Dejan Kosutic あなたが内部監査員の概念を初めて知ったのなら、おそらく戸惑うでしょう。なぜ、また別の管理策が必要なのでしょうか。その金を払うのは誰なのでしょうか。そのために誰を雇えばよいのでしょうか。なんという時間の無駄なのでしょうか。
でも、それほど悲観する必要はありません。内部監査は、ISO 27001やBS 25999-2規格に準拠する以外の他のビジネスにも(情報セキュリティや事業継続に関係するかどうかに関わらず)役立つ可能性があります。
内部監査のポイントは、さもないと発見できずに事業に損害を与えるような問題を発見できることにあります。 現実的に考えてみてください。間違えるのは人間ですから、間違いのないシステムというものは有り得ません。けれども、間違いから学習して自己改革するシステムは可能です。内部監査は、そのようなシステムに不可欠です。
内部監査を行うにはいくつかの方法があります。
a) 常勤の内部監査員を雇う – この方法が適しているのは、そのような人の仕事が十分にある大組織だけです(銀行など一部の組織では、そのような職員を雇うことが法律で義務付けられています)
b) パート・タイムの内部監査員を雇う – これが最も一般的です。組織は従業員を使って、通常の職務とは別に内部監査を実施させます。注意すべき重要なことが1つあります。利益相反(監査員は自分の仕事を監査できない)を回避するため、内部監査員は最低でも2人以上にして、監査員が他の監査員の日常業務を監査できるようにする必要があります。
c) 組織外の内部監査員を雇う – この監査員は組織の人間ではありませんが、組織独自の規則に従って、組織自体によって行われる監査なので、やはり内部監査と見なされます。この監査は通常、この分野に詳しい人間(独立したコンサルタントなど)によって行われます。
けれども、審査員としての自分の経験では、ほとんどの組織が単に認証機関を納得させるだけのために内部監査を行っているという悲しい事実があります。そのような内部監査で発見できるのは、情報セキュリティマネジメントシステム(ISMS)や事業継続管理システム(BCMS)の真の問題とはあまり関係のないわずかな不適合だけです。 これでは時間の無駄です。そのような仕事のために企業が内部監査員の時間を割く以上、なんらかの利益があるべきです。
では、内部監査にどのようにアプローチするのが正しいのでしょうか。以下は考慮すべき点です。
- 経営陣は、内部監査を認証の手段としてだけではなく、システム改善のための最高のツールの一つと考えるべきです。
- 内部監査員は適性のある人間である必要があります。つまり、監査員は情報セキュリティ・情報技術・監査技術の経験を持つ人物である必要があります。と言っても、監査員はこのような分野の専門家である必要はありません。
- 内部監査は前向きに行われるべきです。目標はシステムを改善することであって、従業員の過ちを責めることではありません。
明るい面について言うと、私は認証審査員として、内部監査を適切な方法で実行している組織をいくつか見てきました。 従業員たちは、自分たちの行動を誰かがチェックしていることをやや不快に思っていましたが、そのような方法が持つ、問題が透明になるとか素早く解決できるといった利点を間もなく悟るようになりました。
—
また、弊社のビデオ・チュートリアルHow to Write ISO 27001/ISO 22301 Internal Audit Procedure and Audit Program もご利用ください。