目次
今日のデジタル時代には、外部コンプライアンス監査と第三者認証(SOC2など)が、B2Bの購入決定においてますます重要になっています。 ベンダーのセキュリティ/コンプライアンス体制の客観的な第三者検証を提供するだけでなく、監査は組織の内部統制環境のソフトスポットや弱点に 言い換えれば、正式な監査からの知見は、リスクを軽減するためのレシピとして役立つことができます。
正式な外部監査にはその場がありますが、組織のセキュリティギャップについて学ぶ唯一の手段として信頼するべきではありません。 今日の急速に進化するリスク環境では、組織は適切に自分自身を保護するための方法の組み合わせを必要としています。 定期的な正式な監査に加えて、組織は継続的に内部監査を実施して脆弱性を特定し、コンプライアンスとセキュリティ体制を理解する必要があり
組織は継続的にリスクや脅威にさらされているため、継続的にリスクに対処しないことは危険な慣行です。
急速に進化するリスク環境では、組織は適切に自分自身を保護するための方法の組み合わせが必要です。 定期的な正式な監査に加えて、組織は内部監査を実施して、脆弱性を特定し、コンプライアンスとセキュリティ体制を継続的に理解できるようにす
実際、GlobalscapeとPonemon Instituteが実施した調査では、コンプライアンス監査を頻繁に実施した企業は、コンプライアンス-コストを平均2.86百万ドル削減したことがわか 一方、コンプライアンス監査を実施していない企業では、コンプライアンスコストが最も高いことがわかりました。
内部監査を実施することで、会社は内部統制環境のギャップ/ソフトスポットを理解することができます。
この記事では、内部監査と外部監査の重大な違い、内部監査人が行うこと、組織が実施できる内部監査の種類、および内部監査を成功させるための主
内部監査の役割
会社の従業員は、コ 内部監査は年間を通じて行われるべきである。 経営陣は、内部監査から生成されたレポートを使用して、改善が必要な領域を特定することができます。 内部監査は、出力と戦略的リスクに対する会社の目標を測定します。
内部監査と外部監査
内部監査と外部監査は異なる目的を持っていますが、最終的には両方とも同じ目的を果たします。
外部監査は、独立した第三者によって実施される正式な監査です。 外部監査は、ISO27001やNIST800-53などのある種の外部標準に対して、ある時点で組織のプロセスとコントロールを測定します。 しかし、ビジネスがデータ侵害や法的に必要な基準に準拠していない別のセキュリティイベントを抱えている場合は、必須になることもあります。
一方、内部監査は組織内の訓練を受けた従業員によって実施されます。 内部監査の範囲は、かなり狭いか、比較的広い場合があります。
内部監査人の役割&責任
内部監査人はユニークな役割を持っています: 彼らは、彼らが評価しているプロセスとチームについて完全に客観的でなければならず、彼らが監査している部門に直接接続することはできません。 内部監査人は、通常、上級管理職または取締役に直接報告します。 彼らの仕事は、部門やビジネス機能と、設定された基準をどのように満たすかを客観的に評価することです。 監査人の仕事は最終的にはビジネスを支援することであり、そのフィードバックはより強力なビジネスを構築する方法を知らせることを覚えておく
内部監査人協会(IIA)は、内部監査人の基準を提供し、設定する最大かつ最も広く認識されている協会です。 彼らは内部監査のさまざまな分野で認定を提供し、内部監査人にその役割と内部監査人の使命に関する必須かつ推奨されるガイダンスを提供する
監査人がどのような監査を行っているかによって、監査人が行う活動の種類は多少異なります。 それでも、内部監査の任意のタイプに不可欠ないくつかの活動があります。
コントロールの評価
監査人が会計部門の期末財務プロセスを評価しているか、マーケティング部門のCCPA遵守を評価しているかにかかわらず、リスクを軽減し、望ましくないインシデントを防止することを目的としたコントロールを見直し、評価します。 ほぼすべてのビジネスプロセスは、コーナーをカットしたり、問題を作成する機会がないことを確認するための場所で制御と説明責任のいくつかのタイ 監査人は、文書化された制御と実際に実装されている制御の両方を見て、それらが実行され、意図したとおりに動作していることを確認します。
リスクの評価
あらゆるレベルの経営陣は、チームや大規模な組織に対するリスクを特定するために独自の知識を使用する必要がありますが、これら
運用の分析
内部監査人は、組織の戦略目標と、戦術レベルでどのように機能するかを理解する必要があります。 彼らはより低いレベルのマネージャーと働き、操作を分析し、そしてそれらの操作が会社の戦略的な目的に合うかどうか定める。
他の保証プロバイダーとの連携
内部監査人は、リスク管理の専門家、コンプライアンスオフィサーなどと協力して、リスクが効果的かつ効率的に管理されていることを社内の幹部に保証します。 他の多くの保証プロバイダーの役割は、リスクを軽減するためのプロセスを実装し、コントロールを開発していますが、内部監査人は、それらのコントロールとプロセスを評価して、内部的または外部的に設定されているかどうかにかかわらず、それらが機能し、必要な基準を満たしていることを確認します。
5 内部監査の種類
内部監査にはいくつかの種類があり、それぞれが価値を提供しています。 内部監査機能を開発し始めたばかりの場合は、これらすべてを一度に実行する必要はありません。 ただし、これらのタイプの内部監査を最終的に実行することに目を向けることをお勧めします。
ITコンプライアンス監査
内部ITコンプライアンス監査は、企業のデータセキュリティ慣行をレビューし、企業がデータセキュリティとプライバシー 内部監査は、そのビジネスが正式な外部監査でどのように運賃になるかを確認するためのテスト実行として使用することができます。 コンプライアンスの低下の結果は、企業にとってコストがかかる可能性があるため、コンプライアンス監査を頻繁に行う必要があります。 リスクが低く、複雑でないプロセスは年に一度か二度監査することができますが、より複雑でリスクの高いプロセスはより頻繁に監査する必要があ
IT監査
IT監査は、情報技術の制御とプロセスに焦点を当てています。 これはコンプライアンス監査と重複していますが、コンプライアンス監査に含まれていないIT機能もあり、評価する必要があります。 内部のIT監査では、it管理者が情報を保護していることを確認するだけでなく、ITプロセスと資産(ハードウェアとソフトウェア)が効率的に動作して コンプライアンス監査とは異なり、ITプロセスはIT監査の外部標準と比較されません。 代わりに、監査は、彼らが彼らの目的を果たし、会社がその目標を達成するのを助けているかどうかを調べます。
財務監査
財務監査は、財務活動が正しく記録され、正しい会計慣行が使用されていることを確認するために、企業の財務を調べます。 これらのタイプの監査は公平な誰かによって行われ、ビジネスの会計および財政機能から切り離されることは命令的である;違法か詐欺的な何かを見つけた場合、彼らは彼らの心配の管理にすぐに行くことができる必要がある。
運用監査
運用監査は、部門またはビジネス機能のパフォーマンスに焦点を当てています。 監査人は、部門のプロセスと出力を見て、彼らが会社の主要な目標にどのように貢献するかを評価します。 監査人は、スタッフ、部門内の資産の管理、出力、生産性、および組織構造を検討します。
調査監査
調査監査は、社内の従業員またはチームによる疑わしい行動に関する報告または苦情に応じて行われます。 この場合、監査には従業員または部門の出力が含まれます。 その後、報告書が信頼できるものであれば、損失の程度を評価し、どのような弱点が発生するのかを判断し、将来再び発生するのを防ぐために何をすべきかについての推奨事項を作成します。
内部監査の実行方法
すべてのビジネスが異なり、監査の種類が異なるため、 ただし、監査の基本的な式に従って、必要な情報をすべて収集し、学習したことを効果的に活用できるようにすることができます。 これらは、すべての成功した内部監査の四つのフェーズです:
計画
監査を開始する前に、内部監査チームは監査の範囲と目的を定義する必要があります。 明確に定義された目標なしで監査に近づくと、スコープのクリープにつながり、プロジェクトのスコープが成長し続け、チームが遭遇する追加の問題やプロセ 開始前に監査の範囲内にあるものと含まれていないものを決定することで、チームは効率的に作業し、簡単に含めるものを決定することができます。
このフェーズでは、利害関係者が誰であるか、どのプロセス所有者が監査に関与するかを決定し、タイムラインを設定し、以前の監査(存在する場合)を見て、遭遇すべき問題があるかどうかを確認します。 監査を実行する際にガイドする文書化された監査計画を使用して、この計画段階から離れる必要があります。
一般的に言えば、堅実な監査計画を作成するには、いくつかの要素を考慮する必要があります:
- 既存の規制: 効果的な監査を実施するには、監査対象となる領域の規制要件を理解することが重要です。
- 従業員の懸念:従業員が以前に特定のプロセスについて懸念を表明した場合は、問題を掘り下げるために監査計画に質問を組み込む必要があります。
- コントロールのテストに必要な証拠:監査の範囲内でコントロールをテストするために収集する必要がある証拠の種類を考える必要があります。
フィールドワーク(別名”証拠収集とテスト”)
フィールドワークには、通常、プロセス所有者とのインタビューが含まれているため、プロセスとコントロールを理解し、プロセス文書をレビューし、プロセスに現在配置されているコントロールをテストし、結果と推奨事項を文書化することができます。
このステップでは、監査中のプロセスに関する利用可能なすべてのデータを確認する必要があります。 監査の前に生成されたデータは、プロセスがどのように機能しているか、面接者があなたに言っていることと現実との間に矛盾があるかどうかをフィル また、上層部に行う必要があると思われる変更を提示すると、推奨事項のバックアップを提供する可能性もあります。
レポート
フィールドワークが完了したら、調査結果と推奨事項を監査レポートにまとめます。 監査報告書は、監査計画を要約し、結果、具体的には、内部標準または外部要件に準拠していないことが判明したことを説明し、推奨事項について議論し
内部監査の目的は、問題を特定し、プロセスや機能を改善するための計画を立てることであることを覚えておいてください。 監査レポートは、責任を割り当てたり、指を指したりすることではなく、プロセスが機能していない場所、結果が何であるか、そしてそれらの問題をどのよ 識別された問題は真剣に取られ、最小化されるか、または説明されないべきである。 監査報告書は、最終的に企業の強みと、監査で特定された問題をどのように解決できるかを示す必要があります。
フォローアップ
監査の最終段階は、実施を確実にするための勧告と問題がどのように解決されたかをフォローアップすることです。 このフォローアップは、将来の監査中に考慮される監査情報の残りの部分と一緒に記録する必要があります。
内部監査がしてはならないこと
内部監査人は、組織内に配置されたポリシー、手順、プロセス、および技術コンポーネントを制御したり、実装したりすべきではありません。 彼らの仕事は、運用チーム(エンジニアリング、営業、人事、財務など)のコントロールを客観的に評価することです。 制御設計が制御の意図された目的に適しているかどうか、制御が効果的に実施されたかどうか、制御が一貫して動作したかどうかを判断するために
Hyperproofは、内部&外部監査をより効率的にします
Hyperproofは、一般的な監査プロセスにおける管理オーバーヘッドの量を削減します。 実際、このアプリケーションは、内部監査人とコンプライアンスの専門家が、現在のプロセスがどれだけうまく機能し、何が機能していないかを理解し、
Hyperproofは、組織のコンプライアンス要件、リスク評価、コントロール(およびその説明、所有者)、および証拠のすべての中央リポジトリとして機能します。 Hyperproofでは、内部監査人が、組織全体の制御オペレータやビジネスプロセス所有者に、テストする必要がある証拠を提出するよう要求するのは簡単です。 コントロールの所有者は、彼らが担当しているコントロールのための証拠を提供するためにHyperproofに直接来ることができ、その情報は、あなたの監査計画の特定の要求にリンクされています。
電子メールや手動のカレンダー招待を同僚に送信して証拠の確認や新しい証拠の提出を促す代わりに、内部監査人はHyperproofを使用して期日とリマインダーを付 それは彼らが新鮮な証拠を確認し、提出するための時間だときに、制御オペレータは自動的に通知されます。
さらに、内部監査人はHyperproofを設定して、多くのビジネスアプリや開発者ツール(GitHubからのプルリクエストや承認など)から特定のコントロールの有効性の証 このようにして、内部監査人は、データを収集しようとするだけで多くの時間を費やすのではなく、証拠のテストに集中できます。
ビジネスユニットの同僚も、監査要求に頻繁に応答する必要がないことを喜んでいます。 内部監査またはコンプライアンスチームが外部監査の準備が整ったと感じたら、Hyperproofで外部監査人と直接”自分の仕事を共有”し、共有したい情報だけを公開 Hyperproofの詳細については、またはそのすべての機能のデモを参照してください,訪問Hyperproof.io 今日だ
