五つの柱で、多様化・複合化するリスクに対応

デロイト トーマツ グループの日本におけるビジネスは多岐に渡り、傘下の企業も多いため、まずはここから説明しよう。

デロイト トーマツ グループの事業は大きく五つの柱から成る（図１）。

有限責任監査法人トーマツ(以下トーマツ) が監査・保証（Audit & Assurance）とリスクアドバイザリー（Risk Advisory）の2つのビジネスを受け持ち、それぞれを監査・保証事業本部とリスクアドバイザリー事業本部が中心に担っている（図２）。デロイト トーマツ グループとしてはこのほか、コンサルティング、フィナンシャルアドバイザリー、税務・法務の3ビジネスがあり、それぞれを担当する組織がある。

リスクアドバイザリー事業本部の齋藤雅司氏(アシュアランスリーダー・パートナー)は、この組織体制とリスクについて、こう説明する。

「今日、企業が直面するリスクは多様化・複合化しています。例えばM&Aを例にとっても、考慮すべきリスクは、企業の財務状況や経済的な健全性に関わる財務リスク、関連する法的義務や規制への準拠性に関わる法務・レギュレーションリスク、企業の情報資産、セキュリティの脆弱性などに関わるITを含めた技術的リスク、人材、組織文化の統合に関わる人的リスクなどです。このように、M&Aをとりあげても、企業が考慮すべきリスクが多岐にわたり、また、それぞれが複合的に様々な業務領域と絡み合ってしまっているため、特定領域の専門知識、ノウハウを要するコンサルティング企業では、顧客企業が考慮すべきリスク、ニーズに対して、総合的に対応していくことが難しい状況になっているのです」。

コンサルティング企業によって強みが異なるため、顧客企業が、案件やリスクに合わせて適切にコンサルティング企業を選択したり組み合わたりすることが極めて困難なのが実情だ。

「我々デロイト トーマツ グループは、顧客のニーズに応じて、グループの専門部署や専門企業を組織の枠を超えた一つのプロジェクトチームとして機能させます。顧客企業が直面するどのようなリスクに対しても、ワンストップで対応できるのが大きな強みと言えるでしょう」(齋藤氏)。

我々日本人は特に、「リスク」という言葉を聞くと、「危険」というニュアンスを持ち、避けるべきものと考えがちであるが、そのリスクについて、斎藤氏は以下のように話す。

「リスクという言葉は、本来は、『勇気をもって試みる』という言葉に語源があります。そう考えると、経営者にとって、リスクを避けることだけに注力するのではなく、正確に把握し、時には、そのリスクをテイクしながら、事業の成長に生かしていけるかが重要です。」(齋藤氏)。

社会全体で今後さらに必要となるITリスク対応のプロフェッショナル

一方で、齋藤氏は、特に経営的視点から言えば、リスクの可視化ができていないことが大きな課題だと考えている。
特に、ITに関連するリスクに関しては、企業内の様々な取り組み、部署と複雑に関連するものとなっているケースが多く、全社的に、かつ俯瞰的に、ITリスクを可視化、つまり識別できる人材は、企業内に不足しているのではないかと考えている。

「ITのリスクを識別するには、企業の中で、どのようにITが利用されているかを適切に把握し、かつ、そのITの利用を踏まえ、他社事例等を加味した一定の仮説を立て、どのようなITリスクを識別するかを判断しなければいけません。例えば、現在では、多くの企業がクラウド環境を活用したシステム構成となっていますが、クラウド環境の利用により、識別すべきリスクは多岐にわたります。サイバー対策も含めたセキュリティリスク、データのプライバシーリスク、外部委託先から提供されるサービスの可用性、信頼性、そして、法務リスクなどもあります。そのように、クラウド環境というITの利用の一つをとっても、考慮すべき多くのリスクが発生します。その他のITの利用、例えば、ERPシステムの導入、AI/RPAの活用等、その各々において、識別すべきリスクは異なってきます。」

齋藤氏は続ける。

「そして、企業活動の中で、経営者が、安心して、ITの利用を推進するために、リスクを識別するだけでは、決して十分ではありません。識別したITリスクに対応していくために、企業内の管理体制、つまり内部統制を把握し、その内部統制が、適切に整備、運用されているかを、時にはITテクノロジーを活用しながら、検証を実施します。検証の結果、何らかの課題があれば、他社の事例などを踏まえて、その課題に対する対応案を提示します。このプロセスにおいて、企業のITの利用に応じて、どのようなITリスクを識別すべきか、識別したITリスクに対して、どのような内部統制を整備していくべきか、そして識別された課題に対してどのような対応策をすべきか、企業内にはこれができる人材を確保するのが難しい状況ではないでしょうか。」

「社会には、企業のデジタル化と情報技術を推進する人材もこれからさらに必要になっていくでしょう。ただ、同時に、そのデジタル化、情報技術の推進の裏には、必ず考慮すべきリスクは生まれてくるので、そのリスクに対応しているアドバイザーも、同じスピード感で、社会全体で必要な人材になっていくでしょう。我々は、今後社会、企業で必要とされるITリスクに対するプロフェッショナルとなり、企業の経営者の方々が、ERPシステムの導入、AI/RPAの活用等のデジタル化を、安心して推進できるようしっかりサポートしていける組織でありたいと思っています。」

企業がグローバル化、デジタル化に取り組むとき、足を止めないで済むように安心、保証、信頼を提供する。これがデロイト トーマツ グループの基本姿勢だ。IT監査も例外ではない。

IT監査の社会的な意義は近年ますます大きくなっている。例えばランサムウェア（ファイルを暗号化して使用不能にしたうえで、復元を条件に金銭を要求するソフトウェア）によるサイバー攻撃を受ければ、会計監査や適時開示が不可能になったり、必要な情報が入手できなくなり経営者は意思決定ができなくなったりする。また、企業の社会的信頼が低下すれば、株価の下落などによって投資家をはじめとするステークホルダーにも影響がおよび、サービス提供が滞れば受益者である一般消費者にも被害は広がってしまう。

「我々は、監査法人の一員として、会計監査の一環であるIT監査業務において圧倒的な知見があります。まずは、会計監査の局面においても、監査をさせていただく企業でのITの利用が多岐に亘るほど、財務報告に対するITへの依存度はさらに高まり、我々IT監査の専門家の会計監査業務における活躍領域は拡がってきています。また、我々が培ってきた、ITリスク、内部統制、各種レギュレーションへの知見は、会計監査業務以外においても、例えば、サイバーへの対応、ERPなどのシステム導入、AIの活用など、企業におけるITの利用に対するITガバナンス、内部統制関連アドバイザリー業務として、多くのニーズが生まれています。」 (齋藤氏)。

IT監査とアドバイザリーの相乗効果に期待

「当社では、ビジネスとしてはもちろん、これからの社会的要請に応える意味でも、ITリスクへの対応をリードできるアドバイザリー人材を育てていきたい。そして、社会、企業で不足している人材を、組織でしっかり育成し、人材を社会に輩出する組織でありたいと考えています」(同)。

トーマツでIT監査に携わる人員は現在約550人（2023年4月時点）と4大監査法人の中でも圧倒的に多い。また、一般にIT監査は会計監査の一要素として位置づけられるが、トーマツではIT監査の部隊を、監査・保証事業本部ではなく、リスクアドバイザリー事業本部に入れている。

なぜ、ここまで大きな組織に成長しているのか、そして、なぜ、リスクアドバイザリー事業本部に属するのか、ここが、トーマツのIT監査部隊の大きな特徴だ。

まず、会計監査業務において、トーマツのIT監査チームの担当領域が、他社に比べて広いことが挙げられる。トーマツのIT監査チームでは、企業の情報システム部が担うIT全般統制だけでなく、ビジネスプロセスの中で活用されているIT処理、つまり情報処理統制にも関わるため、ビジネスの中で、ITがどのように活用されているのかに触れる機会があり、業務の中で、ビジネス知見を獲得することもできることもIT監査の特徴の一つである。

次に、リスクアドバイザリー事業本部のメンバーとの連携がスムーズであり、常に、最新のITリスクに対する情報に触れていけることだ。
変容するITリスクに対応していくには、社会一般でどのような事象が発生しているのか、どのような企業ニーズが発生しているのか等を踏まえ、一定の仮説立案が必要になる。その中で、サイバーや、デジタルガバナンスをアドバイザリー業務として提供しているリスクアドバイザリー事業本部内でも密に連携がされており、最新のリスク動向をとらえる研修、意見交換会なども実施され、プロフェッショナルとしての知見の向上をすることもでき、また、そういった情報提供が、企業の方に大変喜ばれている。また、これは、人材育成への効果があることだ。IT監査の人材とアドバイザリー分野の人材が同じ部署にいることで、交流や刺激が生まれ、メンバーのキャリア選択にも柔軟に対応していけるメリットがある。

このように、トーマツのIT監査部隊は、会計監査領域での担当領域も広いだけではなく、会計監査、アドバイザリー双方の業務経験を積むことができるようにしていることが、この組織規模の理由のようだ。

「デジタル化の推進により企業の中でブラックボックス化が進むと、それらリスクに対応できるプロフェッショナルは、今後企業だけでなく社会全体からの必要性がますます高まると考えています。私たちは、監査法人の一員として、まずは、会計監査業務におけるIT監査領域の監査品質を徹底的に高め、企業の財務情報の信頼性と透明性を確保し、資本市場の安定をもたらす組織でありたいと思っています。併せて、メンバーには、その知見を、会計監査を担当させていただいている企業以外にも、アドバイザリー業務として展開していきたいと思っています。なぜなら、今後ますますこういった知見を社会、企業から求められるからです。我々は、第三者的な立場である監査法人だからこそ、このような社会の重要なファンクションを担っていくとともに、企業内では育成が難しいこういった人材を育成し、社会全体に輩出していくインフラになっていければと考えています。」

俯瞰的な視点でIT環境をとらえる

IT業務を経験した人材が、トーマツで働く魅力はどこにあるのだろうか。

「IT監査とシステム開発などのIT業務の大きな違いは、IT監査は、経営者、マネジメントの観点から、俯瞰的な視点でさまざまな企業のガバナンス、管理体制を見ることができるところでしょう。これは仕事の魅力にもつながっています。また、個人のキャリアとしては、IT監査という業務を通じて、ITリスク、ガバナンス・内部統制にかかわる知見、そして企業のマネジメントに安心を与えられるレギュレーション・フレームワークに関する知見という専門スキルを持てることも大きいと思います」(齋藤氏)。

キャリアアップにはさまざまなルートがあるが、一般的な例としては、システム開発経験者が、まずIT監査を経験し、それから自分の志向に合わせて道を選ぶ方法がある。トーマツにはIT監査に必要なレギュレーションやマニュアルが用意されているので、これを用いて産業や企業のITリスク、必要なガバナンスなどを学ぶことができる。こうしたナレッジをもとに現場業務で力を養った後、個々人の志向に沿って、IT監査、リスクアドバイザリーなどに進むのである。

トーマツに中途入社した社員の一人、橋本美由紀氏(リスクアドバイザリー事業本部　アシュアランス マネジャー)は、大手SIerのA社でインフラ系のSEとなり、その後、事業会社B社に移って本社の情報システム室で勤務した後、トーマツに入社、IT監査に携わっている。

リスクアドバイザリー事業本部 アシュアランス　マネジャー
橋本　美由紀 氏

「SIerのA社にいたときは、ほぼシステムの限られた領域やフェーズしか見ていませんでした。お客様のニーズに応えて納期に納めることに集中していましたね。B社の情報システム室勤務のときは、コストセンターと見られる傾向にあり、人員も十分でなく、日々の業務を回すだけで手いっぱいという状態でした」と振り返る。

橋本氏は、将来のキャリアアップとグローバル企業への関心があってトーマツに注目した。

「転職活動の最初の頃は、実は監査法人を意識することはありませんでしたが、IT環境に包括的に関われることには魅力を感じました。自分にとって知らないことも多く、業務が高度ではないかという不安もありましたが、最終的には難易度の高い仕事へのチャレンジにやりがいを感じて決断しました。また実際に業務に携わってみると、SIerでの経験も事業会社での経験もすべて関連してくるので、有意義なキャリアだと思っています。」(橋本氏)。

顧客企業のシステム環境をすぐ理解できるなど、SIerでの経験は十分に活きている。IT監査は初めてだったが、企業による事業やIT環境の違いを見極めつつ、どこまでリスクを許容できるかを考え、監査意見表明に影響がないかを判断する仕事におもしろさを感じている。

IT監査に関連する知識や監査手法については研修などで学ぶほか、周囲に助けられながら身につけていった。「それでも事業やITの利用から生じるリスクはどんどん変容しますから、毎年勉強する必要があります。でも一緒に働くメンバーも勉強する仲間。何か尋ねれば、求めている回答以上に熱心に教えてくださるなど、周囲に熱量の多い方々がいることも刺激になっています」(同)。

グローバルファームらしい国際色豊かな環境も魅力に感じている。「国や地域を越えたオープンな雰囲気が心地よいですね。でも英語を使わない業務も多いので、英語力については特に心配しなくてよいと思います」(同)。

さまざまな分野から向学心のある人を

トーマツが求める人材について、齋藤氏はこう説明する。「向学心、成長意欲のある方がフィットする企業だと思います。前職で、監査に関わっていらっしゃった方は、ほとんどいません。トーマツにはIT監査のフレームワークが整備されていますから、まずこれを学んでいただければと思います。チャレンジ精神がある方は、日本に限らず、その活躍領域を、是非、アジアパシフィック、そしてグローバルに広げていってほしいし、それが可能な環境です。実際に、私は、今、アジアパシフィックのIT監査領域のリーダーを担当しており、とても刺激的、かつチャレンジングな日々を送っています。ちなみに、私は、学生時代まで、長期での海外留学経験はありませんでしたが、入社後、デロイト トーマツの組織カルチャーに感化され、グローバル対応にやりがいを感じ、今に至っています。何事もチャレンジかなと、自分自身にも常に言い聞かせています」。橋本氏も「企業のIT環境を包括的に、顧客企業の方々と我々監査の担当者が一緒になって考えることにやりがいを感じます。そこに勉強へのモチベーションも生まれます」と語る。

これに加え、新しいことに関心を持つ人に期待している。「例えば、AIを活用すればリスクも新たに生まれます。そうした、企業が気づかないリスク、気づいても言語化されていないリスクを察知し、可視化し、提言し、管理し、手続きを行う必要が出てくるのです」(齋藤氏)。

中途採用人材に求める業務経験にはあまりこだわっていないが、ネットワークを含むインフラ系IT、アプリケーション系ITのほか、業務プロセスで活用されるITなどが挙げられる。業務プロセス関連のITでは、金融分野など、特殊な知見や専門知識を持つ人材も歓迎している。

ITを含めたリスク管理は今、あらゆる企業にとって必須となりつつある。またIT監査の基準や企業におけるITのありかたはグローバル化、共通化が進んでいる。こうした動向からも、この分野の人材需要が増すことは明らかだ。その中でもトーマツには他社を凌駕する環境と活躍の機会があると言えるだろう。