内部監査は企業の健康診断

内部監査とは企業の事業活動を支援する活動のことである。

図解 一番はじめに読む内部監査の本 (第2版)

内部監査の方と、ここ1,2年関わることが多かったので改めて書籍で勉強してみた。この「図解-一番はじめに読む内部監査の本-第2版」が頭に入りやすかったのでこの書を元に頭の整理を試みた。

この10年で内部監査の必要性が高まってきた

2010年の本しかも第二版というのがポイント。

この時代は企業のガバナンスが求められる内部統制の時代の到来だということが本書より伺える。不祥事の歴史とかニュースとして目立つことがあったのだろう。

企業は利益をあげる仕組みのように思われがちだが、利益をあげれば何をしていいわけではない。法令遵守を守る必要がある。そこを内部統制し、その一部である内部監査していくことが大事だということが書かれていた。

内部監査の人と接して感じる企業人の在り方

監査は会社法としては義務（外部監査）でありつつ自主的（内部監査）なところが興味深い。

内部監査の人が企業の業務状況を確認するのは、そもそも企業自らがきちんとした企業活動をしている前提と宣言しているので、それを確認するという立場なのだ。年間計画を持ってサンプリング調査が行われる。

現場レベルだと監査は割り込み業務と勘違いしがちだが、自らがやっているから確認をお願いしますというスタンスを履き違えなようにしたい。それが内部監査。外部監査も企業規模に応じて義務としてやる必要が出てくる。

書籍より、健康診断の例えがとてもわかりやすく、「健康です」と自ら名乗ってそのための運動なり食事なり気をつけている記録を残す。そこを第三者視点でチェックされると考えるとイメージが掴みやすかった。

業務を継続するための定期健康診断が監査だ。

IT監査が注目される時代

さて、先ほど紹介した本はインターネットが到来して10年。

その後の10年の流れは、監査対象にインターネットセキュリティという項目が増えていく。

IT監査とIT統制(改訂版) ―基礎からネットワーク・クラウド・ビッグデータまで―

その視点を頂いたのが本書「IT監査とIT統制(改訂版) ―基礎からネットワーク・クラウド・ビッグデータまで―」だ。クラウドにビックデータときたものだ。

こちらは出版側の一般社団法人日本内部監査協会 の書籍で、ITの変化に合わせて改定の歴史を歩んだことが伝わる。特に後半の章ではTCP/IPの基礎知識を必要とするネットワークとセキュリティの話が監査に求められている。

マスタリングTCP/IP―入門編―(第6版)

WAFにIPSにSSLというキーワードが飛び交うように、監査はこのレベルも求められる時代なんだと気がつく。ITを含む内部監査の本として参考になる。リスクの考え方を軸にフレームワークとなる監査体制の整え方が学べる。

パンデミック想定の在宅勤務も見据えたBCMやネットワークとセキュリティの基礎用語が簡易解説されており、内部監査は企業に不可欠だとその意義が見えて来て理解しやすい。

内容より、ITリスクを定義・マネジメントし、可用性・機密性といった視点でコンプライアンスが問われ、企業価値提供のための活動が内部監査として求められているのだと学ぶことができる。

内部監査は企業に不可欠

スタートアップ企業にいるときは気づきにくい視点だが、どこかのタイミングでこのような内部統制を気にする必要が出てくるのだろう。そんな成長を感じる流れの中で内部監査の方と接して実感する。

私も監査の方と関わるといったが、データの保全性であるとか、セキュリティが正しく設定されているかといった点での指摘を頂いた。基本、ちゃんとやっているに加えて、日々のチェックが必要なのだろう。

監査のお仕事が少し見えてきた気がしたので、初学者としての入り方に書籍は有効だなと感じた。