内部監査のプロのテクニック　３

　内部監査のプロの検証は、表面的でなく深度あるものになります。その地味なテクニックの３回目。

個人情報の社外持出状況の内部監査

　社内ルールに、個人情報を社外に持ち出す際には社外持出承認簿にて事前に承認をえると定められている場合、その運用状況を検証する内部監査項目は「個人情報の社外持出管理は適正か」となります。内部監査では、社外持出承認簿について検証をおこないます。

　一般的には、承認簿の承認印が押印されているか、押印者は承認権限者であるか、持出をおこなう本人が承認をおこなっていないか等を検証し、運用状況について評価をおこないます。そこで発生する指摘事項は承認印漏れがあるといったものになります。その事象の発生原因をヒアリングしていきますが、大抵の場合ケアレスミスであるとの結論になっていきます。

プロの検証はシナリオとともに

　内部監査のプロは、社外持出承認簿の検証の他、事前準備にて社内ルールを読み込み、個人情報が記載された書類を把握します。そして、商品Bの売上をおこなう為には個人情報が入った書類Bの社外持出が必要であることを特定します。個人情報の社外持出のシナリオをたてて検証をおこなうのです。

　この場合、商品Bの売上記録と社外持出管理簿の対査をおこなうことで、商品Bの売上はあるが書類Bの社外持出管理簿の承認がない事象がみつかるのです。この指摘事項でも同様に事象の発生原因をヒアリングしていきますが、単純なミスではなく個人情報管理の軽視といった構造的な問題が見つかることもあるのです。

表面的な内部監査と深度ある内部監査

　同じ監査事項を検証するのでも、内部監査のプロが実施するとより表面的ではなく深度あるものになります。その結果、深い問題点がみつかり抜本的な改善につながっていくことがよくあります。

　深度ある内部監査は、ガバナンスの向上につながっていくのです。

>>他の内部監査の話題へ　内部監査は外部にまかせなさい

 #監査　#アウトソーシング　#内部統制　#深度ある監査　#ガバナンス