「内部監査の担当者になったけど、何から手をつければいいかわからない…」 「毎回チェックリストを作るのが大変で、効率化したい…」 「監査はしているものの、形式的になっていないか不安…」
内部監査は、企業の業務プロセスがルール通りに運用されているかを確認し、業務改善や不正防止に繋げる重要な取り組みです。特にISMS(情報セキュリティマネジメントシステム)やPマーク(プライバシーマーク)などの認証を維持するためには、定期的な内部監査が不可欠となります。
監査を効率的かつ効果的に進める鍵となるのが「チェックリスト」です。
この記事では、初めて内部監査を担当する方でもすぐに実践できるよう、内部監査チェックリストの作り方を5つのステップで分かりやすく解説します。さらに、そのまま監査で使えるISMS・Pマーク・業務監査用のテンプレートもご用意しました。専門家のノウハウが凝縮されたチェックリストを、ぜひ貴社の監査活動にご活用ください。
内部監査についておさらい
内部監査は、業務が定められたプロセスに則って行われていることを、社内の客観的な立場から確認し、分析・評価を加えて問題点の是正を行う取り組みです。その目的は、単なる「あら探し」ではなく、業務効率化、不正防止、ガバナンス強化など、組織の持続的な成長を支えることにあります。
2006年の会社法改正で、大企業では内部統制整備が義務づけられました。さらに、2015年の会社法改正では、コーポレートガバナンスの強化が求められ、監査体制についても強化が必要とされました。 このような法制度も背景として、内部監査が企業で実施されるシーンが増えています。
内部監査は経営陣の指示のもとであっても、経営陣からは独立した組織内の監査役が監査を実施します。監査対象の部門から独立した人が担当するのが、公平性を保つ上での原則です。
内部監査にもいくつかの種別があります。例として下記が挙げられます。
- 会計監査
- 業務監査
- コンプライアンス監査
- 情報セキュリティ監査(ISMS内部監査など)
このうちISMS内部監査は、業務がISMSの要求事項に沿って行われていることをチェックし、規格の認証維持も目的となります。
内部監査チェックリストとは
内部監査チェックリストとは、内部監査において業務が特定のルールに沿って行われていることを確認するための道具であり、監査の品質を左右する重要なツールです。 ISO27001(ISMS)やPマーク、ISO27017(クラウドセキュリティ)の場合は、内部監査においてチェックリストを用いて、組織の情報セキュリティ対策が規格と適合しており、マネジメントシステムが有効に働いているかを確認します。
もし、チェックリストにおいて不適合が発見された場合には、是正や業務改善の対象となります。 重要なのは、チェックリストの目的は不適合や改善点を見つけ、企業の業務や組織を改善に導くことです。監査員と被監査部門がこの目的を共有することで、監査がより建設的なものになります。
また、内部監査は定期的に繰り返し行われるものです。ISMSなどでは少なくとも年1回以上の実施が求められます。 この際、チェックリストは繰り返し利用する資産となります。 チェックリストそのものに改善を加えることで、内部監査の品質を向上させることにもつながります。
LRMの現役ISMSコンサルタント作成の内部監査チェックリストはこちら。
内部監査にチェックリストを利用することによるメリット・デメリットについて整理します。
メリット
- 監査の標準化が実現できる
- 監査項目が明確になるため、監査員による品質のバラつきを防ぎ、監査レベルを一定に保てます。
- 監査の効率性が確保できる
- 事前に確認事項が整理されているため、監査の抜け漏れを防ぎ、スムーズに進行できます。
- 監査の証拠として活用できる(記入後)
- 記入後のチェックリストは、監査を実施した客観的な証拠(エビデンス)として、経営層への報告や外部審査で活用できます。
- 監査の質の向上が実現できる
- 監査で見つかった課題や社会情勢の変化を反映させ、リストを更新していくことで、監査の観点自体を継続的に改善できます。
デメリット
- 視野が狭くなる可能性
- チェックリストの項目を消化することに集中しすぎると、リスト以外の問題点を見落とす可能性があります。リストはあくまで「最低限の確認事項」と捉えるべきです。
- 「有効性」の評価には不十分な場合も
- 「ルール通りか(適合性)」の確認には強いですが、「そのルールが本当に効果的か(有効性)」の評価には、ヒアリングやデータ分析など別の視点が必要です。
効果的な内部監査チェックリストの作り方【5ステップ】
ここでは、実用的なチェックリストを作成するための具体的な手順を5つのステップで解説します。初めて作成する場合でも、この手順に沿えば抜け漏れのないリストが作成できます。
STEP1:監査の目的と範囲を明確にする
まず、「今回の監査で何を達成したいのか(目的)」と「どこを監査するのか(範囲)」を定義します。例えば、「ISMSの有効性を確認するため、全社を対象に実施する」や「経理部門の請求業務プロセス改善のため、経理部を対象に実施する」のように具体的に設定します。
STEP2:監査項目を洗い出す
監査の目的と範囲に基づき、確認すべき項目を洗い出します。ISMSであれば「ISO27001の要求事項」、Pマークであれば「JIS Q 15001の要求事項」、業務監査であれば「関連する社内規程」などが基準となります。
STEP3:評価基準を具体的に設定する
各監査項目に対して、「OK(適合)」「NG(不適合)」を判断するための具体的な基準を設定します。「〇〇が実施されていること」「△△の記録があること」のように、誰が見ても同じ判断ができる客観的な基準にすることが重要です。
STEP4:確認方法と特記事項の欄を設ける
「どのように確認するか(例:担当者へのヒアリング、記録の閲覧)」を記載する欄や、監査中に気づいた点(所見)をメモする欄を設けておくと、監査がスムーズに進み、報告書作成も楽になります。
STEP5:レビューと承認を得る
作成したチェックリストを内部監査責任者や関連部署にレビューしてもらい、フィードバックを反映させます。これにより、リストの客観性や網羅性が高まります。
内部監査チェックリストに使える有効なサンプル
初めて内部監査に用いるチェックリストを作成する場合には、何を書けば良いのか戸惑うかもしれません。
前例とできるサンプルがあれば効率的に作成することが可能です。様式(フォーマット)や記載項目の書き方の参考として、Web上に公開されているサンプルをご紹介します。
- 内部監査チェックリスト(LRM株式会社)
当サイトで配布しているテンプレートです。ISMS、Pマーク、業務監査の3つの観点で、すぐに使える項目を網羅しています。 - ISO9001内部監査チェックシート(ISO支援ネット)
品質マネジメントシステム(ISO9001)に特化したチェックリストです。製造業などで品質管理を担当されている方におすすめです。 - 内部監査チェックリストの例(タテックス有限会社)
一般的な業務監査で使えるシンプルなフォーマットの例です。自社用にカスタマイズする際のベースとして参考になります。
注意点として、あくまでサンプルやフォーマットとして活用しましょう。
内容については、実施する監査に向けて、自社の業務とあわせて記述してください。
内部監査を成功させるためのポイント
内部監査実施における注意点について紹介します。
- 「適合性」と「有効性」の2つの視点を持つ
内部監査は規定に沿って業務が行われているかという「適合性」と、そのルールが効果的に実施・維持されているかという「有効性」の2つの視点が求められます。チェックリストは主に「適合性」の確認に役立ちますが、ヒアリングを通して「なぜこのルールが必要なのか」「もっと良い方法はないか」といった「有効性」の視点を持つことが重要です。 - 改善までが監査である
内部監査の本分は組織体をより良くすることにあります。監査を行っただけでは、指摘点があがっただけに過ぎません。業務などの改善につなげて効果を導き出すことが必要です。 - 客観性と誠実さを忘れない
内部監査では、必ずしも監査対象の業務に専門的知識を持った人が行う必要はありません。
内部監査を実施する人には、業務への知識よりも、合理的で公正に実施できること、客観性や誠実さが問われます。 - 形骸化させない
内部監査の実施が形式的になってしまうと、実効力が無くなってしまうケースもあります。マンネリを防ぐため、監査員を定期的に交代させたり、監査のテーマを変えたりする工夫も有効です。
内部監査のチェックリストを用いた進め方とは
チェックリストを用いた内部監査は、次のような流れで実施します。
1.監査体制を構築する
内部監査を実施する前に、監査の専門知識と業務プロセスに精通している内部監査責任者と内部監査員を任命して体制を構築します。
2.チェックリストを作成する
先述したサンプルなどを活用してチェックリストを作成します。
サンプルをそのまま使わず、自社にとって適切なチェックリストを作成しましょう。
3.内部監査の実施頻度とスケジュールを決める
内部監査は定期的に行うものであるため、事前に年間スケジュールや実施頻度を計画します。
4.監査プログラムを作成する
内部監査を期間内に実施できるように計画された監査プログラムを作成します。過去の監査結果や事業の重要性などを加味して適切なプログラムを作成します。
5.監査目的を設定する
内部監査の目的を設定します。例えば、自社の業務が法令を遵守しているかなどが基本的な目的となりますが、その他にも業務の改善や有効性の評価を目的とするケースもあります。
6.監査の準備をする
監査プログラムの周知や内部監査計画書の作成など監査の準備を行います。客観性を保つため、自分の業務を自分で監査しないように、担当の割り当てを適切に行います。また内部監査チーム内で、監査の方法や手順、方針などを予め統一させておきます。
7.内部監査を実施する
チェックリストを元に内部監査を実施します。ヒアリングや記録の確認を行いながら、客観的な事実を記録していきます。
8.監査内容を報告する
内部監査が完了したら、内部監査報告書を作成します。監査員の名前や不適合箇所だけでなく、良かった点(グッドプラクティス)なども併せて記載しましょう。報告書を作成したら、監査対象者に報告します。
9.是正処置と振り返り
報告を受けた部署は、不適合事項に対して是正処置計画を立て、業務改善を行います。監査対象が改善を進めているかどうか、改善の進捗状況などの確認(フォローアップ)も行います。
まとめ
内部監査は企業が定めたルールに従って業務が出来ているかどうかをチェックし、業務改善に繋げる重要な取り組みです。 ISMSなどの認証取得をしている企業は、定期的に内部監査を行い不適合を是正する必要があります。 効果的なチェックリストは、その監査活動の質を大きく左右します。この記事で紹介した作り方やテンプレートを参考に、ぜひ貴社の監査活動のレベルアップにお役立てください。
また、これからISMS認証取得をお考えの皆様は、LRMの認証取得コンサルティングがオススメです。専属コンサルティングチームがクラウドサービスで大幅に工数削減しながら確実なISMS認証取得をご支援します。内部監査の運用に関するご相談も承っておりますので、お気軽にお問い合わせください。
