内部監査は企業の業務が定められたプロセスに則って行われていることを、社内の立場からチェックする取り組みです。
プロセスと不適合な業務を見つけ、業務効率化、不正防止や低減につなげることを目的とします。
また、ISMSやPマークなどの認証取得をしている組織の場合、定期的に内部監査を実施する必要があります。
内部監査では業務がマニュアルや規格等に沿っているかを確認していくのですが、効率的な実施と記録が必要なことからチェックリストを作成することが一般的です。
内部監査のチェックリストは、繰り返し利用することができ、このリストを改善していくことで内部監査そのものも改善が可能です。
しかしながら、初めて内部監査の担当者となった場合などでは、チェックリストの作成の煩雑さに困ることもあります。
チェックする項目が多い、どの様に記載すればよいかわからない、といった点で困る場合にはサンプルを参照することで解決できることもあります。
本記事では、内部監査とチェックリストについて解説し、チェックリスト作成に活かせるサンプルを紹介します。
また、LRMでも、内部監査チェックリストを無料で配布しています。
- 現役ISMSコンサルタント作成
- 60以上の監査項目を網羅
- チェック項目に関連するISMS規格を記載
そのまま内部監査でご利用いただけます。
こちらから無料でダウンロードできますので、ぜひご活用ください。
内部監査についておさらい
内部監査は企業の業務効率化や不正防止・低減などを目的として、業務が定めたプロセスに沿って行われていることを確認し、分析・評価を加えて問題点の是正を行う取り組みです。
同一企業内の監査対象とは別部門に所属する人が担当するのが一般的です。
2006年の会社法改正で、監査役を置く大企業では内部統制整備が義務づけられました。内部統制のための制度の一環として、内部監査を実施する企業も多くあります。
さらに、2015年の会社法改正では、コーポレートガバナンスの強化が必要とされ、監査体制についても強化が必要とされました。
このような法制度も背景として、内部監査が企業で実施されるシーンが増えています。
内部監査は経営陣の指示のもと、経営陣からは独立した組織内の監査役、担当者が監査を実施します。
各種規格の認証取得のために内部監査を実施する場合も同様です。組織内に内部監査に関するノウハウや事例がない場合、監査担当者を置くためのリソースがない場合などは、コンサルティング企業などの実施する内部監査支援サービスを利用するのも一つの手段です。
豊富な事例から、スムーズな内部監査を行い、次回以降の内部監査に向けた準備にもなります。内部監査では組織の業務内のリスクを洗い出します。
定められたルールにのっとって業務が行えていることをチェックし、分析・評価を加えることで問題を明確化します。
その後の業務改善や問題点の是正につなげることも大切です。
内部監査にもいくつかの種別があります。例として下記が挙げられます。
- 部門監査
- テーマ別監査
- 経営監査
- ISMS内部監査
このうちISMS内部監査は、業務がISMSの要求事項に沿って行われていることをチェックし、規格の認証取得をすることも大きな目的となります。
内部監査チェックリストとは
内部監査チェックリストとは、名前の通り内部監査において業務が特定のルールに沿って行われていることを確認するためのチェックリストです。
ISO27001(ISMS)やISO27017(クラウドセキュリティ)の場合は、内部監査においてチェックリストを用いて、これらの規格と企業の情報セキュリティ対策が適合しており、マネジメントシステムが有効であることを確認します。
もし、チェックリストにおいて不適合が発見された場合には、是正や業務改善の対象となります。
内部監査チェックリストの目的は不適合や改善点を見つけ、企業の業務や組織を改善に導くことです。チェックによる不適合の指摘そのものは目的ではないため注意が必要です。
本来的な目的を意識したチェックリストの作成が必要とされます。
また、内部監査は定期的に繰り返し行われるものです。ISMS内部監査の場合、少なくとも年1回以上の実施が基本です。
この際、チェックリストは繰り返し利用するものとなります。
チェックリストそのものに改善を加えることで、内部監査の品質を向上させることにもつながります。
外部の規格認証団体などへ、内部監査実施のエビデンスとして提出資料となる場合もあります。
LRMの現役ISMSコンサルタント作成の内部監査チェックリストはこちら。
以下では、内部監査にチェックリストを利用することによるメリット・デメリットについて記載します。
メリット
- 監査の標準化が実現できる
- チェックリストで一定の項目を定めることで、企業内の内部監査の標準化に役立ちます。
- 監査の効率性が確保できる
- 監査実施時の内容をリストアップしておくことで、内部監査業務の効率化が図れます。また定期的に内部監査を行う場合には、繰り返し利用することでさらなる作業効率化に貢献します。
- 監査の証拠として活用できる(記入後)
- 監査結果を入力した後は、チェックリストは監査実施の証拠(エビデンス)として利用できます。
- 監査の質の向上が実現できる
- 内部監査で行う内容をあらかじめ定めておくことで、チェックそのものの質の向上や実施者による品質差を防ぐことも可能です。
デメリット
- チェックリストに傾注しすぎて、重要な他の確認事項を見落としてしまう可能性がある
- 内部監査実施時にチェックリストのみに頼り過ぎてしまうことで、見落としが発生しチェックリスト記載以外の項目には気づかないといったケースが起こり得ます。
- 適合性の判定には向いているが、有効性の判定には不十分
- 規格への適合性の確認にはチェックリストは有用ですが、実施している施策の有効性についてはチェックリストからは判定するのは難しいです。施策、ルールの有効性の判定については、別の評価が必要となります。
内部監査チェックリストに有効なサンプル
初めて内部監査に用いるチェックリストを作成する場合には、どの様に何を書けば良いのか戸惑うかもしれません。
前例とできるサンプルがあれば効率的に作成することが可能です。様式(フォーマット)や記載項目の書き方の参考として、Web上に公開されているサンプルをご紹介します。
- 内部監査チェックリスト(LRM株式会社)
- ISO9001内部監査チェックシート(ISO支援ネット)
- 内部監査チェックリストの例(タテックス有限会社)
注意点として、あくまでサンプルやフォーマットとして活用しましょう。
内容については、実施する監査に向けて、自社の業務とあわせて記述してください。
内部監査で気を付けるべきこと
内部監査実施における注意点について紹介します。
- 内部監査は規定に沿って業務が行われているかという「適合性」と、そもそものルールや文書が有効かどうかという「有効性」の2つの視点が求められます。
- 内部監査は組織体の目標の達成に役立つことにあります。監査を行っただけでは、指摘点があがっただけに過ぎません。
業務などの改善につなげて効果を導き出すことが必要です。 - 内部監査では、必ずしも監査対象の業務に専門的知識を持った人が行う必要はありません。
内部監査は規程に沿っているかを確かめるものです。内部監査を実施する人には、業務への知識よりも、合理的で公正に実施できること、客観性や誠実さが問われます。 - 内部監査の実施が形式的になってしまうと、実効力が無くなってしまうケースもあります。
ただ監査をするのではなく、改善につながるまでやり遂げることが大切です。
内部監査の計画から対応策までクラウド上で一括管理
内部監査は避けては通れない業務ですが、計画から実施、対応策の実施にいたるまで工数も多く、かつ、全企業が必ずやらなければならないことと企業ごとの対応が求められることの両方があるなど、なかなか骨の折れる業務です。
そこで、LRMの情報セキュリティ教育クラウド「セキュリオ」がお役に立ちます。
内部監査の「計画」「実施」「対策の実施」にまつわるタスク管理はもちろんのこと、「実施記録の作成」「情報資産の見直し」といったことも簡単に一元管理が可能です。
また、eラーニング機能を使えば、専用教材で内部監査員の研修も可能。
ほかにも企業の情報セキュリティを向上させる機能が満載です。
「セキュリオ」では、14日間無料で全機能をご利用いただけるトライアルを実施中です。
この機会にぜひお試しください。
まとめ
内部監査は企業が定めたルールに従って業務が出来ているかどうかをチェックし、業務改善に繋げる取り組みです。
ISMSなどの認証を取得している企業は、定期的に内部監査を行い不適合を是正する必要があります。
また、これからISMS認証取得をお考えの皆様は、こちらの資料にて、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。