電子ベースのマネジメントシステムを監査する
組織は次第にマネジメントシステムの運営及び管理を電子メディアに依存するようになっています。これは、認証機関及び審査員は、審査が効果的であることを確実にするために、新たなアプローチに注目する必要があることを意味しています。監査実施グループは、プロセス及び関連する文書や記録の評価方法を再考しなければならないと考えています。
新しい概念です!あなたの知識をテストしてみましょう。
1. 電子ベースのマネジメントシステム(EBMS)とは?
a)認証機関によって開発された、審査を運営管理するためのシステム。
b) 現場を離れて(例えば審査員のパソコンから)審査を実施することを可能にするシステム。
c) 通常の運用を、電子文書、データ及びソフトウェアを適用し、これに依存して行うシステム。
d) 上記のすべて。
2. EBMSの監査を計画する際に考慮しなければならないことは?
a) 監査チームがどのようにEBMSにアクセスできるか。
b) 監査員が電子文書の機密性を保護することを確実にするための保護対策。
c) ITインフラストラクチャを利用するにあたっての被監査側の方針。
d) 上記のすべて。
3. プロセスの要求事項が満たされていることを確認するために、実際のプロセスの近くには配置されていないコンピュータワークステーションの監査に時間を割かなければならないことに気づきました。この場合に行うべきことは?
a) この状況が不適合であることを強調する。
b) プロセスの実際の現場での監査時間を減らす。
c) プロセスの実際の現場からの移動にかかる時間を追加する。
d) 上記のすべて。
4. 電子文書の管理を監査する際に行うことは?
a) 全ての文書が、テキスト、HTML、PDFなど、同じフォーマットで作成されていることを確実にする。
b) ユーザーの権利に関する組織の方針及び手順への理解を示す。
c) 廃止文書がEBMS内で管理されていないことを確実にする。
d) 上記のすべて。
5. 組織のIT部門が果たす役割をレビューする際に考慮すべきことは?
a) 内部のソフトウェア管理と同時に、外部のソフトウェアに対する管理。
b) EBMSに影響を及ぼすかもしれない環境的要因。
c) ハードウェア及びソフトウェアを運用する要員の力量。
d) 上記のすべて。
何点取れましたか?文末の回答を参照してください 。
EBMSの監査を計画する
組織は通常のシステム運用に、電子文書、データ及びソフトウェアを適用し、これに依存して実施するマネジメントシステムを持っているかもしれません。これが、電子ベースのマネジメントシステム(EBMS)として知られているものです 。
監査の初期段階(ステージ1監査)では、監査員は監査対象となる組織の構造を理解し、マネジメントシステムがどの程度電子化されているかを特定しなければなりません。例えば、EBMSで集中管理される、複数のサイトを所有する組織や、仮想組織の可能性さえあります。従って、監査員は複数のサイトに渡るマネジメントシステムの管理が適切に取り扱われているか、そして組織の方針及び手順のなかで、管理が構築されているかを検証する必要があります 。
監査員のチェックリスト:
- 監査チームが被監査組織のEBMSに精通する機会を持つことを確実にする。
- 被監査組織のITインフラストラクチャ利用のための方針をレビューする。
- 記録へのアクセスのための指示事項をレビューし、必要な機密情報の取り扱い許可を得る。
- 監査員が電子文書の機密性を保護することを確実にするための保護手段があることを確実にする。
- EBMSの効果的な監査を実施するために、監査チームの力量を確認する。監査提供機関は、一般的なITの動向と、監査の際に考慮すべき事柄について、教育訓練を提供しなければならない。
- 文書レビューをオフサイトで実施することが可能であることを確実にすること。オンラインでも、電子メールで受領した文書をダウンロードする形でも構わない。もし技術的またはセキュリティに関わる理由により、これが不可能な場合は、電子文書のレビューはステージ1監査の際に、現地で実施することになる 。
現場における監査実現のための活動
監査員の監査経路には、監査対象となるプロセスが実際に行われている現場が含まれている必要があります。
しかし、EBMSの監査では、要求事項が満たされているかを確認するために必要な時間は、実際のプロセスから離れた場所にあるワークステーションにおいて費やされることになるかもしれません。このような場合、プロセスの現場における実際の監査時間は削減され、ワークステーションから現場への往復移動時間を設定するための特別な配慮をしなければならないでしょう。
監査員は、関連する情報の正確性を確実にするために、実際のプロセスと電子メディアを関連付けるために用いられている方法を評価する必要があります。
電子文書の管理を監査する
マネジメントシステムの方針及び手順を規定している電子文書は、テキスト、HTML、PDFなど、様々なファイルのフォーマットで存在している可能性があります。スプレッドシート及びデータベースもまた、監査対象のマネジメントシステムにおいて管理要素となる電子文書として考慮されることになります 。
審査員のチェックリスト:
- 一般的にマネジメントシステム文書に適用される管理策をつかさどる方針にも電子文書が採用されていることを確実にする。
- マネジメントシステム文書の適切なレビュー、承認、発行及び配布を確実にするための電子的環境において、効果的な方法が行われていることを確認する。
- 適用可能なマネジメントシステム規格への適合のための基礎として、アプリケーションのための管理策が利用されていることを理解する。
- 文書の特定及び文書改訂のレベルのような管理要素に特別な注意を払う。
- 廃止文書の管理のために採用されている管理策が考慮されていることを検証する。
- 電子文書に関連する機能及び管理側面の観点から、ユーザーに対して説明を行うためのEBMS文書が存在することを検証する。
- ユーザーの権利に関する組織の方針及び手順を理解する。
- 電子文書をどの程度まで第三者と交換しても良いかがEBMSの中で正式に規定され、管理されていることを検証する。
電子記録の管理の監査
電子記録には、データを格納する電子フォーマットと結びついた、プロセスのアウトプットデータが含まれています。電子フォーマットの管理要素は、電子記録に適用されるものと必ずしも同じとは限りません。
例えば、「特定」に関して言えば、電子フォーマットの場合、電子フォーマットそのものの分類のことを指します。「特定」を電子記録にあてはめて考えてみると、この言葉は、あるデータのための電子フォーマットを独自に利用することを指します。
組織の知識基盤とパフォーマンスがほとんどすべて電子記録に収められているとすれば、監査員は電子的な方法で保存されている情報を保護するための組織によるアプローチをレビューする必要があります。情報セキュリティについてより詳しく知りたい方は、ISO/IEC 17799をご参照ください。
ITに関わる組織内の資源
EMBS に移行する組織にとって、IT部門の果たす役割は極めて重要です。
審査員のチェックリスト:
- 組織は、EBMSの運用を効果的に行うことを確実にするための、適切なIT資源を持っているか?
- IT要員の相互作用、支持及び関与のレベルが適切に規定されているか?
- EBMSを運用するためのハードウェア及びソフトウェアを操作する要員に必要な力量を、組織はどのように取り扱っているか?
- EBMSは組織の要員に理解され、利用されているか?
- 組織のIT基盤のためのシステム維持の方針及び手順はどのようなものか?
- 組織は正式なバックアップシステムを持ち、それは定期的に見直されているか?
- 内部のソフトウェア、外部のソフトウェア、ソフトウェアのライセンス、及びソフトウェアの更新を適切な状態に保つための管理策が構築されているか?
- 組織は、設備のメンテナンスや、温度及び湿度など、EBMSの運用に影響を与える環境的要因を考慮しているか?
内部及び外部との電子によるコミュニケーション
イントラネット、電子メール及び簡易メッセージツールがEBMSの要求事項を満たすために利用されている場合、監査員はこれらの手段が使用される状況を取り扱うための方針及び手順を検証する必要があります。
組織が顧客とのコミュニケーション(例:電子商取引)や供給者とのコミュニケーション(例:電子調達)、また外部のサイトやその他の利害関係者とのコミュニケーションの手段をITインフラストラクチャに依存している場合は、監査員はこれらのコミュニケーションや関連する取引がEBMSの中で正式に取り扱われるための方法、方針及び手順を検証する必要があります。
クイズの答え:1 (c)、 2 (d)、3 (b 及び c)、4 (b)、5 (d)
TISO 9001 審査実施グループは、 QMS の専門家、審査員、実施責任者からなる非公式なグループで、 ISO の専門委員会176- 品質管理及び品質保証 (ISO/TC 176) と IAF から生まれました。このグループは、ガイダンスや、 QMS 監査に関する説明を含むプレゼンテーションを数多く作成してきました。これらは、 ISO 9001 の要求事項に照らした監査に必須の、プロセスに基づくアプローチを反映したものです。
この記事はISO9001審査実施グループのウェブサイトにある、‘Auditing electronic-based management systems (EBMS)’ を編集したもので、ISOおよびIAFのご好意により転載しています。これらの論考集は現在のベストプラクティスについて作成されており、IAF のガイダンスや ISO TC176 の解釈として正式な確認を得たものではありません。審査実施グループについて、より詳細な情報をお知りになりたい場合は、こちらにアクセスしてください。
