監査を行うに当たり、参考としたい規格に「品質及び/又は環境マネジメントシステム監査のための指針」(JIS Q 19011)があります。この規格では、監査で用いる用語、監査の原則、監査で行われるべきこと、監査員の力量などを定義しています。これから監査にかかわる人は、一度読んでおきましょう。
JIS Q 19011では、監査の種類として以下のものを定義しています。
第一者監査:組織の経営者の依頼により行う監査
第二者監査:利害関係者(取引先やグループ会社など)の依頼により行う監査
第三者監査:認定や認証のための審査
JIS Q 15001の要求事項としては、以下のように「事業者の代表者」に対して監査を行うことを求めています。従って、JIS Q 15001での「監査」とは、「内部監査=第一者監査」を指しているといえます。
【JIS Q 15001】
4.5 監査
事業者は、コンプライアンス・プログラムがこの規格の要求事項と合致していること、及びその運用状況を定期的に監査しなければならない。
監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告しなければならない。
事業者は、監査報告書を管理し、保管しなければならない。
ただし、組織が自主的に行う内部監査であっても、監査そのものの独立性を確保する必要があります。従って、監査対象部門が、自部門の監査を行うことは「監査」といえません。
外部の監査組織に依頼したり、自組織内に独立した監査組織をつくったりすることで独立性を保つことができます。また、自組織内に独立した監査組織をつくれない場合は、相互監査(独立性を保てる立場の部門間で相互に行う監査)でも問題ありません。
また、監査についてもう1つ重要な要求事項があります。
【JIS Q 15001】
4.3.4 計画書
事業者は、内部規程を順守するために必要な教育、監査などの計画を立案し、文書化し、かつ、維持しなければならない。
監査は、計画書として文書化された形で行われなければならない、ということです。JIS Q 15001で求める個人情報保護活動の中では、教育と監査については、必ず計画を立て、実行するという手順が必要となります。
「個人情報の保護に関する法律」(個人情報保護法)では、監査についての明確な記述は見られません。しかし、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、「個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格」の中で、「個人情報の保護のためのコンプライアンス・プログラムを策定し、実施し、維持し及び改善を行うことが望ましい。」としています。
この「改善」を行うためには、「監査および見直し」が必要です。プライバシーマーク取得に向けては、もちろんのことですが、法順守という観点からも、内部監査を実施することが望ましいといえます。
内部監査を実施する目的は、大きく2つに分けられます。
1.の適合性の評価については、主に文書(規程類)のチェックで行うことができます。また、2.の有効性の評価は、主に実地監査でチェックします。
文書がJIS Q 15001の要求事項を満たしていなければ、文書を改定する必要があります。また、現場でそのルールが守られていない場合には、ルールを徹底するための仕組みが必要になるかもしれません。場合によっては、現在のルールが現場の業務に合っておらず、守れないルールとなっているのかもしれません。なぜ守られていないのか、といった原因を明らかにし、改善していく必要があります。
内部監査の手順は次の図の通りです。
内部監査の実施に当たり、まず監査計画を立案します。監査の計画は文書化しなければなりませんので、「内部監査計画書」を作成します。監査対象部門を決定し、それぞれ個別の監査計画を立てます。監査の時期は、監査対象部門の業務上の都合も考慮して監査時期を決定したり、早めに監査対象部門に連絡したりといった配慮も必要です。
監査員を選定します。JIS Q 19011では、「監査の原則」の中で「監査員に関係する監査の原則」を記しています。
【JIS Q 19011】
4.監査の原則
監査は幾つかの原則に準拠しているという特徴がある。(中略)
次の原則は、監査員に関係する。
a)倫理的行動:職業専門家であることの基礎
b)公正な報告:ありのままに、かつ、正確に報告する義務
c)職業専門家としての正当な注意:監査の際の広範な注意及び判断
d)独立性:監査の公平性及び監査結論の客観性の基礎
e)証拠に基づくアプローチ:体系的な監査プロセスにおいて、信頼性及び再現性のある監査結論に到達するための合理的な方法
監査員は、上記を念頭に置いて監査を行います。監査員には、監査が行える力量が求められますので、選定基準を設けるなど、監査員のレベルを維持する仕組みが必要です。以下は、監査員選定基準の例です。
上記はあくまでも選定基準例ですが、1.から3.までは必須条件とすべき内容でしょう。
また、監査は通常2名以上のチームで行います。そのうち1名は、監査チームリーダーとなります。
Copyright © ITmedia, Inc. All Rights Reserved.