Pマークの取り組みで絶対やらなければならない取り組みの1つに内部監査があります。

 

やらなければならないことは知ってるが、具体的になにをどうすべき意外と知らずに審査の際に指摘されるケースが多いです。

今回はPマークの取り組みにおける一大イベントである内部監査について触れてみたいと思います。

 

【いつやるの？】

まず、内部監査実施頻度・時期についてです。

Pマークの取り組み上、年に一度は内部監査の実施が必要になります。

Pマークの更新審査は二年に一度ですので、更新審査の際には2回分の監査記録が最低限あるはずです。

 

実施時期については会社ごと任意になります。

実際に社内規定で策定した実施時期が実施月の目処になっていると考えてください。

あまり、規定に定めているものを無視してやっていると審査の際に注意される可能性があるので気を付けましょう！

 

【内部監査の対象】

内部監査の対象(被監査対象)ですが、これは会社によって変わってしまいます。

原則として求められる監査対象を紹介したいと思います。

 

適合性監査

まずは適合性監査です。

これは具体的にはPマークの文書が対象となる内部監査になります。

Pマークの文書が要求事項であるJISQ15001の付属書Aに適合できているかを監査することになります。

 

管理者への監査

次は個人情報保護管理者への監査です。

会社によって名称は異なりますが、Pマークの責任者への監査になります。

実施のポイントしては個人情報保護管理者が要求事項で実施が求められることを実施出来ているかの監査になります。

 

現場への監査

3つ目は現場への内部監査です。

拠点ごと、部署ごと、単位としては会社の規模や業務内容等によって決めていくことなります。

監査の内容としては安全管理のルールとして定めた内容が守られているかの監査を行うことなります。

 

【どうやってやるの？】

では内部監査は具体的にどのようにやっていくのでしょうか。

ポイントは以下の3つです。

 

内部監査計画書

まず1つ目は計画書の作成です。

監査実施にあたっては計画を立てて実施することが求められています。

つまり、監査計画がないのに監査を実施しているとなるとPマークの要求を満たしていない監査になると判断できます。

 

チェックリスト

次に監査チェックリストの用意です。

Pマークの監査においては、チェックリストを使った記録がないと審査の際に指摘されます。

理屈としてはチェックリストがなければ、誰にどのようなチェックをしたのかが分からないため、ちゃんと監査がなされたかが確認できないことが理由です。

Pマークのための記録となってしまうため、少々納得しがたい人もいるかもしれませんが、監査人が初心者であったりするとチェックリストがあった方が、しっかりと監査の実施ができるので重要なものとも言えます。

 

報告書

3つ目は監査実施後に作成する報告書です。

報告書がないとチェックリストの記録があっても実施が完了したとは判断が出来ません。

チェックリストの記録はあくまでチェックした内容の備忘録に過ぎませんので、最終的な監査結果は報告書に記載されると判断することになります。

 

【最後に】

内部監査はこれまでの流れで完了！となります。

ですが、監査の結果「不適合」の事項などの発見があると改善の活動として是正処置の実施が必要となってきます。

是正処置も手順が定まっているものになりますので、要求事項・手順に沿っての実施が求められてきます。