3.用語の定義
番外4. 監査
「監査」は単に、基準に合っているか、ちゃんとやっているかということを確認するのみではなく、人が見ても分かる様な”証拠”を集めて記録し、証拠から事実がどうだったかを探り当て、その起こっていること(どんなやり方をしたのか、どのくらい行ったのかというような事)を評価して”問題なのかどうか”ということを決める、日常の仕事とは独立した特別な作業を監査と言います。
「内部監査」は、「自社が受ける監査」のうち社内で自主的に計画して行われるものを指します。
”日常の仕事とは独立している”というのは、中小企業の場合「監査される仕事の責任者でも、担当者でもない人が監査員になっていること」と理解してよいでしょう。
内部監査には、その結果を社長さん達に報告するところまでが含まれます。
【解説】
監査は、「真実を探し求める」という意味で”捜査”と似通っていますが、単に「基準に合っているかどうか確かめる」という意味を持つ”検査”とは違うものです。
PDCAの管理のサイクルで言えば、”C”の半分近くの役割を担っています。日常的なチェックは、”監視及び測定”が担っていて。定期的(非日常的、時々行う)チェックは、監査が担っています。
ISMSが、ちゃんと出来ているか、ちゃんと守られているのかということをチェックして、出来ていたとしても、出来ていなかったとしても、その結果を”見直し”に渡して『では、どうすれば良いのか』という検討が行われる事になります。
”内部監査”は外部の専門家などに頼んで行っても問題があるわけではないので、正確には”自主監査”がISO27001に期待されていると言えます。 認証機関の審査などの外部圧力的な指摘がなくても、会社が自分で”問題点”を発見して、解消し、ISMSを改善していく仕組みを持つという事がISO27001の期待なのです。
【ISMS監査の特徴】
品質や環境の監査と、情報セキュリティ監査の違うところは『
サンプリングが許されない事が多い』点です。例えば50台のコンピューターのうち49台が、ちゃんとWindowsを更新していても、残りの1台が更新していなかった為に、その1台が不正プログラムに感染してしまい、会社中に感染を広げるという事があります。また、たった1箇所のLAN配線ミスでループを作ってしまうと、会社のLAN全体がマヒします。ですから、多くの事について”
監査”が必要になります。
「サンプリングが許されるのかどうか」技術的によく考えて、監査を計画しなければなりません。
【上級的解説】
監査では、単に「実際の行動がルールに合っていない」という様な事を発見して指摘するのは、真の目的ではありません。もっと言えば、そんな事は全然目的とはかけ離れています。
「実際の行動がルールに合っていない」のを発見したなら、どのような原因でそれが起こっていて、どこに問題があって、どうすれば環境マネジメントシステムが発展する様な方向で問題が解消できるのかという事まで調べて、それを指摘するのがマネジメントシステム監査の目的なのです。
ですから、監査の指摘事項を直したら、絶対にISMSは良くならなければなりません。間違っても悪くなってはいけないのです。
例を挙げると、
単に「国民年金が未納になっている」事実がいけないことであるからと、未納者個人を攻撃しても、納付させても、年金システムは全く良くなりません。「未納になりがちな制度」が本当の問題点なので、「未納になりにくい様に制度改革」するのが、”発展的な問題点の解消”の一例です。
上級的解説は、少々難しくて「理解しやすいISO27001解説」から外れてしまったかもしれません。この辺りにしておきます。
目次へ 全体のトップへ
