専門的・分業的な体制でもあったかと思います。

じげんに入社を決めたのは、内部監査の基盤をこれからしっかり作るというフェーズで遣り甲斐が大きそうであったことも理由のひとつでしたが、会社の特性や代表平尾の魅力も大きかったですね。上場して既に一定の事業規模はあるなかでも、常に攻めの姿勢でM&Aを積極的に行い海外含めグループ会社もどんどん増えており、グループガバナンスやリスクマネジメントでの介在価値が生まれそうだと思いました。

また最終面接は社長であり直接的な上司でもある平尾でした。大変クレバーで鋭い質問も多かったのですが、他方でとても率直にグループの課題を伝えてくれたり、コンプライアンスの重視や内部監査への強い期待を述べてくれました。

最近はコーポレートガバナンス・コードの改定によりデュアルレポーティングとして監査役会・取締役会への直接報告が求められており、自分も今実際にやっています。ただやはり統制環境を作る経営者とのコミュニケーションは極めて重要なので、「攻め」と「守り」の両面に優れた識見を持つ平尾と仕事が出来るのはとてもワクワクしていました。

じげんに入社してから活躍されている方は、課題解決を面白いと感じる方、これまでの経験を活かしさらに挑戦したいという方が多そうです。武谷さんはいかがですか。

内部監査は地味で形式的な仕事と思われるかもしれませんが、自分は会社全体のあらゆる領域をテーマとしてクリティカルな課題を見つけこの改善に貢献できる、大変有意義な仕事だと思っています。

これまで事業会社の内部監査として、累計では200件近くの監査案件を担当し、400 件超の問題検出と改善提案・フォローをしてきました。またコンサルティング領域での内部統制やセキュリティアドバイザリーも経験し、先進的なモデルやフレームワークの活用にも関わってきました。
キャリアの集大成というと大げさかも知れませんが、ソフトでありながらも実効的な『超実践的な監査』をやれる場所を求めていたと思います。

一方で、経営者にとっては、内部監査の報告は耳に痛いこともあると思うのですが、平尾社長とはどのような関わり方をされていますでしょうか。

おかげ様で、平尾とはかなり率直にコミュケーションが取れていると思います。特に監査計画や目標設定ではかなり時間を割いてくれていますし、チャットなどでは日常的にコミュニケーションをとり、忌憚なく意見交換しています。

他企業の内部監査部門の方にお話を聞くと、社長とは半年に1回会えるかどうか、というケースもあまり珍しくはありませんでしたので、こうした機会が多いことは感謝しています。また他の役員や監査役ともとても密に連携出来ています。

内部監査にも、「じげんらしさ」を

他の皆さんとのコミュニケーションはいかがでしょうか。

とても皆さん協力的でも密接でタイムリーなコミュニケーションが取れています。正直これには一番驚いています。
というのはこれまでの経験上、高い専門性を持つコーポレート部門・エンジニアリング部門や、数値目標へのコミットメントが強い事業部門等からは、どうしても内部監査は敬遠されている面があり、MTGひとつ設定するのも大変なときがありました。勿論内部監査自体の問題も有ったかと思います。

しかし、じげんの各部門責任者は皆多忙な中でも時間を作り、監査の話も聞いてくれます。また複眼的に組織課題を受けとめる度量や、効果的なリスク対応が事業成長に重要であることの共通した理解があると感じています。

ただ、頭の切れる人が多いので説明や提案のチューニング・吟味には大変さはあります。例えば何か検出事項があった際に単にルールから逸脱していますとかでなく、その逸脱が生む実害・機会損失とその蓋然性・コントロール導入のコスパ等について明確に述べることが求められるからです。とはいえ、リスクマネジメントも費用対効果の原則は必要であるので当たり前のことですが。

今後取り組みとして、重要視しているものはありますか。

やはり、グルーガバナンスやリスクマネジメントの実効性を高めることが非常に大事かなと思っています。
グループ会社の増加や新規事業の展開に伴い、組織の拡張やリスク環境の動的変化があり、また外部環境からの各種要求に対応する必要があります。

そのため、各社・各部門の独自性も尊重しつつも、先ずは重要なリスクに対し、じげんらしい効率的で実効的なリスク管理基盤を強化していければと思います。
こうした基盤が確立すれば、現場部門にとってもクリティカルリスクの予防や事業集中への効果も期待できるので、事業成功のみならず社員ひとり一人にとってもプラスがあると考えています。

現状はこうしたGRCに関する構築寄りの業務も多いですが、内部監査としてはやはり監査として独立的な立場からリーンな組織でも高い成果を出していきたいですね。特に将来的には『内部監査3.0』ではないですが、DXを活用したリアルタイムモニタリングから戦略的洞察の提供 や、アジャイル監査の発展によりハイクオリティとクイックフィードバックの両立等を目標にしています。