—————————————————————
■□■　平林良人の『つなげるツボ』Vol.281　■□■
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　診断者の心掛け-内部診断と内部監査24　＊＊＊
—————————————————————
新型コロナウイルス終息後の世界について、予測も含めてこれ
からの変化を注視していく必要があります。そうした変化に備
える意味でもこの機会に自組織の内部診断（内部監査）を行っ
たらどうでしょうか。今回は診断者の心がけをお伝えします。

■□■　診断者　■□■
前回内部診断を行う人は社長が望ましいとお話ししました。社長
は多くの仕事をしなければなりませんが、多くの仕事の中から社
長自身が行う仕事を何にするのかは社長自身の選択です。
しかし、50年、100年も続いている企業には長い歴史の中で作ら
れてきた不文律、慣習、文化などがあります。社長が何をするの
かは企業の規定で決まっています。更に上場企業になると金融
庁、東京証券取引所から発行されている「Corporate Governance
Code（企業統治規定）」に定められたいろいろな事柄を管理しな
ければなりません。

社会に存在を許される企業の活動、行動は当然のことながら、
社長の一存では変えることはできません。社長が自分の仕事を変
えることが出来るのは、限定された範囲に限られます。しかし、
その決定は組織全体に大きな影響を与えることを自覚しておく
必要があります。その限定された条件の中から、できれば内部
診断を行うことを取り上げることをお奨めします。勿論、既に
内部診断を実施している社長さんもおられますので老婆心から
のおすすめです。

■□■　診断の展開　■□■
今まで診断者を社長一人に限定して話を進めてきましたが、
組織全体に診断の網を張り巡らそうとすると、役員、部長など
に診断業務を展開することになります。
しかし、診断者が組織部門の第一線に近くなればなるほど、
診断の意義が少なくなっていきます。例えば課長にまで診断
を展開した場合、診断業務は日常管理におけるチェック業務
と変わらなくなります。
かといって、社長一人でカバーできる範囲は少ないですから、
役員、部長レベルにまでに展開することは適切なやり方です。

筆者の経験では、現場を事業部単位、工場単位、管理部門単位
など組織の実態に応じて分け、年2、3回現場診断会を開催して
いました。私が経験した組織の規模は大きかったので、全社を
診断するには３年くらいかかりました。診断者は社長、役員
10名位で、被診断者は部門責任者及び部課長でした。診断には
原則1日を使いましたが、本社から地方の移動時間を考慮して、
10:00～16:00が実質の診断時間でした。
また、近年日本企業は海外に多くの工場を持っていますが、海外
工場にまで内部診断を行っている企業は少ないようです。しかし、
金融商品取引法による内部統制による財務監査は海外拠点にも
適用しなければなりませんので、それとジョイントして実践す
ると良いと思います。

■□■　診断の準備　■□■
診断の目的は「自組織の実態を知り組織の強さと弱さをあぶり
だす」ことにあります。組織の実態は、報告されてきたことだけ
では十分に分かりません。社長、役員、部長などが現場を観る
ことで報告の裏付けを取ることができます。
内部診断を行う場合には、診断者は全員「診断の基本姿勢」を
理解しておくことが良いと思います。次のようなものが例とし
てあります。
1. 内部診断は、業務推進の弱さ及びそれを支えるマネジメント
システムの弱点を見つける目的で行うものであって、個人を
評価するものではない。
2. 内部診断では、議論はしても論争はしない。指摘することに
よって、業務を追加したり、手順を追加したりする場合は、
診断者、被診断者両者の合意が必要である。
3. 内部診断の目的は、問題点を発見し、解決策や改善策を検討し、
実行に移し、最終的に改善を図ることである。
4. 内部診断では、お互いに（診断者、被診断者共に）、I及び
You ではなく、Weの姿勢をとる。

■□■　診断のプロセス　■□■
ISO19011は内部監査の指針ですが、診断の指針としての参考に
なります。
ISO19011「箇条6.4.1　一般」には、「図 1－監査プログラムの
管理フロー」が掲載されていますが、それを診断プロセスに置き
換えると次のようなステップになります。
・診断の目的の明確化
・診断プログラムの策定
・診断プログラムの実施
・診断プログラムのレビュー及び改善

—————————————————————
■□■　平林良人の『つなげるツボ』Vol.280　■□■
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　誰が診断するか-内部診断と内部監査23　＊＊＊
—————————————————————
新型コロナウイルス終息後の世界について、予測も含めてこれ
からの変化を注視していく必要があります。そうした変化に備え
る意味でもこの機会に自組織の内部診断（内部監査）を行ったら
どうでしょうか。いままで経営分野のプロセス、主要分野のプロ
セス、支援分野のプロセスについて話しをしてきました。それで
はこれらの診断は誰が行うのが良いでしょうか。今回は内部診断
を行う人は誰がいいのかについてお話をします。

■□■　診断する人　■□■
内部診断は本来社長がすべきです。しかし、社長は忙しく時間が
取れませんので、一般には役員あるいは部長が大骨の診断をする
ことが多いようです。
今から40年前に遡りますが、私がセイコーエプソンに勤務して
いた頃、会社では社長診断が行われていました。今でこそ理解で
きますが、会社のトップである社長にはとてつもない多くの仕事
があります。勿論会社の規模にもよりますが、社長が自身の目で
確認したいと思う事柄は無限とは言いませんが、間違いなく2人
分、3人分の仕事量になると思います。

■□■　権限移譲　■□■
当然のことですが、組織は社長一人の力で運営管理することはで
きません。社長は組織の運営管理の役割分担を決め、役員に権限
を委譲します。権限移譲しても、最終責任は社長にあり、総ての
責任までを役員に移譲することはできません。
社長は最終責任を負えるように権限委譲した仕事の結果をチェック
する必要があります。しかし、総てをチェックすることは時間的、
物理的に無理があります。
必然的に、総てをチェックするのではなく、効果的、効率的に権限
移譲した仕事をチェックする方法を考えざるを得ません。その方法
の一つが現場を見るということです。

■□■　現場を見ること、診断　■□■
現場を見ることでどんなチェックができるでしょうか？
社長には既にいろいろな情報が入っています。売り上げが伸びた、
減った、お客様からのクレームがある、無災害が途切れた、事故が
起きた、パワハラがあるなど日常あらゆる情報がその気になれば
入ってきます。
多くの小企業では、日常茶飯事に社長が現場を見ますので、その
ような情報の真偽、要因、状況などは手に取るように分かります。
しかし、組織規模が100人を超え、中小企業規模300人くらいに
なりますと、社長が現場を見る機会がめっきりと減り、人員が
1,000人を超えるようになると社長が現場を見ることはほとんど
なくなるのが現状のようです。
現場を見ると、当然ですが現場で起きていることが分かります。
　・活動
　　－物づくりならば、機械の稼働、材料の在庫、人の動き
　　－サービス業ならば、接客態度、雰囲気、
　　－食品関係ならば、味わい
　　－倉庫関係ならば、物流、サプライチェーン
　　－情報セキュリティならば、サーバー、PC、IoT
　・設備　
　　－メンテナンス状態
　　－スペース
　　－活動環境、室温、明るさ、騒音
　　－エネルギー、電気、油
　・環境
　　－５S
　　―廃棄物
　　―排気、排水、屋外貯蔵、外溝美観
　　－駐車場
　・人々
　　－活力、明るいか暗いか、笑顔があるか
　　－挨拶、態度
　　－服装、身なり

■□■　トップが診断する意義　■□■
以上のようなことはほんの例にすぎません。私が思いついたこと
を羅列しただけです。トップ診断の意義は「現場はうそをつかな
い」ことにあります。大企業になればなるほど、トップは間接的
な情報に頼らざるを得ません。しかし、間接的な情報には次の
3種類が一体混然となっていることを知っておかなければなり
ません。
　　・事実
　　・要望
　　・感情
トップが現場を見ることは現場にもある種の緊張、抑制を生みま
す。事前に情報を出して準備させることが良いか、急に訪問して
事実を直視する方がいいかは、組織の置かれた状況によって変わ
ると思います。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.279　■□■　　　　
＊＊＊　総務プロセス-内部診断と内部監査22　＊＊＊
————————————————————
新型コロナウイルス終息後の世界について、予測も含めてこれ
からの変化を注視していく必要があります。そうした変化に備える
意味でもこの機会に自組織の内部診断（内部監査）を行ったらどう
でしょうか。前回は会計プロセスについてお話をしましたが、今回
は総務プロセスについてお話しします。

■□■　総務プロセス　■□■
どこのプロセスにも属さないで、組織に必要なことを遂行するのが、
総務プロセスであるとよく言われます。
管理部門の代表的な仕事が「企画」、「人事」、「経理」そして最近
では「情報」と呼ばれるものですが、組織の規模によってはこれら
すべての仕事を総務部門で行っている場合もあります。
総務プロセスに属しそうな仕事は、一般に以下のようなものが考え
られます。
・社会保険業務
・入退社管理
・福利厚生
・健康診断
・労働安全衛生
・防災訓練
・環境保全
・ホームページ管理
・秘書業務
・株主総会管理
・株式管理
・来客対応
・契約書管理
・社印管理
・慶弔業務
・備品、消耗品管理
・会社行事、イベント業務
・社有車管理
・営繕
・設備保全
・社内・社外広報
・官公庁との渉外
・地域との渉外
・社会貢献活動
・業務委託管理
このように、ざーっと考えただけでいろいろな仕事が浮かんできます。
内部診断の最初のポイントは上に列挙したような仕事が組織に必要で
あるか、列挙した以外の仕事で必要なものはどんな仕事か、必要である
と判断した仕事はどの部門で行われているのか、の現状確認です。

■□■　仕事と部門　■□■
ここで、仕事と部門の関係について考えてみたいと思います。仕事と
部門の関係は、目的と手段に置き換えることが出来ます。即ち仕事には
必ず目的があります。何のためにその仕事をやるのかを忘れていては
効果的な仕事をしたことになりません。効果的な仕事をするためには
目的を忘れてはなりませんが、仕事を効果的に、効率的に行うには
いろいろな工夫が必要です。この工夫の一つに仕事の専門性ごとに
人々のグループ（部門）を作るというものがあります。仕事には専門
性が必要になりますが、この専門性は組織の規模が大きくなればなる
程、幅と深さが大きくなっていきます。その結果、仕事の専門性ごと
にグループを作ることが仕事の目的を達成させる上で得策であるとい
う考えが出てきます。

いままで仕事と呼んできましたが、ISO ではプロセスと呼んでいます。
附属書SLではプロセスを「インプットをアウトプットに変換する、
相互に関連する又は相互に作用する一連の活動」と定義をしています。

■□■　仕事へのインプットとアウトプット　■□■
前々節で例として上げた多くの仕事の最初の社会保険業務につ
いてインプットとアウトプットを考えてみます。
【社会保険業務】へのインプット
　・該当する従業員の属性
　・健康保険、雇用保険の制度
　・会社の社会保険の栞
【社会保険業務】からのアウトプット
　・社会保険事務所からの通知
　・従業員健康保険証
　・社会保険手続き記録

一つ一つの仕事（上の例で25種類）にそれぞれ固有のインプットと
アウトプットがありますが、それぞれのインプットとアウトプットに
ついて次の観点から内部診断をします。
　１．インプットとアウトプットの明確化
　２．インプットとアウトプットの保管
　３．インプットとアウトプットの個人情報管理
　４．インプットとアウトプットの保管期限と廃却管理　など

■□■　仕事の管理状態　■□■
総務プロセスの仕事の種類は大変に多いので、担当者が変わる可能性
が高いと思います。そこで、内部診断のポイントとして担当者交代
管理が大切になってきます。
前項のインプットとアウトプットを含めて、仕事を適切に後任者に
引き継いでいけるかの視点で内部診断をします。
その時の診断の対象は次のようなものになります。
　・分担表
　・手順書
　・記録
　・管理者　など

————————————————————
■□■　平林良人の『つなげるツボ』Vol.278　■□■　　　　
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　内部診断と内部監査21　＊＊＊
————————————————————
前回まで、サポート（支援）分野の情報セキュリティプロセスに
ついてお話しをしてきましたが、今回は同じサポート分野である
会計プロセスについてお話しをします。
会計プロセスはどのような組織にも必ずありますが、普段はあまり
意識しないプロセスです。組織の人が出張したり、備品を購入した
りした時に各種伝票を発行すると思いますが、その伝票インプット
をはじめ、各種お金の処理をするプロセスです。

■□■　会計監査　■□■
ここでは内部診断と内部監査を扱っていますが、世界で最初に
監査が行なわれたのは、会計監査だそうです。監査について私が
聞きかじったお話をします。
監査のことを英語ではご存じのように“audit”といいます。つなげ
るツボの今回一連のトピックス「内部診断と内部監査」を英語で
表現しようとすると、“internal diagnosis and internal audit”と
なります。

このauditの語源はaudioだそうで、監査は「音→聴く」という
のが元々の意味だそうです。そのため、会計監査はもちろん、
監査という行為は「聴くという行為」を意味していると言われて
います。監査においては、「監査員はあまりしゃべらない、一言
聞いた後は相手のしゃべることを注意深く聴く」という教えは、
この話で裏付けられます。

■□■サポート分野‐会計プロセス■□■
会計という業務は、組織の中のあらゆる仕事の中で最も標準化が
進んでいると思います。
標準化されているというこのことは万国共通で、組織の財務諸表
の作り方は国際標準となっています。したがって、内部で診断
したり監査したりするポイントは、この標準を知り、この標準に
沿ってチェックするということになります。
国内では組織の会計の原則が法律（会計法）で定められています。
その原則は「一般に公正妥当と認められる企業会計の慣行に従う
もの」というものです。

■□■　会計一般原則　■□■
企業会計原則には、一般原則、損益計算書原則、貸借対照表原則
の３つがありますが、後者2つは専門的になりますので、一般
原則を知っておればよいでしょう。

1．真実性の原則
「企業会計は、企業の財政状態及び経営成績に関して、真実な報告
を提供するものでなければならない。」というのが真実性の原則です。

2．正規の簿記の原則
「企業会計は、すべての取引につき、正規の簿記の原則に従って、
正確な会計帳簿を作成しなければならない。」というものです。
正規の簿記とは複式簿記のことで、組織は正確に仕訳を記帳し、
総勘定元帳その他の会計帳簿を作成しなければなりません。

3．資本取引と損益取引区別の原則
「資本取引と損益取引とを明瞭に区別し、特に資本剰余金と利益
剰余金とを混同してはならない。」というものです。
例えば、ある入金があったときに、これが資本取引として入金され
たのか、それとも損益取引（売上代金など）として入金されたのか
は厳密に区別しなければなりません。

4．明瞭性の原則
「企業会計は、財務諸表によって、利害関係者に対し必要な会計
事実を明瞭に表示し、企業の状況に関する判断を誤らせないように
しなければならない。」というものです。
会社の財務諸表（決算書）は利害関係者が閲覧しますので、利害
関係者が判断を誤らないように明瞭に表示しなければならないと
いう原則です。

5．継続性の原則
「企業会計は、その処理の原則及び手続を毎期継続して適用し、
みだりにこれを変更してはならない。」というものです。
例えば、固定資産の減価償却方法について、ある期は定率法を
採用し、ある期は定額法を採用するとなると、期間ごとに会計
方針が異なることになり、期間比較することが困難になってし
まいます。

6．保守主義の原則
「企業の財政に不利な影響を及ぼす可能性がある場合には、これ
に備えて適当に健全な会計処理をしなければならない。」というの
が保守主義の原則です。
例えば、ある会社に対する売掛金が貸倒れになる可能性があると
いうときは、実際に確定するのを待たず速やかに損失処理しておく
ことが健全な財政状態を示すこととなります。

7．単一性の原則
「株主総会提出のため、信用目的のため、租税目的のため等種々の
目的のために異なる形式の財務諸表を作成する必要がある場合、
それらの内容は、信頼しうる会計記録に基づいて作成されたもので
あって、政策の考慮のために事実の真実な表示をゆがめてはならない。」
というのが単一性の原則です。当たり前ですが、いわゆる裏帳簿と
いうものは作ってはいけません。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.277　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査20　＊＊＊
————————————————————
「ドコモ口座詐欺」のニュースが、先々週全国を駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手したか
についていろいろ推測が行われています。その推測の一つに
275号でお話しした「パスワードクラッカー」があります。
銀行口座にアクセスするには、一般に口座番号とパスワード
が必要になりますが、今回はパスワードを取り上げます。

■□■　パスワードの記憶 ■□■
今まで述べてきたように情報セキュリティ対策の前提には、総て
の場面において他人に知られないパスワード管理が大切です。
パスワードは、その作成だけでなく、他人に知られないようかつ
自分でも忘れないようにしなければなりません。この他人に知ら
れないようかつ自分でも忘れないようにすることは結構難しい
ことです。例えば、パスワードを忘れないようにメモを作成した
場合は、それを肌身離さず持ち歩くことは却って無くす危険性を
増やします。しかもパスワードは世の中いろいろなところで必要
とされる時代になりました。しかし、覚えておくためにパスワード
を複数のサービスで使い回すことは推奨できません。

■□■　パスワードの診断ポイント ■□■
パスワードは複数のサービスで使わないようにします。ある
サービスから流出したアカウント情報を使って、他のサービスへ
の不正ログインを試す攻撃の手口が知られています。もし、重要
情報を利用しているサービスで、他のサービスからの使い回しの
パスワードを利用していた場合、他のサービスから何らかの原因
でパスワードが漏洩してしまえば、第三者に重要情報にアクセス
されてしまう可能性があります。
利用するサービスによっては、パスワードを定期的に変更する
ことを求められることもありますが、実際にパスワードを破られ、
情報が流出した事実がなければ、パスワードを変更する必要は
ありません。むしろ定期的な変更をすることで、パスワードの
作り方がパターン化し簡単なものになることや、数回前に使った
パスワードをまた使うことの方が問題となります。定期的に変更
するよりも、機器やサービスの間で同じパスワードを使わない、
それぞれ固有な頑強なパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、
2017年に、米国国立標準技術研究所（NIST）からガイドライン
として、サービスを提供する側がパスワードの定期的な変更を
要求すべきではない旨が示されています※１。
※１　NIST SP800-63B（電子的認証に関するガイドライン）
また、日本においても、内閣サイバーセキュリティセンター
（NISC）から、パスワードを定期変更する必要はなく、パスワード
流出時にだけ速やかに変更する旨が示されています※２。

※２ https://www.nisc.go.jp/security-site/handbook/index.html

■□■　パスワードの活用 ■□■
現在の一般的なOSのスクリーンセーバーでは、元の操作画面に
復帰する際にパスワードの入力を促す設定を行うことができます。
このように設定することで、離席中に不正な利用者がそのパソコン
を操作することを防ぐことができるようになります。ただし、
スクリーンセーバーが起動するには一定の時間が必要です。

さらに情報セキュリティを強化するためには、離席する際にログア
ウトを行い、パスワードを入力してログインしなければパソコンを
操作できないようにするなど、利用者が自発的にロックする方法が
有効です。

■□■　アフターコロナの世界 ■□■
これまで5回にわたって情報セキュリティの診断について話して
きました。このコロナ禍の中で多くの組織が売り上げの減少、欠損
に苦しんでいますが、その様子を横目に見ながら業績を伸ばしている
企業群があります。言わずと知れた情報関係の企業で、その代表が
GAFAと呼ばれるグーグル、アップル、フェイスブック、アマゾンです。
アフターコロナの世界を語るのにテレワーク、テル会議、リモート
イベント、リモート講義などへの重要性について触れない人はいない
でしょう。これらの世界に必須となるのがコンピュータなどの情報
機器、それらを操る情報リテラシー、そして情報セキュリティです。
今後の世界に対応するために「情報セキュリティポリシー」を作って
おきましょう。

■□■　情報セキュリティポリシー ■□■
情報セキュリティポリシーとは、組織の情報漏洩対策の基本的な
考え、対応策をいいます。組織の業態、組織規模、目的、予算、
期間などによって大きく異なります。ここでは、代表的な策定
手順を紹介します。
1.策定の組織決定（責任者、担当者の選出）
2.目的、情報資産の対象範囲、期間、役割分担などの決定
3.策定スケジュールの決定
4.基本方針の策定
5.情報資産の洗い出し、リスク分析とその対策
6.対策基準と実施内容の策定

■□■　情報セキュリティポリシー診断のポイント ■□■
効果的な情報セキュリティポリシーを策定するには、以下の点に
留意する必要があります。すなわち、情報セキュリティポリシー
診断のポイントとなるものを以下に示します。
・守るべき情報資産を明確にする。
・対象者の範囲を明確にする。
・できる限り具体的に記述する。
・社内の状況を踏まえて、実現可能な内容にする。
・運用や維持体制を考慮しながら策定する。
・形骸化を避けるために、違反時の罰則を明記する。