内部監査員の力量

  ISO19011 (マネジメントシステム監査のための指針) では、監査員が備えるべき知識、技能を

以下のように定めています。

< 監査員　共通の知識及び技能  >

　a) 監査の原則、手順及び方法の理解し、監査に適用できる

　b) マネジメントシステム及び基準文書の理解し、監査基準を適用できること

　c) 被監査者の組織構造、事業及びその管理の実施状況を理解している

　d) 適用される法的及び契約上の要求事項を理解し、

　　 並びに、被監査者に適用されるその他の要求事項の認識していること

< 監査分野固有の知識及び技能  >

　e) ISO27001 ( 情報セキュリティ分野 )固有の知識及び技能を持っていること

　f) ISO27001 ( 事業継続分野 )固有の知識及び技能を持っていること

具多的には、以下のように例示されています。

a) 監査の原則、手順及び方法の理解し、監査に適用できる

1.  監査の原則、手順及び方法の理解し、監査に適用できる。
2.  重要事項を優先し、重点的に取り組むことが出来る。
3.  効果的な面談、聞き取り、観察、並びに文書、記録及びデータの調査によって、情報を収集することが出来る。
4.  専門家の意見を理解し、検討することが出来る。
5.  監査のためにサンプリング技法を使用することの適切性及びそれによる結果を理解することが出来る。
6.  収集した情報の関連性及び正確さを検証することが出来る。
7.  監査所見及び監査結論の根拠とするために、監査証拠が十分かつ適切であることを確認することが出来る。
8.  監査所見及び監査結論の信頼性に影響する可能性がある要因を評価することが出来る。
9.  監査活動を記録するために作業文書を用いることが出来る。
10.  監査所見を文書化し、適切な監査報告書を作成することが出来る。
11.  情報、データ、文書及び記録の機密及びセキュリティを維持することが出来る。
12.  口頭又は書面で効果的に意思の疎通を図ることが出来る。　（自身で、又は通訳及び翻訳の利用を通じて）
13.   監査に付随するリスクの種類を理解している。
    

b) マネジメントシステム及び基準文書の理解し、監査基準を適用できること

1.  監査基準として用いるマネジメントシステム規格又は他の文書を理解している。
2.  該当する場合、被監査者及び他の組織によるマネジメントシステム規格の適用できる
3.  マネジメントシステムの構成要素間の相互作用を理解している。
4.  基準文書間の階層を認識している。
5.  様々な監査状況へ基準文書を適用できる。
   

c) 被監査者の組織構造、事業及びその管理の実施状況を理解している

1.  組織の形態、統治、規模、構造、機能及び相互関係を理解している
2.  計画、予算化及び人事管理を含む、全般的な事業及びその管理の概念、プロセス及び関連用語を理解している。
3.  被監査者の文化的及び社会的側面を理解している
   

d) 適用される法的及び契約上の要求事項を理解し、

    並びに被監査者に適用されるその他の要求事項の認識していること

1.  法律及び規制並びにその所管官庁を理解している
2.  基本的な法的用語を理解している
3.  契約及び法的責任を認識している
   

< 監査員　監査分野固有の知識及び技能  >

  専門監査員として望まれる知識及び技能は以下の通りです。

1.  分野に固有のマネジメントシステム要求事項及び原則を理解し、監査基準を適用できる
2.  監査員が法令並びに被監査者の義務、活動及び製品に固有の要求事項を認識するような分野及び業種に関連する法的要求事項を理解している
3.  個々の分野に関連する利害関係者の要求事項を認識している
4.  監査員が当該分野のマネジメントシステム要素を調査し、適切な監査所見及び監査結論を作成するのに十分な、当該分野の基礎、並びに事業及び技術的な、分野に固有の方法、技術、プロセスを理解し、一般的に行われている対応策を適用できる
5.  監査員が被監査者の活動、プロセス、及び製品（物品及びサービス）を評価するための、監査の対象となる個々の業種、運営の性質又は職場に関連する、分野に固有の知識を持っている
6.  監査員が監査プログラムに付随するリスクを評価し、管理できるような、分野及び業種に関連したリスクマネジメントの原則、方法及び技法を理解し、その技能を持っている

※　マネジメントシステムを調査し、適切な監査所見及び結論を作成するのに必要とされる

　　知識、及び技能とは　?

　ISO27001 ( 情報セキュリティ分野 )では、以下のように例示されています。

1.  ISO/IEC 27000、JIS Q 27001、JIS Q 27002、ISO/IEC 27003、ISO/IEC 27004 及び ISO/IEC 27005 のような規格の指針について理解している
   
2. 顧客及び利害関係者の要求事項の特定し、評価できる
3.  情報セキュリティに係る法律及び規制に関する知識を持っている

　例えば

• 知的財産
•  組織の記録の内容
•  保護及び保管
•  データ保護及び個人情報の保護
•  暗号による管理策に関する規則規制
•  対テロ対策
•  電子商取引
•  電子署名及びデジタル署名
•  職場での監督
•  職場における人間工学
•  電気通信の傍受及びデータの監視（例えば、電子メール）
•  コンピュータの不正利用
•  電子的な証拠の収集
•  侵入試験
  
• ・・・
  

　4. 情報セキュリティマネジメントの基礎となるプロセス、科学及び技術に関する知識がある。
　5. リスクアセスメントに関する知識がある。

　　（特定、分析及び評価）及び技術動向、脅威及びぜい（脆）弱性
　6. 情報セキュリティリスクマネジメントに関する知識がある。
　7. 情報セキュリティ管理策（電子的及び物理的）の方法の知識があり、

　　一般的に行われている対応策を適用できる
 　8.情報の完全性及び影響の受けやすさの方法の知識があり、

　　一般的に行われている対応策を適用できる
 　9.情報セキュリティマネジメントシステム及び関連する管理策の有効性の測定

　　及び、評価の方法の知識があり、一般的に行われている評価策を適用できる
 10.（試験、監査及びレビューを含む）パフォーマンスの測定、監視及び記録の方法の知識があり、

　　一般的に行われている方法を適用できる

ISO27001 ( 事業継続分野 )では、以下のように例示されています。

 1.事業継続マネジメント等の基となるプロセス、科学及び技術について知識がある　

　例えば

• 組織の災害対応力
• セキュリティ
• 緊急時対応準備
• 緊急時対応
• 事業継続
• 復旧マネジメント
  

　2. 機密情報の収集及び監視の方法について知識がある
　3. 停止・中断事象のリスクの管理について、知識がある
　　（停止・中断事象の予期、回避、予防、保護、軽減、対応及び停止・中断事象からの復旧）
　4. リスクアセスメントについて知識がある

　　（資産の洗い出し及び価値評価、リスクの特定、分析、評価）
　5. 影響度分析について知識がある　　（人的、物理的及び無形の資産並びに環境関連）
　6. リスク対応について知識がある　（採用可能な、事前及び事後の対応策）
　7. 情報の完全性及び影響の受けやすさに対する方法の知識があり、

　　一般的に行われている対応策を適用できる
　8. 要員のセキュリティ及び個人の保護の方法の知識があり、

　　一般的に行われている対応策を適用できる
　9. 資産保護及び物理的セキュリティの方法の知識があり、

　　一般的に行われている対応策を適用できる
 10. 予防、抑止及びセキュリティマネジメントの方法の知識があり、

　　一般的に行われている対応策を適用できる
 11. 事態の  軽減、対応及び危機管理の方法の知識があり、

　　一般的に行われている対応策を適用できる
 12. 事業継続、緊急事態及び復旧マネジメントの方法の知識があり、

　　一般的に行われている対応策を適用できる
 13.（演習及び試験の手法を含む）パフォーマンスの監視、測定及び報告の方法の知識があり、

　　一般的に行われている方法を適用できる