コンプライアンス監査とは
コンプライアンス監査は、組織の活動と記録を中立的にレビューするプロセスであり、内外のポリシー、基準、規制の遵守を検証します。サイバーセキュリティー、データ・プライバシー、財務報告、健全性、安全などの分野を対象にすることができます。
コンプライアンス監査は、多くの場合、組織のコンプライアンス管理システムの一環として実施されます。コンプライアンス管理システム(CMS)は、規制要件、社内ポリシー、業界標準を満たすために使用される統合システムです。
効果的なCMSには、定期的なコンプライアンス監査に加えて、取締役会で企業内におけるコンプライアンス文化の醸成に重点を置くこと、最高コンプライアンス責任者またはマネージャーがコンプライアンスのポリシーと手順を確立または実装すること、およびコンプライアンス監視によって経営を監視してコンプライアンス非準拠領域を特定することも含めることができます。
第一次産業革命中に企業が発展し、投資家が財務記録の監査を通じて財務健全性の保証を求めるようになるにつれて、監査の実践は社会の中で顕著な足場を獲得しました。19世紀半ば頃に、英国で企業監査を義務付ける法律が制定され、そこからコンプライアンス規制が発展し始め、今日まで続いています1。
今日のコンプライアンス要件は、財務諸表の検査にとどまらず、機密情報の保護や組織の環境規制の遵守など、さまざまな領域が含まれます。
コンプライアンス監査の重要性を理解するには、まず現代のコンプライアンスの状況を検討することが助けになります。
世界中で、官公庁・自治体や業種・業務組織が、消費者、労働者、投資家、その他の利害関係者にとってメリットとなるように、大規模で多様なコンプライアンス要件を施行しています。これらの要件に違反すると、多額の罰金、制裁、風評被害を受ける可能性があります。
例えば、欧州連合の一般データ保護規則に重大な違反が判明した企業には、最高2,000万ユーロまたは全世界での年間収益の4%のいずれか高い方を罰金として科せられる可能性があります。
コンプライアンス監査は、組織がそのようなコストのかかる結果を回避しながらビジネス目標を達成するのに役立ちます。これにより、組織は独自のリスク管理のベスト・プラクティスに従っているかどうかを判断し、コンプライアンス違反の危険があるかどうかを特定し、是正措置が必要な時期を明らかにすることができます。監査により、組織の規制遵守の取り組みに関して利害関係者に保証を与えることもできます。
コンプライアンス監査という用語はたいていの場合、独立した外部監査人により実施される外部監査を指して使用されます。ただし、内部監査(企業内の内部監査人または監査チームによって実施される監査)も、コンプライアンス監査の一環に位置付けられる場合があります。
内部コンプライアンス監査は、多くの場合、企業が自社のポリシーや手順を遵守し、ビジネス・プロセスやリスク管理活動の効率を向上させることに焦点を当てています。ただし、外部監査は、企業が官公庁・自治体の規制などの外部基準を遵守していることを利害関係者に保証するために実施されることがよくあります。
どちらの場合も、監査プロセスは中立的な方法で実施され、その成果(監査報告書にまとめられる調査結果と推奨事項)を用いて、組織やコンプライアンス担当者は継続的なコンプライアンスを維持し、潜在的なコンプライアンス・リスクを特定することができます。
監査手順では、企業がさまざまな領域や分野のコンプライアンス基準に準拠しているかどうかを評価できます。これには、次のような領域が含まれます。
- サイバーセキュリティー
- データ・プライバシーと保護
- 財務報告とセキュリティー
- 環境・社会・ガバナンス(ESG)
- 健康と安全
サイバーセキュリティー
組織のサイバーセキュリティー対策の監査は、フィッシングからマルウェアに至るまでのさまざまなサイバー脅威を管理して対応するための、適切な対策が講じられていることを確認するのに役立ちます。
サイバーセキュリティー監査で一般的に使用される規格の1つは、米国国立標準技術研究所のサイバーセキュリティー・フレームワーク(NIST CSF)です。この規格は、組織が情報セキュリティーとサイバーセキュリティー・リスク管理を改善するために従うことができるガイダンスとベスト・プラクティスを提供しています。このフレームワークは、リスク・アセスメント、ID管理、アクセス制御、対応計画、回復活動など、さまざまなサイバーセキュリティー対策を網羅しています。
サイバーセキュリティー監査の基盤となっているもう1つの主要な規格は、ISO/IEC 27001です(単にISO 27001と呼ばれることもあります)。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で策定したこのグローバルな情報セキュリティー基準は、組織内の情報セキュリティー管理システムに関する一連の要件を定めたものです。このフレームワークは実際に、組織が機密データやその他の情報を管理して保護するためのフレームワークを提供し、データ侵害、サイバー攻撃、その他のセキュリティー・インシデントのリスクを軽減します。
さらに、サービス・プロバイダー向けに特別に設計されたサイバーセキュリティー監査もあります。Service Organization Control(SOC)レポートは、米国公認会計士協会(AICPA)が認定した評価者が発行する独立した第三者レポートであり、アウトソーシング・サービスに関連するリスクに対処します。SOC 2レポートは、お客様所有のデータを保護するために組織が導入した内部統制を評価し、それらの内部統制の性質に関する詳細を提供します。
データ・プライバシーと保護
サイバーセキュリティー監査には、通常、組織のデータ保護対策の検査が含まれますが、特定の法律や規制に基づく監査では、特にこの領域に焦点が当てられます。これには、消費者情報や医療に関するデータ・プライバシーを保護する法律に沿った監査が含まれます。
消費者に広く適用される法律には、EUの一般データ保護規則(GDPR)およびCalifornia Consumer Privacy Act(CCPA)が含まれます。企業はGDPRへの準拠のため、個人データの転送と処理に法的に承認された方法を使用し、個人データを保管中と転送中に保護し、EU居住者の個人データの収集、使用、保有に関する権利を法律で定められたとおりに尊重する必要があります。
CCPAを遵守するため、企業は、カリフォルニア州の居住者については、複数の種類の個人データを対象としたガイドラインを遵守する必要があります。これには生年月日、運転免許証番号、パスポート番号、銀行口座情報、クレジット・カード番号またはデビット・カード番号などが含まれます。
医療プライバシーにおける1つの重要なタイプのコンプライアンス監査は、医療保険の相互運用性と説明責任に関する法律(HIPAA)監査です。この米国の法律の対象となる事業体(医師や病院などの医療従事者や医療保険会社など)とその関連事業体は、Protected Health Information(PHI)を保護するために策定された一連の技術的、管理的、物理的制御を実施して維持する必要があります。
財務報告とセキュリティー
組織の財務諸表とセキュリティー管理の監査により、サーベンス・オクスリー法(SOX)などの法律や、ペイメント・カード業界のデータ・セキュリティー基準(PCI DSS)などの業種・業務規則への準拠を評価できます。
SOX法は、企業詐欺の防止を目的とした米国の法律です。上場企業は、財務データの改ざんから保護するための内部管理を実施すること、証券取引委員会(SEC)に対し、セキュリティー管理の有効性と財務開示の正確性を証明する定期的な報告書を提出すること、および財務諸表と管理に関する年次独立監査に合格することが求められます。
PCI DSSは、カード保有者のデータ(プライマリー・アカウント番号(PAN)、名前、有効期限、サービス・コードなど)およびその他の機密情報をライフサイクル全体にわたって保護するための、一連のセキュリティー要件です。
PCI DSSコンプライアンスには、販売業者とサービス・プロバイダーによる年次報告と、カード会員データ環境の大幅な変更後の追加報告が必要です。コンプライアンスの検証には、組織のセキュリティー体制の継続的な評価ならびにセキュリティー・ポリシーやテクノロジー、手順のギャップに対処するための継続的な修復も含まれます。
環境・社会・ガバナンス(ESG)
環境・社会・ガバナンス(ESG)監査では、企業が環境や社会への影響に関連する法律や自主的なフレームワークを遵守しているかどうかを判断できます。これらには、EUの企業サステナビリティー報告指令(CSRD)、米国環境保護庁規制、グローバル・レポーティング・イニシアチブ(GRI)、サステナビリティー会計基準審議会(SASB)基準が含まれます。
健康と安全
安全監査では、組織が従業員の健康と安全を保護するために策定された規則や規制を遵守しているかどうかが評価されます。主な規格にはISO 45001がありますが、これは国際標準化機構によって策定された世界的な健康と安全の規格です。米国では、労働安全衛生局(OSHA)によって職場の安全規則が設けられ施行されています。
コンプライアンス監査の性質は、監査の種類、コンプライアンス・プログラム、組織、業種・業務によって異なります。ただし、コンプライアンス監査人がコンプライアンス監査プロセス中に一般的に実行するいくつかの手順があります。例えば、次のような手順です。
ステップ1:監査を計画する
監査の範囲とその目標を決定し、必要な参考情報を判別します。プロセスをマッピングしたコンプライアンス監査チェックリストが役立ちます。
ステップ2:ドキュメントをレビューする
会社のポリシーや手順、およびさまざまな記録や契約などの他の関連文書をレビューします。
ステップ3:追加調査を実施する
従業員やマネージャーにインタビューする。該当する場合は、経営や内部プロセスを観察する。
ステップ4:コンプライアンス監査レポートを作成する
継続的な改善または是正措置のための成果、調査結果、推奨事項を文書化する。
ステップ5:フォローアップを実施する
推奨される対策や措置の実施の進捗状況を監視する。
ソフトウェア・ソリューションは、組織がコンプライアンス要件への準拠を追跡し、コンプライアンス監査に備えるのに役立ちます。主要なソリューションは、次のような機能を提供します。
データ・セキュリティーと規制への体制をリアルタイムに監視できます。
包括的なダッシュボードで、コンプライアンス活動を一元的に把握できます。
自動化されたデータ収集とレポート作成は、コンプライアンス監査の合理化に役立ちます。
すぐに使用できる、定期的に更新されるテンプレートにより、コンプライアンス・ポリシーのセットアップを簡素化できます。
参考情報
脚注
1 「Why change over time the fundamental purpose of auditing?」International Journal of Business and Management Invention. 2023年9月。