内部統制とISOの内部監査③ [3-内部監査参考情報]
ISO認証取得のために、過去には、マニュアル作成や記録管理等の「形式的な」システム構築に精力を傾け、結局、現実のマネジメントとは乖離した「お飾り的な」マネジメントシステムになり、それを監査する方も、どこか形式的になっていたことが愚かな行為だったことが判ります。
ISO規格に合わせてマネジメントシステムを構築するのではなく、現実のマネジメントシステム(統制システム)をISOの視点で検証し、整理・補強すればよかったはずなのです。
もちろん、内部統制システムは、単なる業務品質や環境貢献を目的としたマネジメント領域だけでなく、人事労務や財務・会計、資産管理、等々組織経営全体を領域としたシステムであるわけで、ISOだけですべてが解決するわけではありません。
図解してみると、以下の様にとらえることができます。
組織全体の管理の仕組み(内部統制・マネジメントシステム)は、領域ごとの個別管理の仕組み(マネジメントシステム)が有効に機能し、互いが関連しあい、統合された形で運用されている事が望ましい姿と考えることができるはずです。(領域設定は、組織構造によって違いがあるでしょうから、参考程度にしていただければと思います。)
そして、これら全体が、内部監査の対象領域であるべきで、ISO内部監査だけでは組織全体を監査している事にはならないと考えるべきではないかと思います。
それらをより合理的に展開していくために、「総合マネジメントシステム」の考え方が有効です。
基本にするのは、「COSOの6つの構成要素」ですが、前述のようにISO規格(HLS)とも、共通のプラットホームで整理します。少し例を挙げて考えてみましょう。
図にある領域で比較的判り易いのは「順法管理」領域です。以下の様な構造になります。
内部統制の要素 |
ISO:HLS |
具体的な整備内容(例) |
|
統制環境 |
基礎的要素(法令・社会規範含) |
4章:組織の状況 5章:リーダーシップ |
倫理方針・行動規範 |
リスクの評価と対応 |
リスクマネジメント |
6章:計画(6.1リスク及び機会に対処する活動) |
法令リスク認識:重点化検証の有無 |
統制活動 |
方針や手続(規程・手順) |
6章:計画(6.2目的及び達成するための計画策定) |
コンプライアンス管理規程・順法管理規程 |
主管部署(権限) |
経営管理部 |
||
運用プロセス |
「順法管理表」に基づく実施・確認 |
||
教育・訓練 |
7章:支援(資源・力量・認識) |
管理者教育・コンプライアンス教育 |
|
運用実践 |
8章:運用 |
法令資格・届出の実施 |
|
情報・コミュニケーション |
機関会議 |
7章:支援(コミュニケーション・文書化した情報) |
内部統制委員会(法規委員会) |
情報発信 |
主管部局からの通知・通達 |
||
モニタリング(監視活動) |
日常的 モニタリング |
9章:パフォーマンス評価 |
月次モニタリング(自己評価) |
主管部局による定期点検 |
|||
独立的 モニタリング |
内部監査による監視活動 |
||
是正・改善 |
10章:改善 |
主管部署からの是正指示 |
|
IT対応 |
統制に組み込まれるIT技術 |
7章:支援(資源・コミュニケーション) |
規程イントラDB運用や通達の運用・情報提供 |
法令順守に関して、トップの宣言・組織風土の醸成がある事、リスク評価において「法令リスク」が認識されている事、法令遵守に関して、定められた規程と管理部署が特定され、運用プロセスが明示されている事、さらに、コンプライアンス教育の仕組みが整備され実践されている事、実際の運用状況がモニタリングされている事と不備が発見された場合、迅速に是正改善が進む仕組みがある事。
こういう構造ができているかを監査することは、ISO監査でも内部統制監査でも同じだという事が理解いただけると思います。
では、実際の監査ではどのようなワークシートになるのか、次のブログで説明します。
コメント 0