私の勤めている会社は内部監査員を全社員で持ち回りにしているんですが、教育担当の内部監査員教育や監査計画の調整が負担になってしまって……何かいい方法はないですか?
内部監査って持ち回りでやっている企業が多いみたいだけど、結局いいことってない気がするんだけどね。
ええ?だって、社長からは「当事者意識が出るから」とか「経験になるから」って持ち回りを指示されているんですけど。
その時だけの担当に当事者意識が出るかってね!
みんな「その時だけ乗り切ればいいや」って思ってるんじゃないかな?
確かに経験にはなるけど、それが役立っているかというと疑問じゃない?
えええ〜!!!そんなぁ〜!せっかく今まで苦労してきたのに……
ISOを取得している会社なら避けて通ることができない内部監査ですが、あなたの会社では内部監査員の選定ってどうしてますか?
もし全社員持ち回りで内部監査員を実施しているのなら、今すぐ制度を変更して固定メンバーに変えてしまいましょう!
群馬県在住40代サラリーマン
転職して東京の大企業で講師を務めつつISMS運用にも携わる。- インフラSEから講師へキャリアチェンジ
- 30名ほどの中小企業でCISO(情報セキュリティ責任者)として7年間従事
- ISO27001(ISMS)導入
- テレワークなどクラウドを利用してのサービス導入に携わる
- 資産管理ツールやクラウドセキュリティなど導入実績多数
- 情報セキュリティマネジメント保有
- 情報処理安全確保支援士取得
- 効果的な内部監査手法を知りたい方。
- 内部監査のやり方で困っている方。
- 外部監査前で不安になっている情報セキュリティ責任者の方。
私はCISOとしてISO27001(以下全てISMSと記載)の運用に6年携わってきましたが、ISMS導入から4年間は内部監査員を全社員持ち回りとしていましが、5年目から内部監査員を固定メンバーに変更しました。
内部監査員を持ち回りとした理由、持ち回りで内部監査をしたことによる結果。
そして持ち回り制度をやめて固定メンバーにしたことにより内部監査がどう変わったのかついて解説します。
内部監査員を固定メンバーに変えた結果
私の勤める会社ではISO9001の時代から内部監査を各社員で持ち回りで行い、毎年違う社員が内部監査員を務めていました。
2年ほど前から内部監査員を固定メンバーに変えたのですが、その結果以下の効果がありました。
詳細については記事の後半でご説明いたしますので、ごゆっくりご覧下さい。
内部監査員を全社員で持ち回りにしていた理由
では、なぜ内部監査員を全社員で持ち回りにしていたか、ということなのですが、私の勤める会社では以下の理由によって「全社員で持ち回り」がルールとなっていました。
内部監査員を経験することでISMSに対しての知識向上
通常の場合内部監査員は、「内部監査員教育」を受講して、内部監査登録人リストに登録される必要があります。
内部監査登録人リストにはいつどこでどんな研修を受けたか、などを記載して管理文書として管理することが決まりになっています。
内部監査教育自体は社外のインストラクターや講師から受ける外部研修と社内の有識者が行う内部研修がありますが、ISMSの規格としては外部でも内部でも然るべき教材で然るべく教育を受ければどちらでも良いことになっています。
内部監査員のための教育なので一般社員が受ける教育以上の内容がありますし、内部監査員ならではの知識が得られることは間違いありません。
当事者意識を持つことによる意識向上
通常の社員であれば、ただの被監査部門の一社員ということで、ISOの運用に関わる大きな仕事をしていない。
と考えでいることが多々あります。
内部(外部)監査日は外出すればいいや、の考えですね。
無駄に監査を掻き回してしまう人はいない方がいいことも多々あるのですが、内部監査員を経験することによって「自身がISMSを運用しているという当事者意識を持たせよう。」という考えですね。
特定の社員の負担軽減
毎年同じ社員が内部監査員になってしまうと、その特定の社員に負担がかかりすぎる。
毎回担当者が入れ替われば特定の社員に負担がかかることも少なくなる。という考えですね。
良いことだらけのような気がするんですけど、ダメだったんですか?
そうだね〜、この期待通りの結果が出ればよかったんだけど。
詳しくは次の項で説明するね。
内部監査員を持ち回りにした結果どうなったか
内部監査のためだけに実施した教育は根付かなかった
内部監査員1人が内部監査に関わる時間は長くて2〜3日です。
内部監査員の仕事は当日の監査だけではなく監査計画の立案からマネジメントレビューまでと、1日で終わるものではないのが実情です。
以下に内部監査員(内部監査責任者を含む)のお仕事をまとめました。
- 内部監査計画の立案。
- 内部監査チェックシートの作成。
- 内部監査日程の調整。
- 内部監査。
- 内部監査報告書の作成。
- 是正処置の実行管理。
- マネジメントレビュー用の資料作成。
教育担当者は毎回内部監査員が変わるたびにこの内容を説明する必要があります。
内部監査員側からすると初めての仕事となるので教育担当にサポートを依頼するのは当然のことですね。
教育担当としても、内部監査が正常に機能しなかったため本番の外部監査で不適合が出た、となってしまってはいけませんので、教育担当は必然的にサポートをすることとなります。
そんな至れり尽くせりの環境で行った内部監査。果たしてこの経験が役に立つのか?
というと、実際は2〜3年もすれば何をしたかすら忘れてしまうでしょう。
『やらないよりマシ』な業務のおかげでCISOと教育担当の負担は毎年変わらず、いつまでも減らない繰り返し業務を継続する結果となってしまいます。
私の勤務先の場合各社員持ち回りで内部監査を実施すると2回目の内部監査員になるのは約10年後です。
10年も経てば内容も変更になるでしょうし、そもそもなにをしたか覚えていないですよね。
今回だけでいい、って言われたらたしかにテキトーでいいやってなるかもしれませんね💦
そうなんだよね、台本通りに進めるだけなんで、監査員にとっても監査される部署にとってもいいことがなかったね。
その場限りの内部監査員では意識の改善はできなかった
教育が根付かないことと同じですね。
その場限りの内部監査員では当事者意識は生まれませんでした。
まあ、当然といえば当然かも
一度だったら例え私でも当事者意識は生まれませんね。
教育担当とCISOの負担が大きかった
内部監査員教育をするためには認定された人員が内部監査教育用テキストを持って教育を行う必要があります。
大きく制度が変わった時以外はテキストを新しくする必要はありませんが、あまり古いテキストを使用していると外部監査の際に監査員から指摘を受けてしまうことがあります。
教育担当は毎年変わるISMSの基準を常に気にしながら教育用テキストを探し教育を行う必要があります。
教育以外でも実際に内部監査を実施するにあたって全てにおいて教育担当やCISOのサポートが必要となります。
- 内部監査計画の立案。
- 内部監査チェックシートの作成。
- 内部監査日程の調整。
- 内部監査。
- 内部監査報告書の作成。
- 是正処置の実行管理。
- マネジメントレビュー用の資料作成。
専任の教育担当やCISOということであればそのくらいの仕事をしても良いかもしれませんが、中小企業の場合は総務やシステム管理者に近い社員が教育担当やCISOを兼務することの方が多いでしょう。
毎年同じ教育をして、毎年内部監査計画から報告書の作成まで面倒をみて……
どう考えても教育担当とCISOの負担が多すぎると思いませんか?
積み上げては崩される賽の河原と同じですね。
いつか必ず報われる日が来ると思えばやりがいもあるんだろうけどね。
教えるにもいろんな人がいるから大変ですよね。
めんどくさい人に監査経験があると、次の監査の時に監査員に「俺の時はもっとうまくやってた」とかぐちぐち言い出してかなりのストレスだったね。
賽の河原つながりで群馬県の草津町にも「西の河原」ってありますね。
いいね!温泉行きたいなぁ〜。
この状況をふまえて何を行ったか
内部監査員を毎年変わる持ち回りから毎年同じ固定メンバーに変更しました。
内部監査員を固定メンバーに変えたことによる効果
内部監査のクオリティが上がった
その場限りの内部監査員ではなく、毎年継続する内部監査員なので年を追うごとにクオリティが上がっていきます。
内部監査では昨年の不適合や指摘事項に対応するための是正処置を行うのですが、同じ内部監査員であれば実際に本人が指摘した事項に対しての是正処置を行いますので、指摘事項に対する認識も深くなっています。
また、前回の結果を踏まえたチェックシートや重点事項の設定が可能になるため、監査自体のクオリティが上がることは間違いありません。
一番顕著に効果が出たのが質問の仕方ですね、今までは内部監査チェックシートに書いてある質問をそのまま読んでいただけで内容は理解できていなかったようです。
2回目〜3回目になればチェックシートの内容を事前に確認して、「この質問の意図はなんなのか?」「この質問は今でも必要なのか?」と考えてくれるようになりました。
質問の内容が理解できれば、次年度以降の内部監査をどのように進めていくかの方針も作成できます。
毎年内容をブラッシュアップしてより良い内部監査にすることができるでしょう。
内部監査員の教育に関わる工数が減った
教育担当やCISOにとっては一番大きい改善点ですね、内部監査員に一度教育を行ってしまえば、あとは疑問や質問に答えるだけで、済みます。
毎年初めての人に教育を行い、監査に立ち会う必要がない。これだけでも教育担当の負担が激減することは間違いありませんね。
もし内部監査委員会内で新しいメンバーが必要となった場合は、内部監査責任者に教育ができるように指導して、新しいメンバーには内部監査責任者から教育をしてもらえると、なお良いですね。
内部監査員に当事者意識が生まれた
その場限りの内部監査員に当事者意識を持ってもらうということがそもそもの間違いです。
きちんと内部監査委員会を立てて、固定メンバーで運用してもらう。
そうすれば自ずと当事者意識が生まれて、自ら内部監査を実施してくれるようになります。
CISOが心配するのは内部監査の実施時期とそれに伴う是正処置の進捗具合くらいでしょうか。(マネジメントレビューの実施時期も大事ですね。)
まとめ
ということで今回はISMSの内部監査員を持ち回りから固定メンバーに変えた理由です。
内部監査員を持ち回りにした結果
以上の問題が起き。
内部監査を固定メンバーに変えた結果
以上の効果が生まれました。
もちろん持ち回りにすることが悪いわけではなく、持ち回りでもクオリティの高い内部監査を維持している会社もあると思います。
ただ、私の勤務する従業員30人程度の会社では、持ち回りにするメリットが特にありませんでした。
仮に持ち回りにする運用を望むのであれば、内部監査員全員を変えるのではなく、1名ずつ入れ替えていくなど、教育担当と内部監査責任者にに負担がかからない運用にすると良いかもしれませんね。
他にも情報セキュリティ担当者目線で書いた仕事術があります。ぜひご覧ください。
コメント