ISO規格に準拠しているかどうかを社内で監査するISO内部監査員は、必要な力量を満たしておくべきです。必須ではありませんが、内部監査に必要な力量の証明として認定も存在します。社内の従業員が監査を担当する場合も、社外に委託して内部監査を実施してもらうことも可能です。
ここでは、内部監査員の概要、認定の受け方、内部監査員の選び方などについて解説します。
また、LRMでは、内部監査の実施にそのまま使える内部監査チェックリストを配布しています。経験豊富なコンサル作成のシートが無料ですので、ぜひご活用ください。
ISO内部監査についておさらい
ISO内部監査は、企業や組織がISO(International Organization for Standardization)の規格に準拠しているかどうか(適合性)、およびそのシステムが効果的に実施・維持されているかどうか(有効性)を確認するための監査です。
ISOは、世界中の企業や組織が品質管理や環境管理、情報セキュリティ管理などの分野で共通の基準を持つことを目的として、各種の規格を策定しています。
ISO内部監査は、その企業や組織の内部に所属する従業員もしくは委託された外部の人材が行います。監査員は、ISOの規格に準拠した業務が行われているかどうかを定期的に監査し、問題点を発見して改善するための提言を行います。
ISO内部監査員とは
ISO内部監査を行う監査員のことをISO内部監査員といい、多くの場合、従業員が内部監査員としての業務を行います。
ISO内部監査員には、ISOの規格への理解・知識や監査技術、報告書の作成能力などが求められています。そこで、ISO内部監査員になるためには、ISOの規格に関する知識を習得し、ISO内部監査員養成講座などの研修を受講することが必要です。
情報セキュリティマネジメントシステムに関するISO27001の内部監査員は、情報セキュリティポリシーや手順に準拠するように、会社の情報システムとその管理を監査します。したがって、ISOだけでなく、会社のセキュリティポリシーや、業務手順も理解していることが要求されます。
ISO内部監査員になるための条件
もう少し詳しく内部監査員になる条件を紹介すると、次の通りです。
自社のルールを理解している
規格に準拠するために、自社のルールが適切に設定されているか、運用されているかを確認するため、自社のルールもしっかり理解していることが必要です。
監査対象の業務を理解している
監査対象の業務も十分理解していないと、効率的・合理的な監査を行うことができません。
内部監査に関する知識を有している
監査には適切な監査手法があります。内部監査に適した手法を知っていることが必要です。
ISO内部監査員に認定されるには
ISO内部監査員として認定されるには、一般財団法人日本要員認証協会マネジメントシステム審査員評価登録センターにおいて、内部監査員として認定をうけ、登録を受けることが必要です。
ISO内部監査員として認定されるために必須の資格はありませんが、一般財団法人日本要員認証協会マネジメントシステム審査員評価登録センターにおいて、内部監査員として認定をうけ、登録を受けることができます。目安として認定を受けておくのもいいかもしれません。
例えば、情報セキュリティマネジメントシステムの内部監査員の場合、以下が認定・登録の要件です。
JRCA「マネジメントシステム内部監査員の資格基準」より抜粋
- 実務経験など
- 製造又はサービス等に係る2年以上の実務経験、又は高等学校卒業以上の経歴を有していること。
- 情報セキュリティ分野に係る半年以上の実務経験、又はこれと同等以上の教育を受けていること。該当する情報セキュリティ分野における実務経験としては、以下が例。
- 脆弱性対策(ウィルス対策等)
- 機密保護(暗号、アクセスコントロール等)
- 物理的セキュリティ
- 安全性、可用性対策(バックアップ、媒体管理、監査ログ等)
- 監査員研修コース等の修了
- マネジメントシステム内部監査員倫理綱領の遵守
- 申請登録料の支払い
ISO内部監査員を社内に置くメリット
ISO内部監査は、社外の監査員に委託して行うこともできますが、多くの場合は従業員を内部監査員とします。
内部監査は、社内のルールや業務知識を把握した者が実施する方が効率的・合理的に進めやすく、メリットが大きいためです。
特に、情報セキュリティマネジメントシステムに関する社内規定や手順書・マニュアルは、多くの機器やデータを利用して業務を行う条件を考えると、外部の監査員に理解してもらうには時間がかかりやすいものです。
また、監査の後、フォローアップや改善活動を行うにも、監査員からの協力のもと進めやすいというメリットもあります。
さらに、社内へのノウハウの蓄積・内部監査員への教育効果もメリットとして挙げることができます。内部監査の実績年数に応じて監査員のスキル・ノウハウも向上し、監査を通じて業務への理解が深まるため、監査員の教育効果も高いと考えられます。
どういった人をISO内部監査員にすれば良いのか?
内部監査員は「独立性」を保つことが求められます。そのため、内部監査員は、自部署以外の内部監査を担当するようにしましょう。内部監査員を違う部署から複数置くと、全部署を内部監査員が独立した立場で進められます。
また、ISMS事務局は内部監査員の条件に有利になるため、「ISMS事務局を務めた方が、翌年内部監査員を担当する」というお取組みはおすすめです。実務経験に事務局は算入することができます。内部監査員の育成のサイクルも考えつつ、長期的に内部監査に取り組むことが出来ます。
認定を受けておく必要があるので、求められる条件が揃っている方はかなり限定されることも多いことでしょう。特に、ISMSを取得してからあまり年数が経過していない場合などは、実際に「内部監査員を担当できる者がいない」という声は多く、早めに育成する取り組みを開始することがおすすめです。
内部監査員を育成するために、LRM株式会社では、情報セキュリティ教育クラウド「セキュリオ」にて、内部監査員向けの研修教材をご用意しております。
また、ご要望に応じ、コンサルタントがお客様向けに「内部監査員研修」を行うこともできます。
「内部監査員を育てたい」とお考えでしたら、ぜひご相談ください。
また、緊張感を持たせるなどの理由から、「内部監査は外部の専門家に依頼する」というお客様も多いです。お客様のご要望がありましたら、コンサルタントが内部監査を実施することも可能ですので、こちらもぜひLRM株式会社にご相談ください。
まとめ
ISO内部監査を行う内部監査員は、一定の実務経験や教育を受け、必要に応じて認定・登録を受けていることが望ましいです。
社内のルールや、業務を知っている従業員に認定を受けさせることは、社内に内部監査のノウハウを蓄積させることや、内部監査員のスキルを上げるために有益です。ISO事務局の経験者から、内部監査員を育てるなどして、長期的・計画的に内部監査に取り組みましょう。
