前回までのブログの中で実際の内部監査の流れについて一通り流れを見てきました。
今回のブログでは内部監査を進めるにあたってこんな場合はどうなるのかを少し見ていきたいと思います。
自部門の監査をやらざるえない場合
Pマークの内部監査において、監査員は自部門の監査を行ってはいけません。
ですが、従業員が2名しかいなく外部の人に依頼も出来ない場合はどうすればいいのでしょうか。。。
この場合ですが、例外的に自部門の監査を行っても良いということになります。
Pマーク自身は2名の会社から取得することが可能なにも関わらず、2名だったらそのPマークに必要な要件の1つが満たせない。ということになってしまうと矛盾が残ってしまいます。
それ故に例外的に自部門の内部監査についてどうしようもない場合には認めていると考えられます。
内部監査を定めた月にやり忘れました
実施すると決めた月に内部監査をやり忘れた時にどうすべきかですが、遅れても構わないので実施してください。
基本的にPマーク上、PDCAサイクルは1年で回すものであるので年に1回は実施してもらいたい。ということもありますが、
「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」には、年に1回の内部監査の実施を規定しています。
このガイドラインはPマークを取得する(既にしている)企業にとって必ず関連する法令等として入れているものになります。
このガイドラインはPマークの認証機関であるJIPDECが発行しているものになり、審査に関する基準にもなります。
その中には「年1回以上の内部監査を実施していること。」という記述があります。
つまり、内部監査を実施していないとなるとPマークの基準を満たせていない。ということにもなりますので、必ず年1回は実施をしてもらう必要があります。
Pマークの更新申請の要件として過去2回の内部監査となっているので毎年のものでなくても更新申請を受け取ってもらうことは不可能ではありません。
ですが、基準を満たしていない。ということになるので現地審査の際には不適合事項として指摘に上がってしまう可能性が高いのでしっかりと満たして頂く必要があります。
他にもこんな場合はどうすべき?なものはありますが、今回は代表的なものだけにしておきます。