内部監査の担当者の条件についてご存じですか?
ISMSでは、内部監査を行い、ルールが適切に運用されていることをチェックする必要があります。
しかし、担当者になるための条件があるので、誰でも担当できるというわけではありません。
今回の記事では、
- 内部監査の流れ
- 内部監査を担当する条件
- 内部監査の担当者の仕事
について解説していきます。
目次
ISMSの内部監査とは
ISMSの内部監査とは自社のルールや取り扱っている文書がISOの要求事項に沿っているかどうか、社員が自社のルールに則って業務を遂行しているかをチェックすることです。
内部監査の際は
・ルールに則っているか
・今のルールが有効か
の観点が必要となります。
内部監査の結果やマネジメントレビューによって ISMS に改善必要と判断された場合は、随時対策を取らなければなりません。
内部監査は ISMS 認証取得および認証の維持に必要となります。
ISMSの内部監査報告書とは
内部監査報告書は、監査結果をまとめた文書であり、「マネジメントレビュー(代表者による見直し)」において重要な資料となります。
作成する際は、「どの部署で」「どのルールが守られず、手順漏れが発生したのか」を明確にし、「報告を受ける経営層の視点」を意識することが大切です。
この報告書をもとに、経営層は 「自社のISMS(情報セキュリティマネジメントシステム)は現状のままでよいのか」「どこに問題があり、どのように修正すべきか」 を判断します。
そのため、報告内容が曖昧であったり、情報が不足していると、ISMSの適切な見直しが困難になります。
また、内部監査報告書では 個人の資質や責任を追及するのではなく、マネジメントプロセスの問題点を冷静に指摘 することが重要です。
事実に基づいた記述を徹底し、組織全体の改善につなげることを目的として作成しましょう。
ISMSの内部監査報告書とは
内部監査報告書は、監査の全体像を記録し、関係者に報告するための重要な文書です。具体的には、以下の内容を記載します。
- 監査対象部門
- 担当の内部監査員
- 実施日時
- 内部監査の内容
- 結果(指摘事項や改善提案事項の有無など)
また、内部監査の結果 不適合が判明した場合は、「不適合報告書」を作成 します。
不適合報告書とは、発見された指摘事項ごとに、どのような不適合があったのかを詳細に記録した文書です。
この報告書をもとに、被監査部門の部門長が適切な改善指示を行います。
不適合報告書作成のポイント
「具体的に記載すること」 が重要です。
不適合の深刻度を正しく判断できるよう、明確な表現を心がけましょう。
不適切な報告例(曖昧な表現)
- 「ISMS基本方針が理解されていない」
- 「記録が保管されていない」
- 「手順が不十分だった」
このように曖昧な表現では、改善すべき対象が不明確になり、部門責任者が適切な対応を取ることが難しくなります。
たとえば、「理解できていないのは誰なのか?」「保管されていないのはどの記録なのか?」といった詳細が明記されていなければ、適切な改善指示を出せません。
適切な報告のポイント
- 改善のプロセスを意識し、具体的に記載する
- 管理者が的確な改善指示を出しやすい内容にする
上記に沿って進めていくのが望ましいです。
内部監査の進め方
ISMS規格では、会社のルールが要求事項を満たしているか、ルール通りに実施されているかどうかを、内部監査によってチェックする必要があります。
しかし、要求事項では具体的な内容の規定がありません。
そこで、ここでは内部監査の進め方について紹介します。
内部監査は、次のような流れで実施します。
- 計画を立てる
- 準備をする
- 実施する
- 結果をまとめて報告する
- 不適合があれば是正処置をする
1.計画を立てる
「誰が」「いつ」「どの部署に」「どのような項目で」チェックをしに行くかをあらかじめ決めておく必要があります。
2.準備をする
監査計画が決まったら、監査に必要なチェック項目などを作成しましょう。
特に気を付けておきたい項目がある場合は、チェックリストに盛り込んでおくとより良い内部監査になります。
3.実施する
作成したチェックリストに沿って内部監査を実施します。
チェックリストに沿った監査証拠を集めましょう。
監査では適合も不適合も両方証拠を残していく必要があります。
4.結果をまとめて報告する
監査が完了したら、結果を監査報告書としてまとめましょう。
また監査結果を社内トップに報告する必要があります。
監査報告書はマネジメントレビュー時に、SMSの最適化の判断材料として使われます。
5.不適合があれば是正処置をする
監査結果をもとに不適合がある場合は各部署に対して是正通告を行い、各部署はそれに応じる必要があります。
内部監査に必要な3つの記録
内部監査を実施するにあたり、以下の3つの要素が必要となります。
- 内部監査計画
- 内部監査チェックリスト
- 内部監査報告書
また、監査の過程で不適合が発生する可能性があるため、不適合報告や是正処置に関する記録も、監査時に準備することがあります。
1. 内部監査計画
ISMSの内部監査は、事前に計画を立てて実施するものであり、抜き打ちでは行いません。
監査の実施時期、担当者、対象部門、監査範囲を事前に決定し、計画的に進めることが求められます。
2. 内部監査チェックリスト
内部監査チェックリストは、監査を実施する際に内部監査員が使用するツールです。
このチェックリストは、ISMSの監査を行った記録としても機能し、監査の対象やポイントを明確にすることで、監査の効率化に寄与します。
3. 内部監査報告書
内部監査報告書は、ISMS内部監査の結果をまとめた文書記録です。
この報告書には、監査の実施結果、発見された問題点、提案された改善策、その他の重要事項を記載し、継続的な改善につなげるための資料として活用します。
内部監査を担当する条件
ここでは、内部監査の担当者になるための条件について解説します。
条件は、以下の4つです。
- ISMS規格「JIS Q 27001」を理解している
- 組織のルールを理解している
- 内部監査の対象となる業務について把握している
- 内部監査に関する知識を持っている
内部監査の担当者は、第三者の視点から監査する必要があります。
そのため、内部監査を行う際は、自分の部署以外の監査を担当しましょう。
内部監査の担当者
内部監査を行う担当者には、
- 内部監査責任者
- 内部監査員
の2つがあります。
それぞれについて見ていきましょう。
内部監査責任者
内部監査責任者は、内部監査におけるリーダーです。
内部監査全体を取り仕切り、監査の報告書などを作成します。
主な仕事は、
- 内部監査の計画を作成する
- 内部監査全体の統括
- 内部監査の報告書を作成する
- 監査員の選定・教育
などです。
内部監査員
内部監査員は、内部監査責任者の指示を受け、実際に監査を実施する人です。
主な仕事は、
- 内部監査チェックリストを作成する
- チェックリストに沿って内部監査を実施する
- 監査責任者への結果報告
などです。
まとめ
今回の記事では、内部監査の担当者について解説してきました。
内部監査の担当者は誰でもいいわけではなく、組織内で選ぶのが難しい場合もあるでしょう。
その場合は、社外の人に依頼するという方法もあります。
内部監査について分からないことがありましたら、オプティマ・ソリューションズへ、お気軽にご相談ください!
