はじめに
これから7回にわたって、リスクの動きの速いといわれている暗号資産(仮想通貨)交換業にあって内部監査態勢をどのように整備しているかについて、ご紹介したいと思います。
なお、同業社や同様の特性・リスクを有する組織には「参考事例」として、他の業態には「比較材料」を提供できればと考え、具体的な記載を心がけつつ、できるだけプロセスは一般化し、特に留意して態勢を整備している点については、その背景や理由に触れていきたいと考えています。
ステークホルダーの期待の整理の必要性
内部監査態勢を整備するなかで最初に把握し整理しておくべきことが「組織体の目標[1]」だと考えます。
例えばこれから主としてご説明する暗号資産交換業には24社の登録(2020年8月末現在)があり、暗号資産について売買の場を提供し収益を上げることを目標としている会社もある一方で、暗号資産のもつ将来性や可能性やブロックチェーン技術に基づく安価な社会基盤の創設の一助となるべく普及の手段として取引所を選んだような会社もあり様々です。
私の所属する「ディーカレット」は、暗号資産交換業の登録業者ですが、「デジタル通貨による価値交換プラットフォーム」の提供を目指し、価値が転々流通するデジタル通貨や、将来的に広がりが期待されるデジタルアセットの交換をシンプルにする仕組みを実現することを目標にしています。
私の経験上ではありますが、「既存の事業で収益を上げ、会社が存続していくこと」を組織体の目標としている内部監査人が少なくないように感じています。もちろん事業の継続(ゴーイングコンサーン)の観点も重要ですが、組織として実現しようとしていることを把握し整理することは、すべての内部監査活動の拠り所であり、評価基準にもなりますので、重要なプロセスであると考えます。
私は、ステークホルダーの期待を以下のように整理し内部監査活動に取り込むようにしています。内部監査には、各ステークホルダーの期待を利害関係者間で共有の上、調整する働きもあるのではないかと考えています。
[1] 「組織体の目標」:「IPPF(専門職的実施の国際フレームワーク)「Internal Audit Activity〈内部監査部門〉」より抜粋「内部監査部門は、ガバナンス、リスク・マネジメントおよびコントロールの各プロセスの有効性の評価、改善を、内部監査の専門職として規律のある姿勢で体系的な手法をもって行うことによって、組織体の目標の達成に貢献する。」
ステークホルダーとしての規制当局
ステークホルダーの期待を整理していくなかで、内部監査が誰の期待を重視するのか、という点は自然と整理されてくると考えています。もちろん多くの会社では、主に株主、経営者およびサービス利用者になると考えますが、規制に服する業種においては、その規制当局の期待を一定程度踏まえなければならない点が特徴となります。
ステークホルダーの期待は、内部監査における監査対象業務の一つの評価基準となります。規制当局の期待は、監督指針や事務ガイドライン等として示されていますので、期待に応えるには、遵守を目指す(ギャップを生じさせない態勢を整備する)ことが近道となります。もちろん必須のものを除き遵守(Comply)することが、組織の規模・特性等から見て妥当ではない場合もあります。その場合は「Comply or Explain」ルールに則り、しっかりと期待水準に応える態勢であることを説明(Explain)していくことが重要と考えます。
なお、暗号資産交換業は、資金決済法下で規制の対象となって以降、22回の業務改善命令および業務停止命令(2020年8月末現在)が出され、登録申請の取り下げから廃業に至った会社も少なくありません。これはステークホルダーの期待を裏切った結果顕在化したいわゆる「当局リスク」であると考えています。逆に言えば、リスクを想定したうえで、ステークホルダーの期待を管理しておれば回避できたリスクであるとも考えています。
そのため暗号資産交換業の内部監査では、規制当局を含めたステークホルダーの期待に応える業務遂行・管理態勢となっていることを、内部監査活動を通じて評価することが特に重要であると考えます。
※本コラムでの暗号資産固有のリスクの取り扱い
次回以降、内部監査活動をより具体的に説明したいと考えていますが、暗号資産固有のリスクについては本コラムの対象外としています。
暗号資産そのもの(ビットコインやイーサリアム等)は、それぞれ異なる仕組み・技術仕様を有しているため、複数の暗号資産を扱う組織の内部監査で、すべてのリスクを個別に検証するには限界があります。暗号資産自体のリスクは、そのものを直接検証するのではなく、暗号資産を取り扱う際の「暗号資産の審査」(関係するホワイトペーパーや外部評価書のレビュー等)というプロセスが十分であったか、それぞれの「仕様変更(ハードフォーク等)」等の局面への対応が妥当なものであったか等、いわゆる「プロセス」を検証することが一般的となります。もちろんブロックチェーン上の有り高の確認等、特別な検証手続きもあるのですが、大半は間接的な検証にとどまっており、他の内部監査と同じ検証アプローチとなることから、本コラムでは暗号資産固有のリスクは対象としていません。