内部監査責任者の位置づけを正しく理解したい
コンサルに出向くとISMSの組織図を最初に見ることになるが、どうも変な感じの体制図が出てくる。内部監査責任者の位置づけが、正直?に社内力学を反映した実態?で書かれていて、本来の姿、あるべき論では記載されていないようだ。最初からギブアップしているのか、本質を理解していないのか、先々が思いやられる。
内部監査責任者に会社の重鎮を持ってくることは希(まれ)。どうしても、経験者だけれど閑職に近い人を持ってきてしまう。もしくは情報セキュリティ管理責任者の配下の事務局メンバーが兼務。
会社でのポジションの上下と関係なく、役割で見る事が基本。経営者はISMS導入と運用を情報セキュリティ(IS)管理責任者に指示する(託す)。一方でIS管理責任者の仕事ぶりのチェックを第三者に指示する(託す)。内部監査は内部監査責任者が経営者の名代として行うものである。経営者はその両方から報告を受け次の経営判断を供していくことになる。
内部監査責任者の報告先はあくまでも経営者である。組織図もそのように明示することが必要。下手なところはIS管理責任者の下に内部監査責任者が位置付いている。論外。独立性、客観性を失った監査には何の価値もない。
.*.
年齢は行っていても会社ではほぼ平社員の内部監査責任者が直接経営陣に報告あるいは調整を行うことが出来るかどうか。会社の事情によっては難しいところもあるかもしれないが、与えられた仕事だからやっていただくしかないところです。この役割を担う適切な人材が居るか居ないかもその組織にとっては要点です。
.*.
審査計画で、内部監査責任者との時間を取らないものが時々見受けられるが、計画としてお粗末に見える。情報システム~ITインフラ部門の長と内部間責任者の時間をスキップできる審査など考え難い。
.*.