 |
|
|
|
|
認証の取得がゴールではありません。継続的な運用とスパイラルアップで、組織を変革し、更にビジネスに展開していくことが本来の目的です。
ISMS(ISO27001:2006)の「6.ISMS内部監査」では次のように要求されています。 |
|
| 組織は、そのISMSの管理目的、管理策、プロセス及び手順について、次の事項を判断するために、あらかじめ定められた間隔でISMS内部監査を実施しなければならない。 |
|
| a) |
この規格及び関連する法令または規制の要求事項に適合しているか。 |
| b) |
特定された情報セキュリティ要求事項に適合しているかどうか。 |
| c) |
有効に実施され、維持されているかどうか。 |
| d) |
期待したように実施されているかどうか。 |
|
|
このように、認証後マネジメントシステム運用での内部監査の有効な実施は、組織にとって問題を発見し、改善を方向付ける重要なポイントとされています。
内部監査が有効に機能しているかどうかが、その組織の将来的なビジネスを左右すると言っても過言ではありません。
では、その理由と問題点について考えてみましょう。 |
| 1) |
監査計画は、マネジメントシステム継続運用のための各活動の起点を明確にします。 |
| 2) |
客観的な視点から、組織の目的の達成度、組織変革等を実現するための情報を提供します。 |
| 3) |
その有効な活動とレビューによる是正は、マネジメントシステムをスパイラルアップさせ、組織改善を実現し、ビジネス成長のための原動力となります。 |
| 1) |
内部監査員の力量(能力)アップのための教育の仕組みが社内にない。 |
| 2) |
人員の異動や退職により、内部監査員のノウハウを継続留保できない。 |
| 3) |
チェックリストの型式的な監査内容になりがちで、有効なフィードバック得られない。 |
| 4) |
被監査者(各部門)の現実的メリットが見えないので、協力がなかなか得られない。 |
内部監査員の力量(能力)をレベルアップし、その意義と視点を明確に理解することで、内部監査が変わります。
知識を実践の場で有効に活用させるためのカリキュラム(eラーニング+訪問研修)があります。 |
| 1) |
eラーニング |
|
基礎的な教育はeラーニングシステムでじっくり、時間をかけて実施できます。例えば、1カ月間、ASPシステムで都合の良い時間に、何度でも、理解できるまで学ぶことができます。テストは100点満点を目指します。 |
| 2) |
訪問研修 |
|
知識だけでは、有効な内部監査はできません。研修コンサルタント訪問により、個々の企業様の事情に合わせた問題点についてご相談させていただきます。一方的な解説研修ではありません。コミュニケーションをしながら問題点を解決していきます。もちろん内部監査のシミュレーションを通じて、問題点の発見から是正指示等についての実践的な内容です。 |
|
|
|
|
|
|
