【ISO認証】クラメソの内部監査について公開しちゃいます

自分のブログを見返すとなんだかハンズオンやってみたり試験受けてみたり、、、何の仕事やってるかわからない謎のおじさんになっている気がしますので本業の認証事務局としてクラメソの内部監査について公開させて頂きます。
2020.12.13

はじめに

こんにちは、寒いの大好き上山(かみやま)です。
2020年9月に弊社にJOINして早いもので3か月が過ぎました。ブログも何本か公開させて頂きましたので一人で振り返ってみます。
失敗、試験、ハンズオン・・・なんてことでしょう!何の仕事しているのか分からない謎のおじさんになっていますね。コレハナントカシナケレバ・・・
ということで、今回は認証事務局としてのお仕事のひとつ、内部監査について公開しちゃいます。

クラスメソッドの取得済み認証規格

2020年12月現在のクラスメソッドの取得済み認証規格はこのようになっています。
詳細はこちらをご確認ください。
なお、弊社のAICPA SOC2 Type1は「セキュリティ」「可用性」について評価をうけたものになります。

No 認証規格 備考
1 JIS Q 27001:2014
(ISO/IEC 27001:2013)
情報セキュリティマネジメントシステム(ISMS)
2 ISO/IEC 27017:2015 クラウドサービスセキュリティ
3 ISO/IEC 20000-1:2011 ITサービスマネジメントシステム(ITSMS)
4 プライバシーマーク 個人情報保護
5 PCI DSS ver 3.2.1 クレジットカード情報および取り引き情報を保護するための
グローバルセキュリティ基準
6 AICPA SOC2 Type1 「セキュリティ」「可用性」「処理のインテグリティ」
「機密保持」「プライバシー」にかかる内部統制のデザインに
ついて外部監査人が評価したもの

監査について

今回の対象は上記1~3のISO認証(ISO 27001、ISO 27017、ISO 20000-1)についての内部監査でした。

ここで改まして今回の内部監査実施に関してご協力頂きました皆様に感謝の意を述べさせて頂きます。
お忙しい中ご対応頂きまして、ありがとうございまーす。(社内向け挨拶)

さて、それでは弊社の内部監査について公開させて頂いちゃいましょう。

内部監査員

内部監査員には監査部などの社員や外部(内部)講習などを受けて監査員としての力量を認められた社内の方を擁立していることが多いかと思います。
私のこれまでの経験上でもグループ企業内で内部監査員の資格を得た方(講習を受けて力量を認められた人)を監査員としていることがありました。
弊社にも内部監査員はいます。ただし、社内の人間ではありません。
弊社ではISO認証についてコンサルタントへ相談をしながら日々、維持・運用に努めています。
そのコンサルタント企業にコンサル業務とは別に内部監査を担当して頂いております。
それって、外部から監査を受けているってことじゃーん。き、厳しいーと、思ったのは私だけではないと思います。

対象拠点

数年で全ての拠点・部署を監査する必要があるのですが、今回は国内(札幌、東京2拠点、上越、大阪、福岡)と海外(バンクーバー、ベルリン、ソウル)の拠点が対象になりました。
拠点毎で対象部門を監査していくので例えば、札幌では部署A、東京では部署B、福岡は部署Cというようなイメージで監査対象が決まっていきます。

監査担当者

これまでの経験上だと、対象部署の監査担当は責任者(マネージャー or 部長 or 取締役)+担当者のようなことが多かったです。
弊社では担当者のみでの対応でした。(もちろん、部署によっては責任者の方が担当の場合もありました)
ただ、対象拠点でも書きましたが拠点+部署の縛りがあり、拠点によっては対象部署の方が数名しか在籍していなかったり、社歴の浅い方でも担当されたりなど皆様方には大変ご協力頂きました。
「やってみる」の精神って本当にすばらしいって思います。(初めてだとめっちゃドキドキしますけどね)

監査方法

昨年度まではオンサイトで監査を受けていたそうですが、今年度はオンライン会議で実施しました。
まぁ、なんにでも当てはまることではありますが、オンサイトでなければいけない明確な理由がなければオンライン会議で問題ないと思いますね~。
ただ、自宅の環境にもよると思いますが、長時間のオンラインでの会議は思ったよりも疲れるので慣れが必要です。
私の場合、この3か月で5つのイヤホンマイク(内、3つは100均製)が壊れているので、壊れない・疲れない自分に合ったイヤホンマイクが欲しいです。。。

進め方

監査自体は内部監査員(コンサルタント)からの確認事項に対して対象部署の担当者が回答することで進んでいきます。
事務局としては担当者への多少のフォロー(ほんの少し)として資料の投影などの補助をおこないました。
ここまで書くと内部監査員が外部の方以外は普通かなと思われるかもしれません。
これまでの経験上だと内部・外部監査問わず事前に通知(予告)がありました。
内容については企業によって様々だと思いますが、弊社の場合、事前のアナウンスではそのようなことは一切ありません。(というか、しませんでしたし、これまでもしていないそうです)
普段の業務の内容や利用システムの仕組みなどは把握していても社内のルールや仕組みを全て暗記している方はいないと思います。
当たり前と言われればそうなのですが皆さん大事なところはしっかり押さえているんですね。

まとめ

今回弊社で初めて内部監査を体験し、これまで経験した監査と比べても厳しいなとの思いから公開させて頂きました。
もちろん、内部監査での指摘事項が全くないわけではありません。課題や指摘事項を一つ一つ対策していくことで、より良いマネジメントシステムを構築していければと思います。
監査の方法は企業によって様々でなにが正解ということはないと思いますが、これからISMSなどの取得を予定している方の参考になれば幸いです。