- 締切済み
Pマーク 内部監査チェックリストの再利用
Pマーク 内部監査チェックリストの再利用 初めて利用しますので、分かりにくかったらすみません。 会社で今年初めにPマークを取得しました。 今年の内部監査をこれからやる予定になっているのですが、 取得時と現在とで特に取り扱う個人情報の種類や、現場でのルールに変更がありません。 その場合、初回に行った適合性監査と運用監査のチェックリストを 再度利用しても問題ないのでしょうか?(更新審査の際に影響がないでしょうか?) 基本的には監査の精度を上げるため都度作り直した方が良いとは理解しているのですが、 もし内容が変わっていないチェックリストを使用しても更新審査の際に影響が無いのであれば 現場でのルール等に変更がない限り、再利用できると正直なところ大変助かります。 どなたかお知恵を拝借できればと思います。 よろしくお願い致します。
- kome-jiro
- お礼率100% (1/1)
- その他(ビジネス・キャリア)
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- fukaden
- ベストアンサー率100% (3/3)
チェックリストを更新しなくても監査が計画通りに行われ結果の情報が組織にとって 役に立っているのであれば別に問題ないと思います。 まだMSに慣れてない時期でしょうから、いまあるリストで数回監査をするのも良いと思います。 実際に自分の会社ではそうでした。 監査員も監査される側も慣れた頃には同じチェックリストでは、指摘事項も無くなり もの足りなさを感じてくるはずです。 その頃には規格が変更にならない限り、適合性よりも運用面での有効性にシフトしていく 展開になると思いますので、弱い部分をきちんと監査でき、組織にとって役に立つ内容に変更して行ってくださいね。
関連するQ&A
- Pマークの内部監査について
社内でプライバシーマーク(Pマーク)の内部監査を行うことになりました。 監査責任者として、経営者(社長)への監査もしなければいけません。 経営者(社長)へはどんな質問などをしたらいいのか、どういう風にすればいいのかよくわかりません。 なにかアドバイスをいただけると嬉しいです。
- 締切済み
- その他(ビジネス・キャリア)
- プライバシーマークの監査について
プライバシーマークの更新申請を行い、 提出書類を出したのですが、 監査について再指摘を受けました。 その指摘として、 監査チェックリスト内で 運用監査と合致監査の確認が混在しており、 すべての要求事項を合致監査、運用監査できていない との指摘を受けました。 すべての要求事項を合致監査、運用監査する ということが具体的にどういうことなのか なかなか意味理解ができておりません。 その点や、チェックリストの作り方で アドバイス頂けませんでしょうか。 よろしくお願いいたします。
- ベストアンサー
- コンサルティング
- 内部監査の進め方
今期から初めて内部監査をするのですが、今まで監査をした経験もなければ(QIAの講習は受けて一応資格は持っています)、過去に自社でやっていた事もなく0からスタートするような感じです。 会計士の方やアドバイザーが教えてはくれますが、監査法人等でやってきた方々なので分かっている前提で話されるので、じゃあ結局どうすればいいの?という感じで終わってしまいます。 自分で本を読んだりもしていますが、まずこれやって次にこれやって、、みたいな形で順序だててイメージが湧きません。 また、内部監査とJ-SOX監査もなんとなく理解はしていますがどうもごっちゃになってしまう事があります。 今はJ-SOXのプロセス監査をしていて、 一つの業務プロセスに対して、業務フローに関して変更点がない・各証憑を集めた・RCMに評価方法と評価結果をいれた状態まではやりました。 ここから個別監査報告書?という形を作って、また次の業務プロセスにいって個別監査報告書を作って、、、、というのを繰り返して業務プロセスを一通り終わらせたら、総括監査報告書という形でプロセス監査を一度締めるという感じでよいのでしょうか。 また、今見ている業務フローでは一つフローに変更がありました。 その際には、個別監査報告書+是正報告書?なるものを担当部署に出して、フローの変更をしてもらうようにしてフォローアップ監査で見るという感じでしょうか。 伝わりにくくて申し訳ございません。 本で見てもネットでみても、イメージができず分からないんです。 周りに聞けることができず質問させていただきました。
- ベストアンサー
- その他(職種)
- ISO14001の内部監査員教育
お世話になります。 会社で、ISO14001(環境)を取得する際、どうも、社員が理解不足で、再教育したいのですが、まず、内部監査員の役割・ニーズ等また、内部監査員教育で、事例等に基づく、監査教育(例えば、○○の事例に対しえて、内部監査員はどういう指摘をしますか・・など)とかの資料があれば、教えてください。 又、そういう、掲示板や、ISO用の質疑応答サイトとかあれば教えて下さい。
- ベストアンサー
- その他(ビジネス・キャリア)
- 監査法人勤務と公認内部監査人
初めまして。21歳の学生です。先月に公認会計士試験を受け、大手監査法人の内定をもらい、12月の入社を待っている状況です。 入社までの期間を利用して公認内部監査人の資格の取得を考えています。しかし、資格学校のパンフレットによると、取得者の多くが一般企業にお勤めの方だそうです。そこで、公認会計士として監査法人に勤めながら、公認内部監査人の資格を取得することのメリット等があれば教えてください。よろしくお願いします。
- 締切済み
- その他(職業・資格)
- Pマークを取得する際に携帯電話の利用規定は?
販売会社で情報セキュリティを担当している者ですが、既にプライバシーマークを取得している企業の方々に質問させていただきます。 当社でも情報セキュリティ活動を行っていますが、携帯電話にネックストラップを付けさせるようにと社長から指示があり、台数分を購入する前に、自分で使ってみたのですが、あの距離感がなんとも使いづらく、遠視年代が多い我社には大変だと感じました。 そこで、脱着式の物を購入しようとしたのですが、ある管理職から将来的にPマークを取得しようとしたときにNGになると言われました。 Pマークの取得審査ではルール化されている事が重要で、内容についてはそれほど細かい点をチェックしないと認識していたのですが、携帯電話用のネックストラップは脱着式禁止とか、そんな事まで指摘されるのでしょうか? ついでに同様の質問なのですが、携帯電話のロックもPマークを取得する際は必須条件なのでしょうか? よろしくお願いします。
- 締切済み
- その他(ビジネス・キャリア)
- プライバシーマーク(Pマーク)について
下記のご質問にお答え頂けますでしょうか。 ご回答よろしくお願いいたします。 1.企業が個人情報を漏洩させてしまうとその事業者が「6カ月の懲役もしくは30万円の罰金」が課せられますが、Pマークを取得している企業が個人情報を漏洩させてしまうと懲役の年数・罰金の金額は軽減されるのでしょうか? Pマークを取得している企業は法的に守られるので、例え個人情報を漏洩させてしまっても罰則が軽減されると聞いたことがありますので。。 2.近年で個人情報を漏洩させて問題になった企業(有名な企業)を教えてください。又、その企業が罰せられた内容も教えてください 3.PマークとISMSの対象ついて Pマークは企業全体が対象で、ISMSはその企業の部署単位で取得可能ですが、審査時に対象となるのは、その部署のメンバーが企業全体の情報資産の管理をしていることを示さなければいけないでしょうか。もし、企業内で複数の部署がISMSを取得していれば、その企業の情報資産の管理が分担されるから部署毎の負担も減るものなのでしょうか? 対象がよく分かりません。。
- ベストアンサー
- コンサルティング
- 取引先のPマークの取得について
社員2名で情報システムの開発業務を営んでいる者です。 取引先の「Pマーク」における外注業者(弊社等)の影響範囲についてお伺いします。 主要取引先が「Pマーク」を取得を目指すことになりました。 なお、弊社では個人情報は基本的に扱ってませんので、「Pマーク」取得の予定はありません。 あえて、個人情報と言えば、その主要顧客からごくたまに頂く(せいぜい年に1回程度)顧客データだけでしょう。 基本的に納品したシステムのテストデータとして(実際の生データの方が精度の高いテストを行えるため)利用してました。 今後、取引先のPマーク取得に伴い、そういった生データを頂けなくなること、また、既に頂いた生データは破棄することは仕方ないことであると考えておりました。 ところが、取引先からの要求は、「Pマーク」取得とほぼ同等の個人情報管理を行っていることでした(様々な体制整備やドキュメント整備、情報管理など・・。体制っていっても2人しかいないのですが・・)。 取引先がおっしゃるには、「Pマーク」取得の条件として、発注先も「Pマーク」取得と同等の体制が整っていることがあるためだそうです。 「Pマーク」自体は非常に有効性のある認定制度であるとは思いますが、弊社にとってはそのメリットは殆ど皆無であると考えてますので全く取得の意思はありませんが、やはり「Pマーク」取得業者と取引を行うためには「Pマーク」取得と同等な体制整備が必要なのでしょうか? 上述の顧客データを一切破棄し、「Pマーク」を取得する取引先の個人情報の流出するリスクをシャットダウンするだけではダメなのでしょうか? 少々釈然としない気持ちでいます。
- ベストアンサー
- 経営情報システム
- プライバシーマーク審査に関して
プライバシーマーク審査に関して 重複してはいないと思うので質問させていただきます。 今回私どもの会社でプライバシーマークを取得しようと動いているのですが 審査が思う様に進まずに困っております。 付与機関や監査機関へ、私どもの会社の審査を優先させてもらうよう交渉することはできたりするのでしょうか? また、その場合に良い交渉方法があればご教授いただけないでしょうか?
- 締切済み
- その他(ビジネス・キャリア)
- 内部統制、システム監査関係への転職について
IT業界6年目の今年32歳のエンジニアです。 同じ業界で2回転職しています。 現在は客先に常駐し、システムを運用する仕事をし、 4年が経とうとしています。 今まで、セキュリティソフト等の運用をしており、 汎用した技術ではないというか、プログラムが組める、 サーバーやネットワークに詳しいとかの強みがありません。 家族が出来て、今更ながら自分を見直し、 将来に不安が出てきました。 今後の進路について悩んでいます。 システム監査技術者受け、システム監査に関わる仕事に つけないかなと考えています。 資格をとるだけでも、どれだけ時間かかるか分かりませんが… 30歳を過ぎて、このような進路変更は可能でしょうか。 またそういった、進路変更されたかたがいらしたら、 あアドバイス等頂けないでしょうか。 内部統制、システム監査の需要等、業界に詳しい方、 ご意見等頂ければ助かります。 宜しくお願いします。
- ベストアンサー
- その他(就職・転職・働き方)
お礼
ありがとうございます! お礼が遅れ、大変失礼しました。 仰る通り、まだ不慣れな部分が多い状態です。 慣れてくれば、こうするとより良いチェックリストになるのではという アイディアも浮かびやすいと思いますので、何回かは同じもので行ってみようと思います。 実体験からのアドバイス、とても助かりました。 重ねてお礼申し上げます。