規程通りに進める際、内部監査委員会の『監査責任者』はどのような役割を担いますか?
サンプル文書「内部監査管理規程」に記載された内部監査責任者は、情報セキュリティ委員長と記載があります。
一方「ISMS推進体制図」には、内部監査委員会に監査責任者が別途設定されています。
規程通りに進めた場合、内部監査委員会の監査責任者の役割は何になりますでしょうか。
「内部監査管理規程」の2.1に記載された人物が、体制図上の「監査責任者」としての役割を担うことになります。
1. 規程とマニュアルの関係性
「内部監査管理規程」は、ISMS(ISO 27001)だけでなく、他のマネジメントシステムでも共通して利用できる汎用的な設計となっており、ISMSマニュアル(9.2 内部監査)の定めに従って、本規程が監査実務の根拠となります。
したがって、規程の「2.1 内部監査責任者」に指定された役職が、ISMS全体の監査を統括する責任者となります。
2. 役割の兼務とカスタマイズ
サンプル文書の通り「情報セキュリティ委員長」をそのまま使用する場合、委員長が監査責任者を兼務する形となります。
もちろん、組織の実情に合わせて別の人員を任命することも可能です。
- 兼務の場合:
体制図の「監査責任者」欄に委員長の役職名を記載します。 - 分離する場合:
規程2.1の青字箇所を「〇〇部長」等に変更し、体制図もそれに合わせます。
3. 運用上のポイント
ISMSの審査において重要なのは、「誰が監査の責任を持ち、誰が実施するのか」という権限が明確であり、かつ文書間で矛盾がないことです。
組織の規模により兼務が発生することは問題ありませんが、審査では「文書間の名称の不一致」が指摘事項となりやすいため注意が必要です。規程と体制図で「監査責任者」の呼称や対象となる役職が統一されているか、改めてご確認ください。
