【内部統制】人を用いるには性善説、管理するには性悪説で臨む
『新倉茂彦の情報セキュリティAtoZ』で、新倉さんのブログにコメントしたのだけれど、新倉さんはまだピンと来ないようだし、私も言いたい部分がまだあるの で、きょうのブログは久しぶりに内部統制について書きます。
サンはJSOX が始まる随分前から、企業に於ける「戦略的な情報セキュリティ管理」の観点から「アイデンティティ管理」を推進してきました。「アイデンティティ管理」と は、その従業員の企業に於ける役割に照らし合わせて、システムやプロセスへのアクセス権が「正しく」認証されているか、と言うことです。
たとえば、無いとは思いますが、営業が会計システムを自由にアクセスできるアクセス権限を持っていたら、その人自身は神様のように絶対不正をおこなわない ひとであっても、その人のユーザID、パスワードをこっそり盗まれて悪用できる可能性があります。
これが、「戦略的な情報セキュリティ管理」の基本です。
内部統制は、どなたかが書かれていますが、突き詰めると、財務諸表が嘘、偽りなく書かれている事を、その企業の代表権を持つ人と、独立した監査人が証明す ることです。証明したはずなのに嘘、偽りがあった場合、罰せられます。
日本の内部統制のユニークな点は、ITによる統制を明確にガイドしているところです。IT統制は、IT業務統制とIT全般統制に分かれていて、IT業務統 制は業務プロセスを明確化すること、IT全般統制は、上で挙げた戦略的な情報セキュリティ管理などが適切に機能していることです。
両方の統制も監査されることを前提にIT化される必要があり、IBM、Oracle、Sun の各社のソリューションは、監査も含めて、構築できるようになっています。
上記の管理や統制、というのは、どうしても人間性悪説に基づいて実行せざるを得ません。特定のひとがどんなに信用の置ける人でも、人間どうかわるかわから ない。だから、人手をなるべくかけない方法を取る必要があります。人間は感情の動物ですので、どの人からでもその企業を守るための管理機能については、性 悪説でなければならない。例え社長、会長であってもです。
□■□■□■
この管理機能と、企業活動の人事管理を混同しては、まずい、と思います。
私の拙い管理職経験では、人は信頼して、任せると、大きな仕事をします。なにからなにまで、指示しないと動かない人は、困った人と言えます。ある程度指示 が必要でも、適切な指示を与えると、俄然、品質の高い仕事をしてくれる人がいます。そういった人は、指示しなくともテキパキと動く人についで、良いスタッ フだといえます。
指示は与えなくても、裏方をうまく動かしたり、必要な資源を与えたり、変な方向に曲がりそうな時に、気づかないほどちょっとだけ、上手に補正してくれる。 そういった上司に仕えると幸せですよね。