iso27000s.com　認証取得後の年次監査

ISO27001認証取得後は、構築したマネジメントシステムの有効性を確認し、体制を維持していくために定期的な内部監査が必須となります。

　自社で内部監査を実施するためには自社に則した監査基準・監査プログラムが必要となりますが、これらの作成には「情報セキュリティ監査制度」（2003年経済産業省告示）や「システム監査基準」「システム管理基準」（2004年経済産業省改訂公表）などの指針を参考にするとよいでしょう。

　内部監査の結果は、経営陣によるマネジメントレビューのインプット情報として極めて重要な要素となります。したがって監査対象部署に対する対策の不備や適切でなかった事象の発見や指摘、改善を求めるだけに止まることなく、できる限り部門や組織にとらわれずに業務プロセス自体を監査することによって実効性を確保することが望まれます。

　内部監査ゆえに生じがちな「慣れ」を防止する意義から、計画的に監査要員を育成していくことも年次監査プロセスにおいて重要な課題となります。
　最近の企業不祥事の続発や企業に対する社会的要請の高まりに比例して、リスクマネジメントの一環としての内部監査の果たす役割は急速に重要度を増しています。ISO27001の認証維持活動を通じて、自社の社会的責任を果たしていくためにも内部監査に対して積極的に取組みたいものです。