« スパイウェア対策ガイドライン | Main | 指紋登録するとうどんが安くなる »

2005.11.01

企業文化にもっとフォーカスを当てるべきでしょうね

 こんにちは、丸山満彦です。いきなりですが、ITmediaの「MSの「ダメパッチ」を研究者が指摘」(2005.10.31)と「セキュアな開発には「企業文化の変革が必要」、MSのセキュリティ責任者」(2005.10.28)を読んで、最近のIT業界の内部統制に関連する記事を読んで(ちょっとげんなりしながら)・・・。
 本気で内部統制をきっちり確立したいと思うなら企業文化にフォーカスを当てないとダメでしょうね。


■ITmedia 
・2005.10.31 MSの「ダメパッチ」を研究者が指摘
・2005.10.28 Another Black Eye for Microsoft Patch Creation Process

・2005.10.28 セキュアな開発には「企業文化の変革が必要」、MSのセキュリティ責任者

 私は、会社に入って最初の8年間はほとんどずーとUSGAAP(米国の会計基準)に基づく監査をUSGAAS(米国の監査基準)に従い行っていました。
 入ったときはまだ、COSOはなくて、内部統制といえばSAS55(米国監査基準書55号財務諸表監査における内部統制の検討)でしたね。当時一緒に仕事をしていた人が監査意見形成論で有名な学者でもあったので、トレッドウェイ委員会の報告者や海外の文献などもいろいろと紹介してくれました。今となっては勉強になりましたね。SAS55で面白いなぁ・・・と思ったのは、統制環境という概念なんですね。受験勉強時代は、どちらかというと内部統制というと手続きって思っていたんです。でも、SAS55を読んでいると統制環境が重要なんだなぁ・・・と思ったんですね。そのうち、COSOの原案が出て、COSOが公表されました。で、そこでもやっぱり統制環境が重要な位置をしめていると思いました。当時は、海外の本は気軽に買えなかったので、大学の先生から借りるのがもっとも手っ取り早かったですね。
 その後、上場企業の監査役に向けてCOSOの内部統制の話をした記憶があります(COSOのピラミッドを書くのに苦労した・・・)。当時はまだ、翻訳本が出版されていなかったので原文で読んで(当たり前か・・・)、講義資料を作りました。入社2~3年目の新米会計士がよくも上場企業の監査役を相手に内部統制の講義をさせたものだと上司を尊敬しますが、今から思うと恥ずかしい内容だったと思います。その時に、やはり統制環境の話をしたと覚えています。
 内部統制というと、どうしても統制手続きに目が行くし、それを解決するソリューション(というか、正確にはツール・道具だと思うのですが)の話になりがちですね。でも、本当に重要なのは、統制環境なんですね。統制環境でも重要な位置をしめるのが企業文化です。
 「セキュアな開発には「企業文化の変革が必要」、MSのセキュリティ責任者」を読んで、ふと、昔の思い出がよみがえりました。



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« スパイウェア対策ガイドライン | Main | 指紋登録するとうどんが安くなる »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 企業文化にもっとフォーカスを当てるべきでしょうね:

« スパイウェア対策ガイドライン | Main | 指紋登録するとうどんが安くなる »