社会人であれば、どのような業界に属していても「コンプライアンス」という言葉を一度は聞いたことがあるかと思います。「コンプライアンス」とネットで検索すると、法令遵守という意味が出てくるかと思いますが、法令だけを遵守していれば社内のコンプライアンス・プログラムは機能していると言えるのでしょうか。

社内におけるコンプライアンスの定義をきちんと明確にしなければ、各部署のコンプライアンスに対する解釈が異なってしまい、全社的にコンプライアンス・プログラムを機能させることができなくなってしまいます。このような事態に陥ると、内部監査で何を保証するべきなのかも分からなくなってしまいます。

本記事では、コンプライアンスの定義を明確にした上で、コンプライアンス・プログラムにおける内部監査では何をするべきかについて解説します。コンプライアンス・プログラムについて理解を深めたい方やコンプライアンス・プログラムにおける内部監査を検討している方は、是非とも参考にしてください。

目次
コンプライアンス・プログラムとは何か？
コンプライアンスという言葉について
コンプライアンス・プログラムにおける内部監査
コンプライアンス・プログラムにおける内部監査の役割は重要

コンプライアンス・プログラムとは、「法令を遵守し、企業倫理に沿った行動を取るためのプログラムやシステム」のことです。この言葉は、主にコンプライアンス推進のための組織体制および行動規範などの社内指針から成り立っています。そして、違法行為などによって事業者にもたらされるリスクを最小化し、企業価値を向上させることを目的とします。

コンプライアンス・プログラムを機能させる上で大切なのは、コンプライアンス体制の計画的な運営と継続的な改善です。その具体的な手段は様々ですが、代表例として、全社及び各部門のコンプライアンス年間計画の策定と実践、コンプライアンス推進のための委員会の設置・運営などが該当します。

では、そのようなコンプライアンス・プログラムに対して、どういった内部監査を行うことが効果的なのでしょうか。その内容を解説する前に、まずは前提となるコンプライアンスの定義について解説します。

参照：日本 CSO 協会 コンプライアンス・プログラム・ガイドライン

結論から先に申し上げますと、コンプライアンスは法令遵守に限った言葉ではありません。そもそもコンプライアンスの語源は、complyの名詞系であり、「何かに応じること・従うこと・遵守すること」という意味になります。故に、言葉の意味だけで解釈しても、何も法令に限った言葉ではないということがご理解頂けるかと思います。

法令に限った話ではないということは、社内の規則や規程、社会常識、倫理規範なども当然に含むべきであり、それらを考慮した上で、道徳的かつ社会通念的に正しいコンプライアンスを確立するべきです。

例えば、「上場会社における不祥事予防のプリンシプル」内に記載されている6つの原則の1つ、「実を伴った実態把握」の記載内容と照らし合わせて見ると、コンプライアンスを法令遵守と解釈してしまうことで、法令以外が疎かになる可能性が発生します。

「実を伴った実態把握」の解説に記載されている通り、コンプライアンスは、明文の法令・ルールの遵守だけに限定されるものではなく、取引先・顧客・従業員などステークホルダーへの誠実な対応を含むと理解するべきであり、コンプライアンスを守ることがステークホルダーへの安心に繋がるようコンプライアンス・プログラムは設計されるべきです。

参照：「上場会社における不祥事予防のプリンシプル」の策定について

まずは無料の説明会にご参加ください。

コンプライアンスの定義についてご理解いただいたところで、本題である社内のコンプライアンス・プログラムにおける内部監査について解説します。

内部監査の手法は会社によって様々あるかと思いますが、ここでは「コンプライアンス監査の一連の流れ」と「第2ラインモデルとの連携」について解説します。

まず始めに、コンプライアンス監査の一連の流れについて解説します。

コンプライアンスは法令遵守に限らないため、コンプライアンス監査では、法令以外にも社内の規則や規程、社会常識、倫理規範などを遵守できているかをチェックします。具体的なイメージを持っていただくために、コンプライアンス監査における一連の流れを予備調査段階、実査段階、報告・フォローアップ段階に分けて解説します。

今回解説する内容は、なるべくどの業界でも共通していることが多い項目をピックアップしていますが、企業文化や業界特有の監査項目については完全に考慮できない点について、ご留意ください。

コンプライアンス監査における予備調査では、主に労務管理系と社内規程に準拠した申請が適時に行われているかをチェックします。

1点目の労務管理系とは、例えば、残業時間、有給休暇、休憩時間などが該当します。具体的に記載すると、残業時間であれば、労働基準法第36条（36協定）に則り、違反しない残業時間になっていないか。有給休暇であれば、労働基準法39条に則り、有給休暇は適切に付与されており、有休が消えることなく消化できているか。休憩時間であれば、労働基準法34条に則り、労働時間が6時間を超え、8時間以下の場合は少なくとも45分、8時間を超える場合は少なくとも1時間の休憩を取らせているか。などを実査の前に確認しておきます。

2点目の社内規程に準拠した申請とは、事前に申請が必要なものが不備なく適時に申請されているかをチェックします。例えば、社内に車両管理規程があったとして、私有車や社用車を使用する際は、車両管理を統括的に扱う部署にきちんと申請し、承認を得ているかを実査の前に確認しておく、などのような予備調査が該当します。この段階はあくまで予備調査段階ですので、不明点があれば実査段階で監査対象部門に質問します。

次は実査段階です。コンプライアンス監査における実査は、予備調査段階で不明点があれば質問することに加え、業界に関連する法律に対し、具体的にどのような手段で遵守しているかをチェックします。

実査段階では、質問がメインとなります。例えば、業界に関連した法律をどのように理解しているか、理解した上でどのような取り組みを行っているかなどをヒアリングし、法律に抵触していれば指摘とします。

実査段階で大切なのは、コンプライアンスは法令遵守に限らないという解釈を監査に踏まえることです。監査対象部門の取り組みが、例え法令を遵守したものであっても、社会通念上リスクが高い取り組みになっているのであれば、その内容をきちんと説明し、監査対象部門に理解してもらわなければなりません。

最後は報告・フォローアップ段階です。

報告については、監査報告書の作成から提出に至るまで、ベーシックな内部監査業務の流れとほとんど同じですので、今回は割愛し、フォローアップについて解説します。

フォローアップでは、実査で指摘した項目に対し、どのような改善活動を行っているかチェックします。監査資源によっては月1回もしくは年1回といった形で、フォローアップの頻度にばらつきが生じることがあるかもしれませんが、コンプライアンス違反に関するリスクは基本的に高いことが多いため、例え頻度が少なくてもコンプライアンス監査におけるフォローアップ自体は必ず実施するべきです。

フォローアップの結果は、適時に最高経営者や取締役会に報告します。監査対象部門には、その状況を踏まえた上で再発防止策を講じてもらうようフォローアップすることで、監査対象部門がなぜ指摘された項目を改善する必要があるかを理解するだけでなく、内部監査を通じて最高経営者や取締役会に監視されているという牽制効果も相まって、継続的に改善活動を行って頂けるようになります。

コンプライアンスにおける内部監査を行う上で、次に重要なのは「第2ラインとの連携」です。第2ラインとは、3ラインモデルの第2ラインのことを表します。3ラインモデルについての説明は割愛しますが、3ラインモデルについて気になる方は参照資料をご覧ください。

第2ラインの役割は、主にリスクの管理を支援することです。故に、コンプライアンスに密接に関わるリスク管理部署が該当します。第2ラインの部署と内部監査部門が連携を取ることにより、第2ラインの部署が行っているリスクマネジメント状況などを踏まえた内部監査を行うことが可能になり、より有効的かつ効率的にコンプライアンス監査を行うことができます。

参照：３ラインモデル━すべての組織体の 成功のための重要なツール

第2ラインとの連携を行う上では、第2ラインの部署が行っているコンプライアンス研修の実施内容や実施頻度なども合わせて調査することが望ましいです。第2ラインの部署はリスク管理系の部署ですので、第2ラインの部署が実施するコンプライアンス研修には一定の信頼性があります。

内部監査部門がコンプライアンス研修について調査することで、第1ラインの部署がどこまでコンプライアンスについて理解し、業務に反映させているかを体系的に理解することができるだけでなく、内部監査部門がコンプライアンス研修内容についてリスクベースの観点で助言することができれば、コンプライアンスに関する統制の強化にも繋がります。

コンプライアンス研修記録の調査は、コンプライアンス監査の予備調査段階で事前に把握しておき、気になったことがあれば実査段階で質問できるようにしておくと良いです。また、質問に対する監査対象部門の回答内容は、内部監査結果と共に適時に第2ラインの部署に共有することができれば、コンプライアンス研修内容の見直しにも繋がります。第2ラインとの連携を強化することは、内部監査・内部統制の観点から見ても有効な手段と言えます。

内部監査の目的は、組織体の運営に価値を付加し、組織体の目標達成に役立つことです。そして、この組織体の運営が正しく行われるようにするためにコンプライアンス・プログラムが存在します。

今回、コンプライアンスの定義についても解説しましたが、改めて申し上げると、コンプライアンスの定義に関する解釈が監査対象部門によって異なってしまうことで、必然的にコンプライアンスに関連する全ての業務が機能しなくなる可能性が生じます。

そのため、コンプライアンス・プログラムにおける内部監査を実施する上では、まず全社的にコンプライアンスの定義がきちんと明確になっているかを確認するところから始めると良いでしょう。

本記事が、何か1つでも参考になれば幸いです。最後までお読みいただきありがとうございました。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。