内部監査の目的とは?組織の健全な運営には必須!

この記事は約7分で読めます。

企業の経営状況や法令順守などを自社内でチェックする手段の一つに内部監査があります。内部監査という言葉は聞いたことがあっても、具体的な内容や方法については詳しくないかもしれません。

この記事では、内部監査の定義から目的、具体的な実施手順について詳しく解説します。

また、弊社では現役ISMSコンサルタントの作成した内部監査チェックリストをご用意しております。本記事と併せてお役立てください!

改めて内部監査の定義を振り返る

内部監査とは、企業であらかじめ任命した内部監査人によって行われる監査のことです。一般社団法人 日本内部監査協会の発行している資料「内部監査の定義」によると、内部監査とは以下のように定義されています。

内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的なアシュアランスおよびコンサルティング活動である。内部監査は、組織体の目標の達成に役立つことにある。このためにリスク・マネジメント、コントロールおよびガバナンスの各プロセスの有効性の評価、改善を、内部監査の専門職として規律ある姿勢で体系的な手法をもって行う。

内部監査と内部統制「内部監査の定義」より引用

具体的には、日常的に管理している資料の確認や、普段の対応に関してのヒアリングなどを行い、業務状況を監査します。これにより企業の健全な経営状態を保ち、問題点を改善するための機能を果たすことが可能です。

また公認会計士などが所属する監査法人などの外部の監査機関が実施する「外部監査」も別に存在します。これは主に企業の貸借対照表や損益計算書などから判明する財務状況が妥当であるか、様々な観点から調査し、企業の利害関係者に表明することを目的としています。
詳しくはHUPRO MAGAZINEの「外部監査の流れについて公認会計士の立場から解説します」の記事をご覧ください。

内部監査の目的とは

内部監査の目的は、企業における問題点の早期発見と解決です。法や社内のルールを順守しているかをチェックし、リスクを顕在化して業務効率の向上や妥当性の確認を実施します。その結果、ルール通りに業務を実施していない従業員を発見できれば、注意喚起を行います。

特にISOの内部監査では、「適合性監査」、「有効性監査」、「改善領域の特定」、「問題点の顕在化」などの目的があります。

適合性監査では、ISO規格要求事項などのルールが守られているかどうか確認します。
例えばISO規格の他にも、マニュアルや計画書などの自社の文書は「監査基準」であり、その基準が満たされているかどうか、現場に存在するデータや記録である「監査証拠」と対比させます。この監査基準と監査証拠の対比を行う、適合性監査が多くの内部監査の目的となっています。

有効性監査とは、マネジメントシステムが目的を果たし機能しているかどうかを確認します。具体的には、ISO9001、ISO14001、ISO27001などの規格要求事項の目的と照らし合わせます

改善領域の特定とは、マネジメントシステムにおいて改善点がないか確認します。
内部監査時に、企業内の部門間における業務を遂行するための要望や改善点を洗い出すことで、改善の必要性や協働による改善が行えます。

問題点の顕在化では、マネジメントプロセスの機能に障壁が存在しないか確認します。
マネジメントプロセスの形骸化や、従業員間の意思疎通に不都合がないかなどの問題点があることを前提として、その問題点の原因を明らかにします

内部監査の対象範囲

内部監査の対象範囲の決定は最も重要です。原則として企業の全業務が対象範囲となりますが、ISO内部監査の場合は、目的によって対象範囲が異なります。

例えば、ISO9001、ISO14001、ISO2700にはそれぞれに規格要求事項があるため、その要求事項に関する事項が対象範囲となります。それぞれについて詳しく見ていきましょう。

ISO9001の内部監査

ISO9001は顧客の立場からの要求事項の規格であり、目的は顧客満足の向上です。
ISO9001の内部監査にあたっては、顧客の視点を持ち、顧客の立場で内部監査を行わなければなりません。具体的には以下のような目的で監査します。

  • 品質向上に向けてどのように取り組むか
  • 顧客の要求をどのように応えるか
  • 顧客満足をどのように高めるのか
  • 不適合製品をどのように減らすのか
  • クレームをどのように減らすのか

ISO14001の内部監査

ISO14001は環境の保全と汚染の予防が目的です。具体的には以下のような目的で監査します。

  • 環境リスクの回避や低減のために何をするか
  • 地球環境汚染の予防のために何をするか
  • 環境保全のために何をするか
  • 環境分野における機会を逃さないために何をするか

ISO27001の内部監査

ISO27001は情報資産の脅威からの防御を目的としています。
従業員のセキュリティ意識を高め、コンピュータやネットワーク構成の多様化などに対応できているか監査します。具体的には以下のような目的です。

  • 情報資産が適切に保護されているか
  • 従業員が情報セキュリティ保護のためのルールを守っているか
  • 新たな情報セキュリティの脅威に対応できるか

内部監査の流れ

内部監査は予め決められた手順に従って実施します。具体的には以下のような流れです。

  1. 計画の策定
  2. 予備調査
  3. 本調査
  4. 監査報告
  5. 改善の提案

それでは個別に内容を見ていきましょう。

計画の策定

内部監査の最初の手順は、監査計画を策定することです。監査計画には、監査の対象となる業務範囲や監査チームが考慮すべき点などの方向性を盛り込みます。原則として全ての業務を対象としなければなりません。

具体的には、目標や方針、監査対象、監査スケジュール、監査体制、内部監査人の選定、監査項目の検討、監査手順書やマニュアルの作成などが計画に盛り込まれます。

また内部監査人として誰を選定するかによって、内部監査の結果が大きく影響を受けます。
内部監査人には、監査の対象となる部門に対して責任や権限がなく、独立した立場の人間を選定することが重要です。

予備調査

予備調査とは本調査の前に実施される手順です。

監査の対象となる部門に対して、本調査を行う1~2カ月前に通知して実施します。必要なデータや書類の準備を実施し、部門の責任者に同席してもらえるようスケジュールを調整します。
予備調査には、内部監査を実施する目的やプロセスなどを共有する目的も含まれています。

予備調査は基本的に予め通知して実施しますが、不正会計などが疑われる場合には予備調査を行わない、あるいは通知せずに抜き打ちで実施されることもあります。このような柔軟な対応も予備調査には求められます。

本調査

本調査では、予備調査で準備した書類やデータをもとに監査を実施します。

業務内容によって確認項目は異なります。例えば、マニュアルがある場合はマニュアル通りに業務を行っているか、出張時の交通費などの経費が適切に申請されているかなど、細かくチェックされます。

実際の内部監査でご活用いただける無料のチェックリストはこちら

監査報告

本調査が終了したら、調査結果を基に監査報告を実施します。
確認項目ごとに評価を実施し、監査報告書を作成して、監査対象の部門や役員などに報告します。

改善の提案

監査報告書を取りまとめた結果、改善点があれば対象となった部門に改善案を提案します。

「改善計画回答書」に具体的な改善計画を盛り込み、部門責任者に提出してもらいます。その後、改善計画に基づいて改善が適切に実施されているかチェックします。必要に応じて再調査も実施します。

改善が実施されていない場合、内部監査人は経営者や役員にそのことを速やかに報告します。

まとめ

適切な内部監査の実施は、自社の経営状況の改善につながります。内部監査にはISO規格への適合を目的としたものがあり、基準を満たすことで自社のセキュリティ強化にも貢献できます。

定期的な内部監査は負担に感じるかもしれませんが、自社のセキュリティ強化活動の一環ととらえ、前向きに取り組みましょう。

また、現役ISMSコンサルタントの作成した内部監査チェックリストを無料でご用意しております。ぜひ本記事と併せてご活用ください!

ISO 認証取得を目指す
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ向上クラウド「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました