Control Objectives
こんにちは、丸山満彦です。
「日本のシステム管理基準に無くて、Cobitに、情報セキュリティ管理基準あるものはな~んだ?」
答えは、「Control Objectivesです。」
もちろん、これ以外にも答えはあるんですけど・・・。
日本語では統制目標とか統制目的と言われることがあります。日本版サーベンスオクスリー法(JSOXとか言われていますが)の導入コンサルがはやっていますが、その際にはControl Objectivesの概念が重要です。でも日本ではあまり重要視されていないので心配です。(とシステム管理基準の作成の際に思いました・・・)
財務報告に係る内部統制の監査では、会計士は、財務報告に係る内部統制の有効性を評価します。準拠性ではなく有効性の評価です。つまり、内部統制が存在するかではなく、有効な内部統制が存在するか?が立証命題です。この違いは大きいです。有効という概念には、目標を達成していると言う意味を含んでいますので、Control Objectivesが明確になっていないと有効性の評価はできません。
内部統制の有効性の評価は、整備状況(design)の有効性と、運用状況(operating)の有効性の評価をしますが、整備状況の有効性の評価は次のように行うとPCAOB2号の第88項には書かれています。
・Control Objectivesの識別
・Control Objectivesを満たすControlの識別
・Controlが適切に運用されているならば、財務諸表の重要な記載誤りとなる恐れのある誤謬又は不正を有効に防止したり発見することができることの判断
=====
・Identifying the company's control objectives in each area;
・Identifying the controls that satisfy each objective; and
・Determining whether the controls, if operating properly, can effectively prevent or detect errors or fraud that could result in material misstatements in the financial statements.
=====
つまり、Control Objectivesを識別し、それを満たすControlsを識別する必要があるわけです。
システム管理基準では統制行為(controls)そのものが羅列されているだけですから、内部統制の有効性の評価にシステム管理基準を使うのは難しいですね。
情報セキュリティ管理基準には目的が書かれていますので、そのControl Objectivesが達成できていることを評価する情報セキュリティ監査の実施が可能となります。すべてのリスクアセスメントの結果必要と判断したすべてのcontrol objectivesがリスクに応じて有効に機能していれば、その組織の情報セキュリティに係る内部統制は有効と評価されることになりますね。
control objectivesの概念は重要ですね・・・
政府の情報セキュリティ統一基準にもcontrol objectivesは書いていません。なので、政府の情報セキュリティ統一基準の監査は実施状況の準拠性監査を中心に行うことになりますね。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
丸山 様
夏井です。
Control objectsは、普通のシステム設計でいうと要求仕様に該当しますね。情報セキュリティでは情報資産に該当する場合があるかもしれません。
そうすると、Controlは、要求仕様を満たすための手法ということになりそうです。
その手法の中には、電子技術的な方法によることが有効な場合と意味のない場合とがあります(例:情報機器を一切使用していない企業)。
したがって、「特定の電子技術の実装こそが情報セキュリティの目的だ」というタイプの発想は明らかに誤りということになります。
手段と目的とをきちんと峻別することが大事でしょう。
また、選択された手段が予定されたとおりの機能を発揮しているかどうかの評価も必要です。通常、情報セキュリティの世界で点検とか評価と呼ばれているのは、このようなミクロの部分に対する評価のことをさしているように思えます。
大事なことは、「本来の目的は何か」を常に意識することだと思います。公務所にしろ企業にしろ、「目的」を明確に自覚または特定しないで「手段」の細目だけ議論するような場面にしばしばでくわしますが、これは本末転倒なことだというべきなのでしょう。
学問研究や訓練や教育として情報セキュリティを扱う場合にもまったく同じ配慮が必要だと思います。目的を確定・提示するためになすべきこと(たいていの場合には、政策判断や経営判断そのもの)と、それを実現するための方法論とはまったく別の次元に属するので、そのように明確に自覚した上で、学問研究や訓練や教育と取り組むべきでしょう。また、手段を扱う専門家(手段の選択、設計、実装、試験、運用、評価の各フェーズによってさらに細かく専門家が分かれていることが多い。)は、目的の確定・提示に責任をもつことは本来的にできませんしそのような権限もありませんから、そのようなタイプの専門家に目的の確定・提示を任せてしまうことも間違いですね。
Posted by: 夏井高人 | 2005.11.22 10:56
Control objectiveが何かを明確にしないと、それに対するリスクは何かが見えてきません。でもって、どういった内部統制を構築していればいいのかって出てこないので、これを明確に定義することは大切だと思います。
この定義の仕方によって、構築された内部統制の有効性の評価の仕方が変わってきますよね。丸山さんのおっしゃることに全く同感です。
ということで、この記事にはパンプキンプリンを5個お付けします。週末に焼く予定なので、焼いたら写真を日記にアップします。リスクアセスメントについても言及されたら、おまけで生クリームもおつけします。
Posted by: koneko04 | 2005.11.22 15:56
夏井先生、コメントありがとうございます。
目的と手段の峻別は非常に重要ですね。目的と手段は連鎖していきますね。目的を実現するための手段、その手段を実現するための別の手段・・・・。で、どんどん下位にいけば、当初の目的を忘れてしまう・・・という話になりますね。
e-何とか・・・というのは世の中いろいろありますが、e-なんとかにおいて金科玉条のように言われるITは技術なので、最終の目的となることはありませんね。あくまでも手段ですね・・・。
さて、日本で目的というのが重要視されないのは、日本のモンスーン気候が影響しているのではないかなぁ・・・と思っています。
Posted by: 丸山満彦 | 2005.11.23 01:50
koneko04さん、コメントありがとうございます。
=====
Control objectiveが何かを明確にしないと、それに対するリスクは何かが見えてきません。
=====
そのとおりですね。。。
=====
パンプキンプリンを5個お付けします。
=====
ありがとうございます。
=====
リスクアセスメントについても言及されたら、おまけで生クリームもおつけします。
=====
現在、学生時代の体重に戻し中でして・・・生クリームはやめておきます(笑)
これからもよろしくお願いします。
Posted by: 丸山満彦 | 2005.11.23 01:56
丸山 様
夏井です。
モンスーン気候の影響もあるかもしれませんね。
それ以上に影響があるのは,日本的官僚主義の影響ではないかと思います。つまり,トップはあくまでお飾りであって何の権限も持たせずにひな壇の最上段に飾っておくだけにしておいて,非常に複雑で大人数の官僚組織がそれぞれの担当分野をナワバリとして死守し続けるという社会構造です。このような社会構造の下においては,目的が確立されないまま,手段だけが自己増殖してしまいます。その結果,武家政治は破綻をきたして明治維新に至ったわけですが,それ以降も結局は同じことになってしまったというあたりが非常に日本的なのでしょう。
仮にこの仮説が正しいとすれば,日本では,欧米流の社会システム(マネジメントシステムを含む。)が正常に機能する素地が最初から存在しないということにもなりそうです。
Posted by: 夏井高人 | 2005.11.23 08:36
夏井先生、コメントありがとうございます。モンスーン気候の話は直にあったときに話をしますね。
=====
トップはあくまでお飾りであって何の権限も持たせずにひな壇の最上段に飾っておくだけにしておいて,非常に複雑で大人数の官僚組織がそれぞれの担当分野をナワバリとして死守し続けるという社会構造
=====
なるほど・・・太古の時代からこれはそうかもしれませんね。誰かを担いで、実質的な権限をしたの人が上の人の名前を使って行使する。
ここまでにしておきましょう。
Posted by: 丸山満彦 | 2005.11.23 12:32