内部監査は経営陣に報告するため。経営陣は出席する必要はないのでは?
昨年度の審査で、内部監査について、審査員から「トップマネジメントの部分はどうしたか」と聞かれたため、「情報セキュリティ管理責任者が代理で答えました」と回答したところ、経営陣に答えてもらうのが正しいと口頭で指摘されました。
御社の内部監査チェックリストには、トップマネジメントへの質問項目が含まれていますが、これらの質問は本当に経営陣に対してしなければならないのでしょうか?
内部監査は経営陣に報告するために実施するのであれば、経営陣が内部監査に出席する必要はないのではないでしょうか?
JIS Q 27001:2014を見ても、経営陣が内部監査に出席しなければならない根拠を見つけることができません。
経営者は内部監査を依頼する立場であり、経営者を内部監査する必要はないという意見と、経営者も1つの機能として内部監査をしなければならないという意見があります。
審査員が正式な文書ではなく、「口頭で指摘」したのは、ご指摘のとおり要求事項には「代理」してはいけないとは明確に書かれていないからだと思います。
審査員によっては、「代理でも良し」としてくれる方もいらっしゃるようですが、大半の審査員は指摘事項まではいかなくとも、何らかのコメント(観察事項など)があるようです。
(これは、審査を受けられる審査機関の考えにも左右されるかと思います。)
ご存知かと思いますが、内部監査の意図は、以下の事項を評価することになります。
①ISMSの取り組みが組織によって規定された要求事項に従って実施されているか?
②JIS Q 27001の要求事項に適合しているか?
③ISMSが有効に実施され継続的に維持されているか?
上記のうち、②においては経営者への要求事項があります。
第三者審査の視点からは、それを評価するためには、何らかのエビデンス(証拠・根拠、証言、形跡など)を経営者からとる必要があると考えるのでしょう。
ただ、内部監査は経営者が依頼するものだからといった考えや、経営者が忙しいといった様な様々な事情により、経営陣から直接回答を得るといった方法でエビデンスをとるのは難しいという場合もあるかと思います。
そこで、別の形式でエビデンスをとることを考えても良いかと思います。
例えば、質問形式のチェック用紙等を用意して記入をお願いするとか、代理で回答した内容に対して相違がないことのサインをもらう(経営者としての責務と実施の確認等)、または別の関連する記録の内容で確認するなど、色々と検討してみてはいかがでしょうか?