コンサルティングって話をすると、監査ではよく監査法人のコンサルタントが

重箱の隅をつつくような小難しいの話をするイメージがあるようで、

私は監査コンサルはやってないのですが、ちょっと監査のはなしでも。

監査っていろいろあるのですが、会計監査とか、業務監査とか、

ITに係る人なら話が出てくるのが、システム監査ですが、システム監査にも

セキュリティシステム監査とかマネジメントシステム監査とかシステムにも種類が

有ったりするわけです。

で、監査はそれぞれの範囲で「やることを、ちゃんとやってるか？」てのを

調査、分析、評価して報告することなんですね。

それが何になるか？

会社は監査をしてもらうことで、自分の会社は「やることちゃんとやってる」って

お墨付きが欲しいのですね。

対外的な宣伝にもなるし、ビジネス上でもそのお墨付きがないとやらせません

みたいな入札条件があったりもします。

そのお墨付きのために、世の会社は悩ましい日々を送っているわけです。

監査を検討している会社はまず内部監査をしなければならないです。

「やること」ってなんだ、「ちゃんとやってる」ってなんだってのを、

コンサルタントとかに現状ベースで分析評価してもらい、「やること」が足りてるか、

「ちゃんとやってる」ことをわかるように残せているかってことを評価をしてもらって

問題があればそれを改善します。

その後、外部監査として第三者に評価してもらい、その結果、監査が無事通れば

対外的に、「この会社はやることをちゃんとやってる会社ですよ」って

よく聞く「ISO」とかのお墨付きをもらうわけです。

大事なのは第三者による評価ってことなんですね。

経済産業省が定義してる「システム監査」の定義では

・監査対象から独立かつ客観的立場のシステム監査人が情報システムを

　総合的に点検及び評価し、組織体の長に助言及び勧告するとともに

　フォローアップする一連の活動

第三者が評価をするということは、部外者が見てもわかる資料じゃなきゃいけないし

その評価資料一式で完結する情報が集まっていないといけないので、一度監査を

通るとその状態を維持することが今度は重要になります。

※定期的に外部監査を受けないとお墨付きは取り消されます。

外部監査ってそもそも定期的に内部監査がされていることが前提だったりするのですが、なんででしょうか？

「やること」って業務のしくみが変わると変わります。

その「やること」が変わったとき、「ちゃんとやっている」って証拠を残すのが

結構おざなりになるので、そこをいかに漏らさないように仕組みを作れるか。

ここを継続して内部監査で改善し続けるのが大事なのですね。

こういったことをするための組織作りやフォローアップお手伝いするのが

監査法人のコンサルタントになるわけです。

「やらなきゃいけないことはわかってるんだけどねー」

てのをなくすための内部監査になるわけです。