情報流出の事故が新聞をにぎわせている。三菱UFJ証券では約148万人分の顧客情報が流出したとのこと。情報を持ち出した疑いで元社員が逮捕された。また生命保険会社のアリコジャパンでは、顧客のクレジットカード番号などの個人情報が最大で11万件流出した可能性があると発表した。被害はさらに拡大する恐れがあるという。アリコの流出原因は不明とのことだ。大規模の流出事故になると、経営に与える影響も多大なものである。
セキュリティソフト販売のトレンドマイクロ社によれば、情報流出原因の8割が、意図的かはともかく、企業内部の人間に起因するという。不正持ち出し(三菱UFJ証券の例)や操作ミスや紛失などだ。
流出事故では、記者会見で企業幹部が深々と頭を下げた後、再発防止策が発表されるのが常。そして内部犯罪を防止するために、内部監査をきちんとやりますとの約束が決まりきったセリフである。監査で万全なのだろうか?
本書は企業経営者の意志決定材料を支えるモニタリング機能――経営に資する統合的内部監査――がどうあるべきかについて検討している。
内部監査人協会(IIA)によれば、内部監査の目的は組織体の目標達成に役立つこと。内部監査は、組織体の運営に関し価値を付加し改善するために行われる、独立にして客観的なアシュアランスおよびコンサルティング活動である。「経営に資する」とは、必要な情報が内部監査によって直接的に経営者にもたらされること。
「経営に資する統合的内部監査」とは究極的にはERMの独立的評価機能として位置づけられるという。ERM(Enterprize Risk Management)とは、COSOが提唱するリスクマネジメントの手法であり、組織体の事業目的の達成に影響を与えるすべての不確実性を、全社的観点から統合的・戦略的に管理し、企業価値の最大化を図ろうとするもの。
従来からの業務監査は、業務の効率化が目的であり、経営者が実施要件(目的、対象業務、時期、方法等)を決めるものである。
近年はさらに、内部監査が多様化してきた。例えば、金融商品取引法の制定にともない08年4月以降に始まる会計年度から上場会社に対して財務報告に係わる内部統制を評価し内部統制報告書を作成・開示することが義務づけられるようになった。
さらに、品質監査(ISO9001)、環境監査(ISO14001)、個人情報保護監査、情報セキュリティ監査(ISMS)、コンプライアンス監査、労働安全衛生監査(OHSAS18001)、業法監査などがある。
企業の8割が内部監査の調整/統合が必要と回答しているが、なかでも業務監査と内部統制報告に関する調整/統合への関心が特に高い。それに次ぐのが業務監査とコンプライアンス監査である。調整/統合の理由は、効率性(被監査部門の負担感も)と品質である。
調整/統合の傾向はほぼ3パターンに分類できるようである。(1)業務監査のなかにコンプライアンス監査等を吸収する。(2)ISO等の認証取得系の監査を統合する(統合認証)。(3)業務監査と内部統制報告制度に関する評価を統合するもの。また、内部統制報告制度に関する評価のイメージがまだ明確でないため、業務監査と内部統制報告制度に関する評価は類似している、と捉える会社と似て非なるものとする会社に二分される。
統合に積極的に取り組み、総合監査という名称で会計監査、業務監査、情報システム監査、コンプライアンス監査の4つを統合して1つのチームで同時期に実施している例もある。
統合的内部監査に向けた取り組みには3つのポイントがある。(1)高リスクのエリアに監査資源を配分すること。(2)経営者的な視点をもって企業活動を統合的かつ客観的にとらえて監査を行う。そのための人材配置。(3)現場へのコンサルティングと経営者にアシュアランス(保証・安心)を提供すること。
◆ 『経営に資する統合的内部監査』 あずさ監査法人、東洋経済新報社、2009/7