内部監査は企業の業務が定められたプロセスに則って行われていることを、社内の立場からチェックする取り組みです。
プロセスと不適合な業務を見つけ、業務効率化、不正防止や低減につなげることを目的とします。
また、ISMSやPマークなどの認証取得をしている組織の場合、定期的に、規格に則った適切なシステムが効果的に実施できているかの確認として、内部監査を実施する必要があります。
内部監査では、チェックリストを作成・使用することが効率的かつ一般的です。チェックリストは、同じものを毎回利用することで効率化・監査の再現性確保もできますし、リストを見直し・改善していくことで監査事態のブラッシュアップも簡単にできてしまうというのも魅力的です。
とは言え、例えば初めて内部監査の担当者になった場合、チェックリスト項目の多さや記載方法に戸惑うでしょうし、そもそもチェックリストを作成するときには、取っ掛かりがなくて困ってしまうかもしれません。
そんなときに、専門機関が公開しているサンプルを利用するとかなりスムーズに事が進みますので、非常にオススメです。本記事では、内部監査とチェックリストについて解説し、作成に活かせるサンプルを紹介します。
また、LRMで配布している、そのまま監査で使用できる内部監査チェックリストも専門家のノウハウが凝縮されていますので、よかったらぜひダウンロードしてご活用ください。
内部監査についておさらい
内部監査は企業の業務効率化や不正防止・低減などを目的として、業務が定めたプロセスに沿って行われていることを確認し、分析・評価を加えて問題点の是正を行う取り組みです。
同一企業内の監査対象とは別部門に所属する人が担当するのが一般的です。
2006年の会社法改正で、監査役を置く大企業では内部統制整備が義務づけられました。内部統制のための制度の一環として、内部監査を実施する企業も多くあります。
さらに、2015年の会社法改正では、コーポレートガバナンスの強化が必要とされ、監査体制についても強化が必要とされました。
このような法制度も背景として、内部監査が企業で実施されるシーンが増えています。
内部監査は経営陣の指示のもとであっても、経営陣からは独立した組織内の監査役、担当者が監査を実施します。
各種規格の認証取得のために内部監査を実施する場合も同様です。組織内に内部監査に関するノウハウや事例がない場合、監査担当者を置くためのリソースがない場合などは、コンサルティング企業などの実施する内部監査支援サービスを利用するのも一つの手段です。
内部監査にもいくつかの種別があります。例として下記が挙げられます。
- 部門監査
- テーマ別監査
- 経営監査
- ISMS内部監査
このうちISMS内部監査は、業務がISMSの要求事項に沿って行われていることをチェックし、規格の認証取得をすることも大きな目的となります。
内部監査チェックリストとは
内部監査チェックリストとは、名前の通り内部監査において業務が特定のルールに沿って行われていることを確認するためのチェックリストです。
ISO27001(ISMS)やISO27017(クラウドセキュリティ)の場合は、内部監査においてチェックリストを用いて、これらの規格と企業の情報セキュリティ対策が適合しており、マネジメントシステムが規格に適合しているか、有効に働いているかを確認します。
もし、チェックリストにおいて不適合が発見された場合には、是正や業務改善の対象となります。
内部監査チェックリストの目的は不適合や改善点を見つけ、企業の業務や組織を改善に導くことです。チェックによる不適合の指摘そのものは目的ではないため注意が必要です。
本来的な目的を意識したチェックリストの作成が必要とされます。
また、内部監査は定期的に繰り返し行われるものです。ISMS内部監査の場合、少なくとも年1回以上の実施が基本です。
この際、チェックリストは繰り返し利用するものとなります。
チェックリストそのものに改善を加えることで、内部監査の品質を向上させることにもつながります。
外部の規格認証団体などへ、内部監査実施のエビデンスとして提出資料となる場合もあります。
LRMの現役ISMSコンサルタント作成の内部監査チェックリストはこちら。
以下では、内部監査にチェックリストを利用することによるメリット・デメリットについて記載します。
メリット
- 監査の標準化が実現できる
- チェックリストで一定の項目を定めることで、企業内の内部監査の標準化に役立ちます。
- 監査の効率性が確保できる
- 監査実施時の内容をリストアップしておくことで、内部監査業務の効率化が図れます。また定期的に内部監査を行う場合には、繰り返し利用することでさらなる作業効率化に貢献します。
- 監査の証拠として活用できる(記入後)
- 監査結果を入力した後は、チェックリストは監査実施の証拠(エビデンス)として利用できます。
- 監査の質の向上が実現できる
- 内部監査で行う内容をあらかじめ定めておくことで、チェックそのものの質の向上や実施者による品質差を防ぐことも可能です。
デメリット
- チェックリストに傾注しすぎて、重要な他の確認事項を見落としてしまう可能性がある
- 内部監査実施時にチェックリストのみに頼り過ぎてしまうことで、見落としが発生しチェックリスト記載以外の項目には気づかないといったケースが起こり得ます。
- 適合性の判定には向いているが、有効性の判定には不十分
- 規格への適合性の確認にはチェックリストは有用ですが、実施している施策の有効性についてはチェックリストからは判定するのは難しいです。施策、ルールの有効性の判定については、別の評価が必要となります。
内部監査チェックリストに有効なサンプル
初めて内部監査に用いるチェックリストを作成する場合には、どの様に何を書けば良いのか戸惑うかもしれません。
前例とできるサンプルがあれば効率的に作成することが可能です。様式(フォーマット)や記載項目の書き方の参考として、Web上に公開されているサンプルをご紹介します。
- 内部監査チェックリスト(LRM株式会社)
- ISO9001内部監査チェックシート(ISO支援ネット)
- 内部監査チェックリストの例(タテックス有限会社)
注意点として、あくまでサンプルやフォーマットとして活用しましょう。
内容については、実施する監査に向けて、自社の業務とあわせて記述してください。
内部監査で気を付けるべきこと
内部監査実施における注意点について紹介します。
内部監査は規定に沿って業務が行われているかという「適合性」と、効果的に実施・維持されているかという「有効性」の2つの視点が求められます。
内部監査の本分は組織体の目標の達成に役立つことにあります。監査を行っただけでは、指摘点があがっただけに過ぎません。業務などの改善につなげて効果を導き出すことが必要です。
内部監査では、必ずしも監査対象の業務に専門的知識を持った人が行う必要はありません。
内部監査は規程に沿っているかを確かめるものです。内部監査を実施する人には、業務への知識よりも、合理的で公正に実施できること、客観性や誠実さが問われます。
内部監査の実施が形式的になってしまうと、実効力が無くなってしまうケースもあります。
ただ監査をするのではなく、改善につながるまでやり遂げることが大切です。
内部監査のチェックリストを用いたやり方とは
チェックリストを用いた内部監査は、次のような流れで実施します。
1.監査体制を構築する
内部監査を実施する前に、監査の専門知識と業務プロセスに精通している内部監査責任者と内部監査員を任命して体制を構築します。
2.チェックリストを作成する
先述した内部監査チェックリストに有効なサンプルなどを活用してチェックリストを作成します。監査対象の業務や職種によって、チェックリストは大きく異なるため、サンプルをそのまま使わず、自社にとって適切なチェックリストを作成しましょう。
3.内部監査の実施頻度とスケジュールを決める
内部監査は定期的に行うものであるため、事前にスケジュールや実施頻度を決めておきます。
4.監査プログラムを作成する
内部監査を期間内に実施できるように計画された監査プログラムを作成します。過去の監査対象や監査結果、重要性などを加味して適切なプログラムを作成します。
5.監査目的を設定する
内部監査の目的を設定します。自社の業務が法令を遵守しているかなどが基本的な目的となりますが、その他にも業務の改善や有効性の評価を目的とするケースもあります。
6.監査の準備をする
監査プログラムの周知や内部監査計画書の作成など監査の準備を行います。監査の客観性を損なわないために、自分の業務を自分で監査しないように、担当の割り当てを適切に行います。また内部監査チーム内で、監査の方法や手順、方針などを予め統一させておきます。
7.内部監査を実施する
チェックリストを元に内部監査を実施します。
8.監査内容を報告する
内部監査が完了したら、内部監査報告書を作成します。監査員の名前や不適合箇所だけでなく、良かった点なども併せて記載しましょう。報告書を作成したら、監査対象者に報告します。報告を受けた部署は報告書を元に、業務改善を行います。
9.振り返り
不適合と見なされた事項を振り返り、具体的な改善の方法や改善に行う期間などを提案します。監査対象が改善を進めているかどうか、改善の進捗状況などの確認も行います。
まとめ
内部監査は企業が定めたルールに従って業務が出来ているかどうかをチェックし、業務改善に繋げる取り組みです。
ISMSなどの認証取得をしている企業は、定期的に内部監査を行い不適合を是正する必要があります。
また、これからISMS認証取得をお考えの皆様は、LRMの認証取得コンサルティングがオススメです。専属コンサルティングチームがクラウドサービスで大幅に工数削減しながら確実なISMS認証取得をご支援します。
