内部監査責任者の位置づけを正しく理解したい


内部監査責任者の位置づけを正しく理解したい

コンサルに出向くとISMSの組織図を最初に見ることになるが、どうも変な感じの体制図が出てくる。内部監査責任者の位置づけが、正直?に社内力学を反映した実態?で書かれていて、本来の姿、あるべき論では記載されていないようだ。最初からギブアップしているのか、本質を理解していないのか、先々が思いやられる。

内部監査責任者に会社の重鎮を持ってくることは希(まれ)。どうしても、経験者だけれど閑職に近い人を持ってきてしまう。もしくは情報セキュリティ管理責任者の配下の事務局メンバーが兼務。

会社でのポジションの上下と関係なく、役割で見る事が基本。経営者はISMS導入と運用を情報セキュリティ(IS)管理責任者に指示する(託す)。一方でIS管理責任者の仕事ぶりのチェックを第三者に指示する(託す)。内部監査は内部監査責任者が経営者の名代として行うものである。経営者はその両方から報告を受け次の経営判断を供していくことになる。

内部監査責任者の報告先はあくまでも経営者である。組織図もそのように明示することが必要。下手なところはIS管理責任者の下に内部監査責任者が位置付いている。論外。独立性、客観性を失った監査には何の価値もない。

.*.

年齢は行っていても会社ではほぼ平社員の内部監査責任者が直接経営陣に報告あるいは調整を行うことが出来るかどうか。会社の事情によっては難しいところもあるかもしれないが、与えられた仕事だからやっていただくしかないところです。この役割を担う適切な人材が居るか居ないかもその組織にとっては要点です。

.*.

審査計画で、内部監査責任者との時間を取らないものが時々見受けられるが、計画としてお粗末に見える。情報システム~ITインフラ部門の長と内部間責任者の時間をスキップできる審査など考え難い。

.*.

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿