ISMS(ISO27001)の内部監査とは?進め方は?

の内部監査の進め方


ISMS(ISO27001)の内部監査とは、自社のルールや文書がISMSの要求事項を満たしているか、そしてルール通りに実施できているかを自社内でチェックすることです。
ISMS(ISO27001)の内部監査は、PDCAサイクルのC(Check)の部分にあたります。計画を立てた通りに実施できているか、改善点はないかをチェックします。

1.ISMS(ISO27001)の内部監査とは

ISMS(ISO27001)の内部監査とは、自社のルールや文書が要求事項(規格要求事項や法的要求事項など)を満たしているかどうか、自社のルールや文書通りに仕事ができているかどうかをチェックすることです。

また、内部監査をする際は、

①決められた通りにできているか(=適合性)
②今のルールや文書が有効かどうか(=有効性)

の2つの視点でみることが必要です。

内部監査はISMS(ISO27001)を運用するPDCAサイクルのC(Check)の部分にあたります。
計画を立てた通りに実施できているかチェックすることです。

2.内部監査の進め方

まず注意すべき点は、自分の部署は監査できないという点です。
自分が所属する部署を監査するのは禁止されています。
総務部の従業員が総務部の内部監査をすることはできない、といった感じです。

そのため、内部監査するメンバー(内部監査員と呼びます)は2名以上で構成する必要があります。

では、実際にどのように進めるのか?大きく3つのフェーズに分かれます。

1)内部監査の計画を立てる
2)内部監査の実施
3)内部監査後のまとめ対応

ISMS(ISO27001)取得の流れとスケジュールについてはこちらの記事で詳しく説明しております。

1)内部監査の計画を立てる

「どの部署の・誰に・いつ・何をチェックしにいくか」を事前に段取りしておきましょう。
「3月30日の13時~15時に総務部○○さんに、経理部の○○さんが、●●チェックリストの内容を見に行く」といった形です。

また、チェックリストの内容も今回特に重点にしていることや、前回と変わった点を盛り込んだ内容にしておくとより良い内部監査になります。

2)内部監査の実施

計画したとおりに内部監査を実施しましょう。
特に、チェックリストに基づいた監査証拠を集めるようにしましょう。

この監査では適合も不適合も両方証拠を残していくようにしましょう。

3)内部監査後のまとめ対応

実施できたら、監査の結果をとりまとめましょう。
マネジメントレビューとしてトップへの報告も必要になります。
不適合がある場合などは、各部署に是正してもらうよう伝える必要が出てきます。

3.内部監査で必要になる3つの記録

内部監査では、以下の3点が必要になります。

1)内部監査計画
2)内部監査チェックリスト
3)内部監査報告書

場合によっては不適合の発生もあるので、不適合報告や是正処置に関わる記録も監査のタイミングで準備することもあります。

4.良い内部監査と悪い監査の比較

良い監査は、しっかりと自社の課題を見つけられているもの、になります。
悪い監査は、ISMS(ISO27001)で求められているから単に実施しただけとなっており、改善すべき点や課題の指摘がない状態です。

内部監査はPDCAサイクルのC(Check)の機能ですので、Action=改善につながるチェックができたら良い内部監査と言えます。

まとめ

いかがでしたでしょうか?
ISMS(ISO27001)の内部監査についてお分かりいただけましたでしょうか。
ISMS(ISO27001)の内部監査とは、自社のルールや文書がISMSの要求事項を満たしているか、そしてルール通りに実施できているかを自社内でチェックすることです。
ISMS(ISO27001)の内部監査は、PDCAサイクルのC(Check)の部分にあたります。
計画を立てた通りに実施できているか、改善点はないかをチェックします。
単にISMS(ISO27001)で求められているから実施するのではなく、自社の改善点を見つけるつもりで実施し、内容の濃い内部監査にできることが望ましいです。

内部監査とセットとも言えるマネジメントレビューについてはこちらもご覧ください。

  • お客様の声
  • 無料プレゼント

カテゴリー: