企業の経営状況や法令順守などを自社内でチェックする手段の一つに内部監査があります。内部監査という言葉は聞いたことがあっても、具体的な内容や方法については詳しくないかもしれません。
この記事では、内部監査の定義から目的、具体的な実施手順について詳しく解説します。
また、内部監査を効率的に実施したい方に、情報セキュリティ向上クラウド「Seculio」の内部監査機能がおすすめです。
「Seculio」では、内部監査の「計画」「実施」、さらには「対策の実施」までクラウド上での一元管理が可能です。
他にもISMS運用に役立つ機能が満載です。
改めて内部監査の定義を振り返る
内部監査とは、企業であらかじめ任命した内部監査人によって行われる監査のことです。
日本内部監査協会が公開している「内部監査の定義」では以下のように記載されています。
内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的なアシュアランスおよびコンサルティング活動である。内部監査は、組織体の目標の達成に役立つことにある。このためにリスク・マネジメント、コントロールおよびガバナンスの各プロセスの有効性の評価、改善を、内部監査の専門職として規律ある姿勢で体系的な手法をもって行う。
一般社団法人 日本内部監査協会「内部監査の定義」より引用
具体的には、日常的に管理している資料のチェック・日常業務へのヒアリングを通じた業務状況の監査を行います。そうすることで、企業の健全な経営状態を保ち、問題点の改善を行うといった役割を、内部監査は持っています。
内部監査の定義について掘り下げる
内部監査の定義について、もう少し深く掘り下げましょう。
ここでは「内部監査の定義」内で使われている4つの言葉を解説します。
価値の付加と改善
内部監査の目的は、企業価値の向上や企業の状況の改善です。例えば、ルールが守られていない・業務に無駄が多い・ビジネスリスクが存在している、といった不具合の発見や、法令の遵守状況や効率的な業務が遂行されているなどの診断を行ったうえで、しっかり是正していくことが不可欠です。
逆に言えば、内部監査の適切な実施・結果報告とともに、非効率的な業務の改善や社内ルールの整備や社員教育といった改善策の実行を適切に行えば、内部監査は企業に付加価値をもたらすことができます。
アシュアランス(保証)
内部監査におけるアシュアランスとは、内部監査結果報告書に記載されている指摘事項以外には、企業の状態に問題がなかったと保証することです。つまり、内部監査を実施した企業は、内部監査結果報告書に基づいて改善策を実施すれば問題ない、ということになります。
コンサルティング(助言)
内部監査におけるコンサルティングとは、業務に対して何らかの改善指示を行うことです。
改善指示をただ現場に丸投げするというのではなく、内部監査人と被監査部署が協力して業務を改善していく姿勢が求められます。
専門職として規律ある姿勢・体系的な手法
規律ある姿勢・体系的な手法とは以下の4つのことです。
- 誠実性(法令を遵守し、必要な開示を行う)
- 客観性(監査人の利害や他者からの不当な影響を受けない)
- 秘密の保持(内部監査で入手した情報を開示しない)
- 専門的能力(内部監査に必要な知識・技能・経験を持つ)
これら4つが全て揃っていないと、せっかく内部監査を実施しても、無駄になってしまいます。
外部監査との違い
内部監査に対して、外部監査と呼ばれる監査もあります。
内部と外部という言葉の違いから分かるように、外部監査は社外の専門家(公認会計士など)が監査人となって企業の状況を外部から監査することを言います。
企業は株主や取引先などの利害関係者に対して公開した状況が適正なものであるかどうか証明するために外部監査を受けます。財務状況などに行われます。
一方、内部監査とは、企業の経営陣から独立した監査役や社内の担当者が監査を実施します。自社の業務状況や不正のリスクの調査・分析・評価を行い、その結果を経営者に報告します。
内部監査の目的とは
内部監査の目的は、企業における問題点の早期発見と解決です。法や社内のルールを順守しているかをチェックし、リスクを見える化して、改善策の検討・実施をします。例えば、ルール通りに業務を実施していない従業員を発見すれば、注意喚起を行います。
特に ISO の内部監査で言うと、「適合性監査」、「有効性監査」、「改善領域の特定」、「問題点の顕在化」などの目的があります。
適合性監査
適合性監査では、ISO規格要求事項などのルールが守られているかどうか確認します。
例えばISO規格の他にも、マニュアルや計画書などの自社の文書は「監査基準」であり、その基準が満たされているかどうか、現場に存在するデータや記録である「監査証拠」と対比させます。
この監査基準と監査証拠の対比を行う、適合性監査が多くの内部監査の目的となっています。
有効性監査
有効性監査では、マネジメントシステムが、本当に役割を果たし機能しているのか、ちゃんと有効に運用されているのかを確認します。
例えば、マネジメントシステムが実際に従業員に浸透しているのか、記録などの実行が形骸化していないか、過度なルールが業務に支障をきたしていないか、といったことです。
改善領域の特定
改善領域の特定とは、マネジメントシステムにおいて改善点がないか確認することです。
内部監査時に、企業内の部門間における業務を遂行するための要望や改善点を洗い出すことで、改善の必要性を認識し、協働による改善が行えます。
問題点の顕在化
問題点の顕在化では、マネジメントプロセスの機能に障壁が存在しないか確認します。
マネジメントプロセスの形骸化や、従業員間の意思疎通に不都合がないかなどの問題点があることを前提として、その問題点の原因を明らかにします。こうしたことを踏まえ、しっかり意味のあるものにしていかなければなりません。
LRMのご提供する情報セキュリティ向上クラウド「セキュリオ」の内部監査機能では、内部監査の計画・実施・不適合/改善への対策、といったあらゆる業務を一元的に行うことができます。
さらに「セキュリオ」のeラーニング機能では内部監査員研修用の教材もご用意しているため、よりスムーズな監査実施が可能です。
内部監査の対象範囲
内部監査の対象範囲の決定は最も重要です。
原則として企業の全業務が対象範囲となりますが、ISO内部監査の場合は、目的によって対象範囲が異なります。
例えば、ISO9001、ISO14001、ISO27001にはそれぞれに規格要求事項があるため、その要求事項に関する事項が対象範囲となります。それぞれについて詳しく見ていきましょう。
ISO9001の内部監査
ISO9001は、顧客の立場からの要求事項の規格であり、目的は顧客満足の向上です。
ISO9001の内部監査にあたっては、顧客の視点を持ち、顧客の立場で内部監査を行わなければなりません。具体的には以下のような目的で監査します。
- 品質向上に向けてどのように取り組むか
- 顧客の要求をどのように応えるか
- 顧客満足をどのように高めるのか
- 不適合製品をどのように減らすのか
- クレームをどのように減らすのか
ISO9001について、詳しくは「QMSとは?概要や中核となる ISO9001の内容、要求事項も解説」をご覧ください。
ISO14001の内部監査
ISO14001は、環境の保全と汚染の予防が目的です。
具体的には以下のような目的で監査します。
- 環境リスクの回避や低減のために何をするか
- 地球環境汚染の予防のために何をするか
- 環境保全のために何をするか
- 環境分野における機会を逃さないために何をするか
ISO27001の内部監査
ISO27001は、情報資産を脅威から守ることを目的としています。
従業員のセキュリティ意識を高め、コンピュータやネットワーク構成の多様化などに対応できているか監査します。具体的には以下のような目的です。
- 情報資産が適切に保護されているか
- 従業員が情報セキュリティ保護のためのルールを守っているか
- 新たな情報セキュリティの脅威に対応できるか
ISO27001について、詳しくは「ISO27001の取得の流れとは?メリットやデメリットもふまえて解説」をご覧ください。
内部監査の流れ
内部監査は予め決められた手順に従って実施します。具体的には以下のような流れです。
- 計画の策定
- 予備調査
- 本調査
- 監査報告
- 改善の提案
それでは個別に内容を見ていきましょう。
計画の策定
内部監査ではまず、監査計画を策定します。監査計画には、監査の対象となる業務範囲や監査チームが考慮すべき点をはじめとした方向性を盛り込みます。原則として全ての業務を対象としなければなりません。
具体的には、目標や方針、監査対象、監査スケジュール、監査体制、内部監査人の選定、監査項目の検討、監査手順書やマニュアルの作成などが計画に盛り込まれます。
また内部監査人として誰を選定するかによって、内部監査の結果が大きく影響を受けます。内部監査人には、監査の対象となる部門に対しての責任や権限を持たない、独立した立場の人間を選定することが重要です。
内部監査人選定の詳細については「ISMS内部監査員の選び方」をご覧ください。
予備調査
予備調査とは本調査の前に実施される手順です。
監査の対象となる部門に対して、本調査を行う1~2カ月前に通知して実施します。必要なデータや書類の準備を実施し、部門の責任者に同席してもらえるようスケジュールを調整します。
予備調査には、内部監査を実施する目的やプロセスなどを共有する目的も含まれています。
予備調査は基本的に予め通知して実施しますが、不正会計などが疑われる場合には予備調査を行わない、あるいは通知せずに抜き打ちで実施されることもあります。ときには、そうした柔軟な対応も求められます。
本調査
本調査では、予備調査で準備した書類やデータをもとに監査を実施します。
業務内容によって確認項目は異なります。例えば、マニュアルがある場合はマニュアル通りに業務を行っ
ているか、出張時の交通費などの経費が適切に申請されているかなど、細かくチェックされます。
監査報告
本調査が終了したら、調査結果を基に監査報告を実施します。
確認項目ごとに評価を実施、それをもとに監査報告書を作成して、監査対象の部門や役員などに報告します。
改善の提案
監査報告書を取りまとめた結果、改善点が上がった場合は対象部門に改善案を提案します。その後、対象部門の責任者には具体的な改善計画を盛り込んだ「改善計画回答書」を提出してもらいます。
そこからさらに、改善計画に基づいて改善が適切に実施されているかのチェックをします。必要に応じて再調査も実施します。改善が実施されていない場合、内部監査人は経営者や役員にそのことを速やかに報告します。
内部監査の効率を上げたい場合は、「ISMS 内部監査の効率アップ|チェックリスト活用のすすめ」をご覧ください。
まとめ
適切な内部監査の実施は、自社の経営状況の改善につながります。
内部監査には ISO 規格への適合を目的としたものがあり、基準を満たすことで自社のセキュリティ強化にも貢献できます。
定期的な内部監査は負担に感じるかもしれませんが、自社のセキュリティ強化活動の一環ととらえ、前向きに取り組みましょう。