情報セキュリティ外部監査で監査人は、「助言型では情報セキュリティマネジメント向上の支援を目的として改善が必要な事項と改善のための助言について報告し、保証型では情報セキュリティマネジメントが一定の水準にあることを保証する報告書を作成し報告する」ことになりますが、業務を通じて顧客から耳にする多くの意見として、
“所詮、保証するのは私たちですから助言型については支援をいただくということでは理解できるが、外部の第三者が保証というのには抵抗感がある”ということです。
特にある時点で、ある一時的な局面を見て保証をするということには疑問を持たれています。
“保証と責任を負うのは自分達（企業や組織）である。第三者が出来る限度は助言の範囲であり、少し譲ったとしても、ある局面における診断・評価程度迄で、いくら前提条件を付けたにしても当事者側以外が保証することには疑問である。もし自力での実施が難しい環境であれば、専門家の力を借りて（助言を得て）自己責任で監査を行い自己防衛すべき”という意見です。
私はこの意見に同感で、保証というよりスコープを設定した範囲で診断し、評価結果を報告することのほうが良いと考えています。
専門家の中には保証にこだわる人もいるでしょうが、できない無理な約束はしないことです。
著書：「プロジェクト運営のための知識の部品箱」より