• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈

PAK85_lalakakudaikyouOL20140321_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの残田です。

今回は「ISO27001:2013(ISMS):2013年度規格改訂 9.2項「内部監査」規格解釈」について書いていきたいと思います。

ISO27001:2013及びJIS Q 27001:2014の記載事項

まず、ISO27001:2013(アイエスオー27001:2013,ISMS)及びJIS Q 27001:2014(ジスキュー27001:2014)に何と書いてあるか確認してみましょう。

9.2 内部監査

組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

a) 次の事項に適合している。
 1) ISMS に関して,組織自体が規定した要求事項
 2) この規格の要求事項
b) 有効に実施され,維持されている。

組織は,次に示す事項を行わなければならない。

c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
d) 各監査について,監査基準及び監査範囲を明確にする。
e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
f) 監査の結果を関連する管理層に報告することを確実にする。
g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

ちなみに、JIS Q 9001:2015(ジスキュー9001:2015)には次のように記載されています。

9.2 内部監査

9.2.1 組織は,品質マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

a) 次の事項に適合している。 
 1) 品質マネジメントシステムに関して,組織自体が規定した要求事項
 2) この規格の要求事項
b) 有効に実施され,維持されている。

9.2.2 組織は,次に示す事項を行わなければならない。

a) 頻度,方法,責任,計画要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性,組織に影響を及ぼす変更,及び前回までの監査の結果を考慮に入れなければならない。
b) 各監査について,監査基準及び監査範囲を定める。
c) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
d) 監査の結果を関連する管理層に報告することを確実にする。
e) 遅滞なく,適切な修正を行い,是正処置をとる。
f) 監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持する。

JIS Q 14001:2015(ジスキュー14001:2015)でも同じように記載されています。

9.2 内部監査

9.2.1 一般

組織は,環境マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施しなければならない。

a) 次の事項に適合している。
 1) 環境マネジメントシステムに関して,組織自体が規定した要求事項
 2) この規格の要求事項
b) 有効に実施され,維持されている。

9.2.2 内部監査プログラム

組織は,内部監査の頻度,方法,責任,計画要求事項及び報告を含む,内部監査プログラムを確立し,実施し,維持しなければならない。
内部監査プログラムを確立するとき,組織は,関連するプロセスの環境上の重要性,組織に影響を及ぼす変更及び前回までの監査の結果を考慮に入れなければならない。組織は,次の事項を行わなければならない。

a) 各監査について,監査基準及び監査範囲を明確にする。
b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
c) 監査の結果を関連する管理層に報告することを確実にする。
組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を保持しなければならない。

見て頂ければお分かりの通り、どの規格でも同じことが要求されています。
ここからは内容を細かく見ていきたいと思います。

細かい内容を確認してみよう

>a) 次の事項に適合している。
>1) ISMS に関して,組織自体が規定した要求事項
>2) この規格の要求事項
→適合しているかどうかを内部監査でチェックすることが求められています。

1)では仕事上守らなければいけない法令やその他規則等、顧客から要求されていること、社内で必要と判断しルール化したものの3つを守れているか監査することを求められています。
2)ではISO27001:2013(ISNS:アイエスオー27001:2013,ISMS)JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることを守れているか監査することを求められています。

>b) 有効に実施され,維持されている。
→定められているルールが有効かどうか、会社の役にたっているかをチェックすることを求められています。

システムの有効性の監査を実施するために要求事項に適合していることが前提となります。そのうえで、要求事項(規格、法令、顧客、社内)で要求されている以上のことをやっている場合はルールを簡素化し、要求されていないことをやっている場合はルールをなくすことができます。

>c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確>立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
→内部監査を実施する時期、方法を決めて、重点的に監査する項目、前回までの監査結果を考慮しましょうということです。

>d) 各監査について,監査基準及び監査範囲を明確にする。
→監査基準はチェックリストを作成している組織が多いです。要求事項を漏れなくチェックできるのであればチェックリストを作成せずにマニュアルを基に監査でも問題ありません。

監査範囲は内部監査を実施する前にどの部署を見るか計画することです。

>e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
→自分がしている仕事内容を監査することができません。

>f) 監査の結果を関連する管理層に報告することを確実にする。
→監査結果を関連部署の部門長等に報告する必要があります。

>g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。
→監査に使用したチェックリストや監査結果は文書として残しておく必要があります。

JIS Q 27001:2014(ジスキュー27001:2014)の規格で要求されていることはここまでです。全部署を監査するために1週間かけていたというお客様がよくいますが、監査はあくまでもサンプリングなので、当社では1拠点2時間以内で監査を実施しています。
自社の内部監査のルールが有効なものか一度見直してみてもよいと思います。

ISOを新規で取得したい、ISOの仕組みが重たくなって困っているといった方がいましたら、ぜひ一度、ISO総合研究所までお問い合わせください。

カテゴリー:ISOコラム タグ:ISO コンサルタント 規格改訂
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ