事業継続態勢に対する内部監査支援

近年、企業が直面するリスクは、自然災害に加え経済安全保障や人権問題など多様化・複雑化しています。これらに対応するため、事業継続計画（BCP）や委員会設置などの態勢整備が進む一方、内部監査まで実施している企業は多くありません。KPMGは、内部監査と事業継続の豊富な知見を活かし、事業継続態勢に対する内部監査と高度化を支援します。

事業継続態勢は、一度整備すれば終わりというものではなく、外部・内部の環境変化に適応させていくことが求められます。事業継続態勢に対してのモニタリング機能を果たす主体は下記の3つが挙げられます。

（1）事業継続マネジメント（BCM）主管部門

本社や拠点、グループ会社の事業継続態勢を定期的にチェックし、改善をリードする役割を果たします。昨今はグローバルサプライチェーンの構築により、取引先や委託先もスコープに含める必要が生じています。

（2）経営層

部門横断での調整が必要な事項などは、事業継続態勢構築の最終的な責任者である経営層が主導して取組みを実施する必要があります。

（3）内部監査部門

BCPの整備状況だけでなく、事業継続について検討・実施する自社内の体制やプロセスそのものを対象として、独立的な立場から監査を実施します。

事業継続態勢監査では、企業の事業継続態勢の成熟度に応じて確認する対象と確認ポイントの深さを変える必要があります。一般的に事業継続態勢は、本社、主要拠点、グループ会社の順に整備を拡大していきます。最も成熟している企業では、取引先・委託先の事業継続態勢の整備状況を把握し、連携強化を実施しています。事業継続態勢監査では、現状自社がどの段階まで態勢を整備できているかを把握し、確認対象とする範囲を決定することが第一歩となります。

事業継続マネジメントシステム（BCMS）に関する国際規格であるISO 22301や事業継続ガイドラインの要求事項を踏まえた事業継続態勢監査で一般的に確認すべきポイントは下表のとおりです。ただし、業界や地域によって制約を受ける法令は異なり、同じリスク対策であっても求められる態勢のレベルも異なります。そのため、下表をベースとしながら、企業ごとに確認するポイントをカスタマイズする必要があります。

また、人や予算といった内部監査部門のリソースには制限があるため、すべての確認ポイントを等しく深堀りすることは困難です。したがって、これまでの事業継続訓練の結果や業界内の事故・不祥事事例などを踏まえて、どのポイントに注力するかを事前に検討することが重要です。

企業の事業継続態勢の強化には、前述の3つの主体の連携による態勢の定期的なモニタリングと改善のサイクルが不可欠です。危機事象が発生する前にこのサイクルを回すことが、企業の持続的かつ健全な成長につながります。

KPMGは、さまざまな企業への内部監査やBCP策定、危機管理に関する支援などから得た経験とノウハウを活用し、事業継続態勢の成熟度に応じた最適な支援を提供します。

1．事業継続態勢監査における監査計画策定支援

• 成熟度に応じた確認対象の検討
• 業界特有の事情を踏まえた確認項目の検討

2．事業継続態勢監査のコソース・アウトソース支援

• 対象範囲、確認項目の選定、監査手続の策定
• 往査実施、発見事項の検討、監査報告書の作成

3．監査指摘に対する事業継続態勢の高度化支援

• グローバルBCM態勢の構築
• グローバルBCP文書の策定
• 訓練企画ガイドラインの作成、BCP訓練の実施