プライバシーマーク認証取得用のサンプル規程書などの販売をしてます。サンプル規程書は自社取得に最適です。その他、プライバシーマークに関することはなんでもお気軽にお問い合わせ下さい。

内部監査の実施方法



マネジメントシステムの内部監査準備~実施

1. 内部監査の計画 内部監査員は、年間監査計画と個別監査計画を立案する
2. チェックリスト 内部監査を実施するためにチェックリストを作成する
3. 事前提出物通知 監査日の1週間?2週間前に披監査部門へ事前提出するものを通知する
4. 事前提出物監査 ・事前提出された文書、記録などを事前監査する
・事前監査の内容から重点監査事項を洗い出す
5. 内部監査の実施 ・前回監査指摘事項の改善(是正・予防処置)状況を監査する
・重点監査事項を優先的に監査を実施する
内部監査チェックリストのコツ

内部監査員は、通常は業務の流れを知っているので、その流れに沿って内部監査を実施することを考慮して監査チェックリストを作成することがあります。
この方法だと、披監査部門の数だけチェックリスト作成しなければならず、結構大変な作業量になります。
「コツ」としては、マネジメントシステムの要求事項順(規格番号順)にチェックリストを作成しておくと、マネジメントシステムが改訂されるまで使うことができますし、一つのチェックリストで全ての披監査部門に適用することが可能になります。
「え?!」っと思う方もいるかも知れませんが、このほうが要求事項に対して漏れがないチェックリストになります。
詳しくは、「事前提出物の監査」を参照下さい。
事前提出物の重要性

監査当日に文書や記録を提出してもらっても十分なチェックはできません。
最低1週?2週間前に提出してもらいましょう。
事前提出物一覧表を作成してから披監査部門に通知すると漏れはなくなります。
事前提出物の監査

文書や記録を監査します。この時、監査チェックリストと業務の流れをもとに規程通りの運用がされているか記録でチェックします。
運用監査は、記録でその状況をチェックします。
マネジメントシステムの要求事項順に披監査部門の業務シーン毎にチェックして行きます。
この方法だとマネジメントシステム要求事項を漏れなくチェックすることが可能になります。
反対に業務シーン毎にチェックすると要求事項が順不同になり、途中で見落とし発生があります。
例えば、「記録は存在するが承認を受けていない」などが考えられます。
プライバシーマークでは、例外規程が多くあります。この例外を適用する場合には、承認を必要としていますが「センシティブ情報を取得した記録は残っているが、取得する際に責任者の承認を得ていない」などです。

Pマークを取得する場合、社員の中から内部監査員を育成して内部監査を実施する方法とコンサル会社へ内部監査だけを委託する場合があります。
内部監査員を育成するには、講習会に参加するのが早道です。(内部監査員を育成する費用は、約15万円です)

ここでは、最小限の費用で内部監査を実施する一例をご紹介します。

お付き合いのある企業でPマーク認証取得あるいはISO9001、ISO14001、ISMSなどの認証を取得しているところがあったら、その会社の内部監査員に依頼します。
費用はお付き合いの程度によりますが、日当程度で引き受けてくれると思います。

また、得意先からPマークの認証取得を求められたなら、その得意先の内部監査員に依頼することも一つの手段です。

内部監査は重要なタスクです。手を抜かず確実に実行しましょう。

内部監査の方法

内部監査で多く目にする間違え

「重箱の隅をつつく」
記録の記述間違え探しは無意味です。規程に沿って運用できているかチェックしましょう。明らかに監査のために作成したような記録は、作成日付をチェックすることで容易に発見することは可能です。このようなケースの指摘内容としては、「なぜ記録を残せなかったのか」「記録を残す規程に無理があるのか」など、できなかった事の原因確認を行って「改善」する方法を内部監査員と現業の間で見出してほしいと思います。

「鬼の首を取る勢い」
「あの課では、あれはやっていないな!」など、当たりをつけて監査を実施して、それが発見されたら「不適合発見!」とばかり、指摘することも良く眼にします。不適合を指摘することも重要ですが、その原因を特定して改善することが内部監査の本来の意味です。また、「あの課では、あれはやっていないな!」などは、日常業務で判断できると思いますので、内部監査で指摘をするのではなく、「発見した」時点で指摘をして改善することが重要です。

「過度な不適合判定」
「軽微な不適合」「不適合」「重大な不適合」などに分けて不適合を指摘しますが、何でもかんでも「重大」にする内部監査員も居ます。判定基準を明確に規程して指摘することが重要です。「重大」は、ある規程のプロセスを全く実施していない、あるいは法律違反を犯している、などが当てはまります。「記録を残していない」などは、規程を無視しているなら別ですが改善の機会を与えるためにも「軽微」で指摘することが適切と思います。

お問合せ・ご相談はお気軽にどうぞ
お問い合わせは»こちらから
TEL 011-387-1887 営業日・時間 月-金 9:00-18:00

プライバシーマーク(Pマーク)コンサル 北海道・札幌