内部統制のズレ←業務統制でないから？ビジネスの主体は？

『「11の誤解」を正しく読み解く　内部統制の本質は？　業務改善でリスクに強い組織づくりを』：弁護士、牧野二郎先生の話が聞きたくて、第5回 ITmedia エグゼクティブ セミナー：『間違いだらけのJ-SOX　取り組むべきは経営改革』に参加してきました。

ずーっと疑問を持っていた事が、スッキリした感じでした。情報セキュリティに携わる仕事をしながら、J-SOXネタで情報セキュリティ業界は、特需のような流れがあったからです。展示会を見に行っても、J-SOXとか内部統制などの言葉が飛び交っています。それは、”冷やし中華はじめました♪”とか、”梅雨にはカビ取り”みたいな感じです。まるでグゥ～の連発をされているようです。（グゥ～は好きです(笑)

いかがわしいサイトの規約にあるような、小さな文字で重要な事が書いてある。J-SOXに対する情報セキュリティの位置づけは、それと変わらない。そんな感じがしていました。

確かに、IT統制に関わる部分も書かれていますが、一部分をほじくり返すような、部分的なところをクローズアップして、情報セキュリティに結びつけている。それが間違っているとは、言いませんが、アプローチは大きく異なる。と思っています。

内部統制のズレ←会計主体で、それを行う監査法人は←税務対策であると。業務の統制でなければ。。。

と言うのが、牧野先生の見解でした。この部分がスッキリした感じですね。

私は例え話でよく使いますが、お弁当屋さんのトンカツ弁当でなく、お肉屋さんのトンカツ弁当だと。何が違うかって、トンカツに主体をおいたトンカツ弁当は、色々な種類を用意しているお弁当屋さんよりも、お肉屋さんだろう！と。

逆に、お肉屋さんの幕の内よりは、お弁当屋さんの幕の内のが良いと、考えています。微妙な感じですが、この感覚を大切にしています。

では、ビジネスの主体は、どっちか？。。。って事だと。優劣の話ではなく、本質はどっちか？って話だと思います。

業務の統制。。。

なるほど！と。

最近、特に思うことが、どの企業でもWeb上に”ポリシー”を掲げています。種類は色々ありますが、私の目につくのは、プライバシー、情報セキュリティ、コンプライアンスってとこでしょうか。

何が気になるかって、どこも同じような内容です。確かに同じような内容になってしまうのは、似たようなものを作れば、仕方ない事ですが、他の企業もやってるし。。。同じようなことを書かないと横並びにならないし。。。なんて、理由くらいじゃないでしょうか？そこには、その企業らしさなど、どこにもありません。追い打ちをかけるように、宣言までしています。

じゃあ、それは宣言で終わり？実行力は？毛細血管の先まで、血は行き届いていますか？

情報セキュリティに関して言えば、血が行き届いていないところに、抜き打ちで情報を取ることくらい難しいことではないです。血が行き届いていても、不意打ちまで準備しているのでしょうか？そんなことは”ポリシー”に書いてないから・・・そんなとこでしょう。

情報漏洩が発生すれば、そんなこと言ってられない。。。のでは？

実際に起きている事件、トラブル、問題は、それらで解決出来るのでしょうか？

今日は、講演を聞きながら、頭の上に？マークが、グルグル回りながら、いろんな事を考えていました。改めて整理する機会をいただきました。ありがとうございました。