マネジメントシステム認証取得100社に聞きました
内部監査における課題は? = 監査員の力量不足
重点的に確認したいことは?= 有効性(パフォーマンス)評価
監査員が業務と兼務の場合、育成コスト(時間と費用)が増加するため力量不足に起因して、アンケート的な監査となり、『やってますか?』『Yes』『理解してますか?』『Yes』---- 全て問題ないという結論?有効性を評価するためには相応の力量が必要です。内部監査員の力量不足により有効な監査が実施できていないという理由で形骸化しているという声に対応するため、審査員資格を有する内部監査チームの派遣を開始しました。
多くの企業・組織が内部監査は自組織で実施しなければならないと考えられていますが --- 実は
JIS Q 19011:2019 マネジメントシステム監査のための指針
3.1 監査定義 注記1『内部監査は,第一者監査と呼ばれることもあり,
その組織自体又は代理人によって行われる』とされています。
詳しくはこちら
内部監査業務受託(監査チーム派遣)プロセス
監査業務を外部委託した理由(事例)
- 公益法人様:セキュリティ監査が入るため事前にJIS Q 27001に沿って内部監査を実施してほしい。
- 通信系企業様:QMS新規認証審査を前に問題がないか監査チームを派遣し現状を確認してほしい。
- 医療系企業様:内部監査コストが肥大化し有効性に欠けるため、監査チームを派遣してほし
(チームに同行させて監査員のスキルアップも実施したい) - Web系SI :コンサルタントによりISMS認証取得はできたが、文書や記録が多い
運用が困難なため効率的かつ有効なマネジメントシステムに改善したい
何を廃止して何を残さなければならないのかがわからないため監査してほしい。 - 新規認証支援先:初回認証時は監査員育成に時間とコストを要するため、内部監査は委託したい。
(次年度以降は監査員を育成するか継続的に委託するかを検討する) - 事業統合:統合により2種類のISMSが一つになったため、それぞれの状況(成熟度)を把握し整合したいので監査を実施してほしい。
(2019年に初回実施しましたが、2020年も継続的にチーム派遣による監査を依頼) - ISMS運用企業:担当者が退職(監査リーダー)が退職したため、新たに採用もしくは育成する時間とコストを考えると内部監査を委託したい。
- 上場企業子会社:品質マネジメントシステムとISMSを運用しているが、担当者が退職した
2つのマネジメントシステムの監査が実施できないため、複合監査を実施してほしい。 - 上場企業子会社:ISMSの初回認証審査を前に問題がないか監査してほしい。
監査結果の可視化
パフォーマンスを見える化します
5段階評価でパフォーマンスを評価します
現状調査による評価結果から設定した目標への達成度評価①マネジメントシステム評価
②ISMS附属書A管理策評価
・5.組織的管理策評価
・6.人的管理策評価
・7.物理的管理策評価
・8.技術的管理策評価
・#運用属性別評価
③サーバーセキュリティレジリエンス評価
④総合評価
