内部監査は経営陣に報告するため。経営陣は出席する必要はないのでは?
昨年度の審査で、内部監査について、審査員から「トップマネジメントの部分はどうしたか」と聞かれたため、「情報セキュリティ管理責任者が代理で答えました」と回答したところ、経営陣に答えてもらうのが正しいと口頭で指摘されました。
御社の内部監査チェックリストには、トップマネジメントへの質問項目が含まれていますが、これらの質問は本当に経営陣に対してしなければならないのでしょうか?
内部監査は経営陣に報告するために実施するのであれば、経営陣が内部監査に出席する必要はないのではないでしょうか?
JIS Q 27001:2014を見ても、経営陣が内部監査に出席しなければならない根拠を見つけることができません。
ご質問ありがとうございます。審査員からの口頭指摘、対応に苦慮されたこととお察しいたします。結論から申し上げますと、現在のISMS審査のトレンドおよび最新規格(JIS Q 27001:2023)の視点では、「経営陣自らがISMSへの関与を証明すること」が非常に重視されています。
なぜ「管理責任者の代行」では不十分とされるのか、規格の根拠と現実的な解決策を詳しく解説します。
1. 経営陣が監査対象となる「規格上の根拠」
ご指摘の通り、規格の「9.2 内部監査」の項目には「経営陣が出席せよ」との直接的な記述はありません。しかし、審査員が経営陣へのインタビューを求める根拠は、以下の「5. リーダーシップ」にあります。
- リーダーシップ及びコミットメント(箇条5.1):
経営陣は、情報セキュリティ方針の確立や、ISMSの有効性に対する責任を負うことが求められています。 - 資源の利用可能性の確実化(箇条5.1 c):
ISMSに必要な資源(予算・人員)を経営陣が提供しているかを評価する必要があります。
審査員の視点では、「ISMSが有効に維持されているか」を評価する際、「経営者がこれらを自分の言葉で語れるか、あるいは主体的に判断しているか」を確認することが、規格適合性の最も強力なエビデンス(証拠)になると考えます。管理責任者の代行では、「経営層の主体的関与」の証明としては弱いと判断されやすいのが実情です。
2. 内部監査は「経営陣に報告するもの」ではないのか?
「内部監査は経営陣のために行うもの」という認識は正しいですが、ISMSにおいては「経営陣の活動そのものもISMSというシステムの一部」とみなされます。
- システムの健全性チェック:
経営陣が適切に指示を出し、リソースを配分しているかという「機能」を客観的にチェックするのが内部監査の役割です。 - 自己点検のプロセス:
経営陣自らが「自身のコミットメント状況」を確認・報告するプロセスを含めることで、ISMS全体の信頼性が担保されます。
3. リソースを抑えた「現実的な実施方法」の提案
経営陣が多忙であり、対面での長時間監査が難しい場合は、以下の「代替エビデンス」の作成を検討してください。これらは、管理責任者の代行回答よりも審査員に受け入れられやすい手法です。
- アンケート・チェックシート方式:
弊社のサンプル文書集にある「トップマネジメント向け質問項目」をアンケート形式に加工し、経営陣に回答を記入(または選択)していただきます。 - 議事録による確認:
マネジメントレビューや経営会議の中で、情報セキュリティについて議論した記録をエビデンスとし、内部監査ではその記録の「妥当性」を確認する形式をとります。 - 署名による承認:
管理責任者がヒアリングした内容を「経営陣への確認記録」としてまとめ、最終的に経営陣がその内容に相違ないことを署名・捺印することで、「経営陣の意思」として確定させます。
4. 弊社サンプル文書集(最新版)の活用
弊社の「ISMSサンプル文書集(JIS Q 27001:2023対応版)」では、こうした審査の厳格化に対応しつつ、運用の負担を減らすための工夫を盛り込んでいます。
- マネジメントレビュー議事録(記入例):
経営陣がどのような視点でISMSを評価し、指示を出したかを記録に残すための見本です。この記録を内部監査で「適切に実施されていることの裏付け」として活用できます。 - 内部監査報告書(記入例):
「経営層への確認事項」を項目として独立させることで、審査員に対して「経営層もしっかり監査対象に含めている」ことを視覚的にアピールできます。
「口頭指摘」は、次回の審査で「改善の機会」や「不適合」に格上げされるリスクを含んでいます。次回の監査では、短時間でも良いので「経営陣の意思が介在した記録」を残すよう工夫してみてください。
