COLUMN
コラム
ISMS(ISO27001)内部監査とは?進め方、実施の注意点を解説
執筆者:茅原淳一(Junichi Kayahara)
内部監査とは.jpg)
『資金調達の手引き』
調達ノウハウを徹底解説
資金調達を進めたい経営者の方の
よくある疑問を解決します!
情報セキュリティの国際規格である「ISMS(情報セキュリティマネジメントシステム)」を運用する企業には、内部監査を実施することが求められています。しかし、ISMSを取得したことのない企業では、内部監査をどのように実施すれば良いのか迷うこともあるでしょう。
そこで本記事では、ISMSの内部監査の概要と実施方法を詳しくご紹介します。
・ISMS内部監査とは何か
・ISMS内部監査の進め方
・ISMSを運用する上での注意点
などを幅広く解説していきますので、内部監査の実施を検討する際に是非参考にしてください。
目次
ISMSの内部監査とは
ISMSの内部監査とは、企業内のルールや文書が要求事項(規格要求事項や法的要求事項)を満たしているかどうか、企業で定めたルールに従って従業員たちが仕事できているかどうかをチェックすることです。
内部監査は、ISMSを運用するPDCAサイクル(※)の「C(Check)」の部分に該当します。
※PDCAとは、Plan(計画)Do(実行)Check(評価)Action(改善)の4つの英単語の頭文字を取った名称。従来の業績や予測などをもとに計画を策定し、計画に沿って実行を行い、その実行によって得られた結果を評価し、改善点を見つけ出していくサイクルを指します。
つまり内部監査とは、計画を立てた通りに企業の業務が執り行われているかどうかチェックする工程です。公平性と客観性が問われるため、内部監査員は監査対象部門に属していない者が任命されます。
内部監査は、以下に挙げられる2つの視点から見ることが必要です。
・適合性(決められたルールに基づいて行われているかどうか)
・有効性(現在利用されているルールや文書が有効かどうか)
内部監査の結果、適合性や有効性に問題があると判断されれば是正処置を求めます。
ISMS内部監査の目的
ISMS内部監査の目的は、企業資産をリスクから守ることです。そのため、ISMSについてPDCAサイクルを実行していくことが重要です。
各企業は、リスク対策を目的としたサイクルを回すために、企業内に内部監査部門を設け、定期的な内部監査を実行します。
ISMS内部監査を行う際、以下3つのポイントが担保されているか確認することが肝要です。
・企業が管理すると決定した各情報資産が確実に保護されているか
・多様化する通信手段やデバイスにおいて、新たに情報セキュリティを脅かす原因になる要素がないか
・企業の従業員が情報セキュリティに関する社内ルールをしっかりと保守しているか
ISMSの内部監査で必要な3つの書類
ISMS内部監査では、以下の3つの書類が必要です。
・内部監査計画
・内部監査チェックリスト
・内部監査報告書
記載の3種類の書類の作成目的は以下の通りです。
| 書類 | 目的 |
|---|---|
| 内部監査計画 | 内部監査は、計画を立てて行われる必要があります。実施時期、実施者、対象部門、監査範囲を事前に計画します。 |
| 内部監査チェックリスト | 内部監査チェックリストは、ISMSの内部監査を行った文書記録です。チェックリストを使用することで、監査すべき内容が明確になり、効果的に内部監査を実施することが可能になります。 |
| 内部監査報告書 | ISMS内部監査の結果をまとめた文書記録です。報告書には、内部監査の実施結果、発見された問題点や提案された改善策などを記録します。 |
場合によっては、上記の3つの書類の他に、不適合が発生した場合に必要な不適合報告や是正処置に関わる記録も必要になります。
ISMS内部監査の進め方
本項では、ISMS内部監査の進め方をご紹介します。
前提として、ISMS内部監査は抜き打ちで行われるのではなく監査対象部門の協力のもとで執り行われます。
この時、監査員は自分が所属する部署を内部監査することはできず、内部監査員は2名以上で構成されているため、公平性の保たれた監査フローと言えます。
具体的に、ISMS内部監査は以下の3つのステップに分けることが可能です。
1.内部監査のための準備
2.内部監査の実施
3.内部監査内容の報告
以下にて、順々に詳しく解説していきます。
1. 内部監査のための準備
まず、内部監査のための準備を行います。内部監査のための準備には、内部監査のための監査員を決めることも含まれます。監査の公平性や客観性の観点から、監査対象の部門に属する人を監査員に任命することはありません。
内部監査のための準備には、監査員の決定の他に、最新の規格や顧客要求を整理することやチェックリストの作成、また内部監査の計画書の作成も含まれます。
近年、サイバー攻撃が増加しているため、サイバーセキュリティが万全かどうかも確認しましょう。内部監査の計画書作成に関しては、いつ、どの部門の誰に対してチェックを行うかを明確にすることが必要です。
2. 内部監査の実施
内部監査のための準備が整った後は、内部監査を計画した通りに実施しましょう。内部監査の実施は、作成したチェックリストに沿って行われます。
内部監査は「有効性」「適合性」の2観点から実施されます。具体的には、
・情報資産が適切に管理および保護されているかどうかの文書や運用の確認
・新たに情報セキュリティを脅かす要素の確認
・社員が情報セキュリティの必要性を理解して定められたルールを保守しているかどうか
の3点がチェックされます。
監査する際には、単にチェックリストを埋めるためだけの内部監査ではなく、マネジメントシステム事情に潜む課題を見極めるための内部監査を心がけます。
3. 内部監査内容の報告
内部監査が実施された後、内部監査内容の報告を行います。
内部監査内容の報告は、内部監査報告書にまとめてトップマネジメントに提出します。内部監査報告書は、企業のトップによるマネジメントレビューに使用され、ISMSの最適化を図るための要素として重要です。
内部監査にて不適合事項が発覚した場合、是正処置を求めます。部門の担当者などの関連メンバーで対策を行った後、部門責任者や事務局で有効性の検証を行い是正処置を取ります。不適合事項が是正された場合、結果を内部監査報告書にまとめて提出します。
ISMSの内部監査を実施する注意点
ISMSの内部監査を実施していく上で、いくつかの注意点が存在します。ここでは、ISMS内部監査を実施する上で銘記しておきたい3つの注意点をご紹介します。
前提として、ISMS内部監査における注意点は、企業や組織の特性などの要素によって異なります。しかし、共通している部分はいくつか存在するため、ぜひ参考にしてください。
ISMS内部監査で注意したいポイントは以下の3つです。
・適合性や力量の判断
・企業内での関係悪化
・社内ルール改善に対する抵抗感
適合性や力量の判断
ISMS内部監査で注視したいポイントの1つに「適合性や力量の判断」があります。適合性をチェックし、企業のより良い運営に結びつけることが重要です。
情報セキュリティマネジメントシステムに必要な「機密性」「完全性」「可用性」の3点がビジネスプロセスの構造に組み込まれていることが大切です。もし効果的な仕方で組み込まれていない場合、企業業務には無駄が発生し、企業組織力が低下する恐れがあります。近年、ISMS(ISO27001)の取得が取引条件となっている企業が増加しているため、適合性に注意を払うことは必須です。
また、それぞれの社員の「力量」が適切かどうかを判断することにも注意しなければなりません。情報セキュリティにおけるリスクを減らすためには、各部門責任者の役割や権限を明確化することが助けになるでしょう。
企業内での関係悪化
企業によっては監査専任の部門を設置せず、通常業務のかたわら内部監査を行う企業があります。その場合、内部監査員と監査対象部門の従業員は、日頃の業務において接点が多くなります。
そのため、内部監査で指摘することで相手の気分を害したり、改善にかかる負担や業務への影響から、人間関係を悪化させたくないという気持ちになるかもしれません。
関係悪化への懸念が原因で、内部監査で問題点が発生した場合でも指摘できない、また目こぼしして妥協するという状況になりかねません。「企業内での関係悪化」という点が、ISMS内部監査を実施する点で注意しなければならない点です。
社内ルール改善に対する抵抗感
情報セキュリティシステムに関する社内ルールがそぐわない場合、社内ルールの改善のために再検討したり運用を変えていったりしなければなりません。その際、従業員の中には、社内ルール改善に対する抵抗感を抱く従業員もいます。
社内ルール改善に対する抵抗感がある場合、その必要性が理解されず、改善のための取り組みがなされない恐れがあります。そうなると、内部監査は既存社内ルールの適合性を判断するためだけの取り組みになってしまいます。また、内部監査で指摘を受けた部門は、その評価に対して反発してくる可能性もあります。
ISMS内部監査を成功させるためのポイント
ISMS内部監査を実施する上で、いくつか銘記しておきたい注意点を見てきましたが、成功させるためのポイントもいくつか存在します。
ここでは、ISMS内部監査を成功させるためのポイントをいくつかご紹介します。
・監査人の任命は慎重に
・監査される部門と内部監査担当の責任者は同格者で揃える
・社員への理解と動機づけ
・有効性を生み出す仕組みの構築
以下にて順々に解説していきます。
監査人の任命は慎重に
監査人の任命は慎重に行う必要があります。たとえば、監査人は、監査対象と利害関係のない人を任命しましょう。
そうすることで、客観的かつ公平な内部監査を実施することが可能です。
普段から監査対象部門の人と関係がないのであれば、人間関係の維持を優先したりすることはなくなり、基準の判定や判断の歪みが生じる可能性を低く抑えることができるでしょう。
監査される部門と内部監査担当の責任者は同格者で揃える
内部監査担当の責任者は、監査される部門の責任者と同格者で揃えることが効果的です。つまり、各責任者には同格の職位の者を任命するということです。
同格の職位ではなく職位に差があると、監査が一方的になってしまったり、建設的な取り組みがなされなかったりする恐れがあります。
内部監査責任者と監査対象部門の責任者の社会的地位を揃えておくことは、ISMS内部監査を成功させるための秘訣です。
社員への理解と動機づけ
ISMS内部監査が既存ルールの適合性などを判断するためだけの取り組みにならないためには、従業員が情報セキュリティシステムの重要性を理解していることが必要です。
従業員のISMSへの理解と動機づけを促すために、企業は教育研修を実施すると良いでしょう。教育研修を実施することで、企業内に社内ルール改善に対する前向きな思考を定着させることが可能です。
社員への理解と動機付けを促す目的の企業研修には、効果的な研修メニューが欠かせません。たとえば、一般社員向けの研修メニューと幹部社員向けのメニューなどに分けることで、職位に応じた理解を促進することが可能です。
そうすることで、各部門でのセキュリティ事故についてのリスクを知ってもらい、監査の指摘事項を守るための重要性も理解してもらいやすくなります。
有効性を生み出す仕組みの構築
ISMSの内部監査において適合性は重要な監査事項です。しかし、適合性ばかりに注意していると、形式ばかりを気にしたISMSの内部監査になってしまう恐れがあります。
そのような内部監査の形骸化を防ぐために、有効性を生み出す仕組みの構築が必要です。
ISMSの内部監査を実施する際、規格の要求事項の順番に従って監査していくことも重要ですが、業務手順の流れに沿って確認していくことをおすすめします。そうすることで、有効性を生み出す仕組みを構築できます。
有効性を生み出すためには、以下の手順に沿った仕組みが効果的です。
| 事項 | 判定基準 |
|---|---|
| 監査実施者 | 責任権限がある人が監査を実施しているか |
| 参照情報 | 管理策の実行に必要な情報は最新か |
| 使用資源 | IT設備やセキュリティ設備は保全されているか |
| 管理目的 | リスク抑止の面での課題は何か |
また、有効性のあるISMSの内部監査を実施するためには、段階的な評価制度を導入することも効果的です。段階的な評価制を導入することで、情報セキュリティシステムにおける達成度と求められているレベルの違いを明確化することが可能です。
ISMS内部監査に適した人材の探し方
ISMSの内部監査に適した人材が見つからない場合があります。その際の対策として、以下のポイントを考慮することをおすすめします。
・内部監査員のための研修
・社外の専門家
内部監査員のための研修
自社において内部監査に適した人材が見つからない場合、内部監査員のための研修を実施することが効果的です。既存の従業員に研修を受講してもらい、内部監査員を育成することが目的です。
既存の従業員を育成するという取り組みには時間とエネルギーが必要ですが、長期間の視点で考えた場合、社内に内部監査員が存在することは大きなメリットとなります。
社外の専門家
ISMSの内部監査に適した人材が社内に存在しない場合、社外の専門家に依頼することも効果的です。企業の中には、ISMS内部監査の透明性と客観性を重視するため、あえて社外の専門家にISMS内部監査を依頼するところもあります。
社外の専門家に依頼することで、内部監査員のための研修を開く手間や従業員の育成に係るコストを削減することも可能です。手間をかけずに、直ぐ内部監査を実施できるところが、社外の専門家に依頼することで得られるメリットです。
まとめ
この記事では、ISMSの内部監査の概要と実施方法を詳しくご紹介してきました。
ISMS内部監査は、企業における情報セキュリティシステムの運用に大きな影響を及ぼします。そのため、ISMS内部監査が、既存ルールの適合性を判断するためだけの監査になってしまわないように注意する必要があります。
これからISMS認証を取得しようとしている企業にとって、本記事の内容がお役に立てれば幸いです。また、すでにISMS認証を取得している企業にとっても、有効な内部監査を実施するための助けになれば幸いです。
最後までお読みくださりありがとうございました。
内部統制・内部監査については次の記事もご参照ください。
⇒法定監査とは?種類、任意監査や税務調査との違いを解説
⇒ISMS(ISO27001)内部監査とは?進め方、実施の注意点を解説
⇒ISO9001内部監査とは?目的、質問例、進め方を徹底解説
⇒内部監査報告書とは?目的や書き方、流れをわかりやすく解説
⇒内部統制監査とは?目的、内部監査/会計監査との違い
⇒内部統制実施基準とは?概要や2023年4月の改訂ポイントをわかりやすく解説
⇒内部統制システムとは?目的、義務がある会社、具体例をわかりやすく解説
⇒内部統制報告書とは?目的、提出義務がある会社、作成方法などを解説
また、コーポレートガバナンスについては、次の記事もご参照ください。
⇒コーポレートガバナンス(企業統治)とは?目的・強化方法・歴史的背景について解説
⇒コーポレートガバナンス・コードとは?概要・特徴・制定された背景について解説
⇒コーポレートガバナンス・コードの5つの基本原則|特徴・制定の背景・適用範囲と拘束力について解説
⇒【2021年改訂】コーポレートガバナンス・コードの実務対応と開示事例
⇒プリンシプルベース・アプローチ|ルール・ベース・アプローチとの比較・背景・意義について解説
⇒コンプライ・オア・エクスプレイン|コンプライアンスへの対応・意義・必要性について解説
スタートアップ・ベンチャーの経営をされている方にとって、事業に取り組みつつ資金調達や資本政策、IPO準備も進めることは困難ではないでしょうか。
財務戦略の策定から実行まで担えるような人材をを採用したくても、実績・経験がある人を見つけるのには非常に苦労するといったこともあるでしょう。
このような問題を解決するために、SOICOでは「シェアリングCFO®︎」というCFOプロ人材と企業のマッチングサービスを提供しています。
シェアリングCFO®︎では、経験豊富なCFOのプロ人材に週1日から必要な分だけ業務を依頼することが可能です。
例えば、ベンチャー企業にて資金調達の経験を持つCFOに、スポットで業務を委託することもできます。
専門的で対応工数のかかるファイナンス業務はプロの人材に任せることで、経営者の方が事業の成長に集中できるようになります。
「シェアリングCFO®︎」について無料相談を実施しているので、ご興味をお持ちの方はぜひ下のカレンダーから相談会の予約をしてみてくださいね!
この記事を書いた人
共同創業者&代表取締役CEO 茅原 淳一(かやはら じゅんいち)
慶應義塾大学卒業後、新日本有限責任監査法人にて監査業務に従事。 その後クレディスイス証券株式会社を経て2012年KLab株式会社入社。 KLabでは海外子会社の取締役等を歴任。2016年上場会社として初の信託を活用したストックオプションプランを実施。 2015年医療系ベンチャーの取締役財務責任者に就任。 2018年よりSOICO株式会社の代表取締役CEOに就任。公認会計士。
