内部監査の実際
それでは、実際どんなふうに内部監査は行われているのだろう。
情報基盤センターでの内部監査は毎年年に一度(6、7月頃)、
適用範囲全てを監査するので
定期監査、ということになる。
ISMSの上位文書から手順書、記録などのドキュメントを対象とした
ドキュメント監査、実際の部屋やシステムなどを見て回る
実地監査の2部構成で、
各地区3キャンパスを2日にわたって監査するのだ。
基準となる文書は、ISMS上位文書の「内部監査細則」を筆頭に、付属書Aの管理目的及び管理策や規格書の4.2.1の全項目に適合しているかどうか
確認する方法を併記した「規格要求事項チェックシート」(付属書Aでひとつ、4.2.1でひとつ)のふたつの文書で、監査後はそのふたつと
ドキュメント・実地監査のそれぞれ監査した結果が監査チームから帰ってくるので、それに対して会議などで回答(指摘事項に対する対応)を決めた上で、監査チームに回答することになる。
他の大学では監査チームと言っても、その組織内の教職員が数人編成でチームを作り、それぞれ自分の仕事以外を監査するところもあるらしいが、山口大学では2012年まで大学の業務監査室が、監査を行っていた。
ただ、それも現在過渡期に来ていて今後どういう体制を取るべきか検討中だ。