内部統制のズレ←業務統制でないから?ビジネスの主体は?
『「11の誤解」を正しく読み解く 内部統制の本質は? 業務改善でリスクに強い組織づくりを』:弁護士、牧野二郎先生の話が聞きたくて、第5回 ITmedia エグゼクティブ セミナー:『間違いだらけのJ-SOX 取り組むべきは経営改革』に参加してきました。
ずーっと疑問を持っていた事が、スッキリした感じでした。情報セキュリティに携わる仕事をしながら、J-SOXネタで情報セキュリティ業界は、特需のような流れがあったからです。展示会を見に行っても、J-SOXとか内部統制などの言葉が飛び交っています。それは、”冷やし中華はじめました♪”とか、”梅雨にはカビ取り”みたいな感じです。まるでグゥ~の連発をされているようです。(グゥ~は好きです(笑)
いかがわしいサイトの規約にあるような、小さな文字で重要な事が書いてある。J-SOXに対する情報セキュリティの位置づけは、それと変わらない。そんな感じがしていました。
確かに、IT統制に関わる部分も書かれていますが、一部分をほじくり返すような、部分的なところをクローズアップして、情報セキュリティに結びつけている。それが間違っているとは、言いませんが、アプローチは大きく異なる。と思っています。
内部統制のズレ←会計主体で、それを行う監査法人は←税務対策であると。業務の統制でなければ。。。
と言うのが、牧野先生の見解でした。この部分がスッキリした感じですね。
私は例え話でよく使いますが、お弁当屋さんのトンカツ弁当でなく、お肉屋さんのトンカツ弁当だと。何が違うかって、トンカツに主体をおいたトンカツ弁当は、色々な種類を用意しているお弁当屋さんよりも、お肉屋さんだろう!と。
逆に、お肉屋さんの幕の内よりは、お弁当屋さんの幕の内のが良いと、考えています。微妙な感じですが、この感覚を大切にしています。
では、ビジネスの主体は、どっちか?。。。って事だと。優劣の話ではなく、本質はどっちか?って話だと思います。
業務の統制。。。
なるほど!と。
最近、特に思うことが、どの企業でもWeb上に”ポリシー”を掲げています。種類は色々ありますが、私の目につくのは、プライバシー、情報セキュリティ、コンプライアンスってとこでしょうか。
何が気になるかって、どこも同じような内容です。確かに同じような内容になってしまうのは、似たようなものを作れば、仕方ない事ですが、他の企業もやってるし。。。同じようなことを書かないと横並びにならないし。。。なんて、理由くらいじゃないでしょうか?そこには、その企業らしさなど、どこにもありません。追い打ちをかけるように、宣言までしています。
じゃあ、それは宣言で終わり?実行力は?毛細血管の先まで、血は行き届いていますか?
情報セキュリティに関して言えば、血が行き届いていないところに、抜き打ちで情報を取ることくらい難しいことではないです。血が行き届いていても、不意打ちまで準備しているのでしょうか?そんなことは”ポリシー”に書いてないから・・・そんなとこでしょう。
情報漏洩が発生すれば、そんなこと言ってられない。。。のでは?
実際に起きている事件、トラブル、問題は、それらで解決出来るのでしょうか?
今日は、講演を聞きながら、頭の上に?マークが、グルグル回りながら、いろんな事を考えていました。改めて整理する機会をいただきました。ありがとうございました。