Cloud Controls Matrix V1.1 (Clound Security Alliance)
こんにちは、丸山満彦です。Cloud Security AllianceがCloud Controls Matrix V1.1を公表していますね。。。
ISO27002、COBIT、NIST、PCD/DSSとの関係のマッピングです。。。
■CSA
・2010.12.22 CSA Cloud Controls Matrix V1.1 is Released
« クラウドの普及が進めば、消費者視点への転換が必要??? | Main | 金融庁 パブコメ 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について »
Comments
丸山 様
夏井です。
極めて初歩的な質問で申しわけないのですが,「監査機関が悪をなさない」ということは何によって証明されるのでしょうか?
過去の実績は証明手段にはなりませんね。なぜなら担当者の交代があるし,同一人で構成される組織でも人は「心変わり」する動物ですので。企業犯罪が内部犯行として実行される場合の多くはこのような場合に該当することは過去の多数の実例が示すとおりです。
相互認証もあてにはなりませんね。談合やお手盛りがありますので。過去の幾多の実例がそのことを示しています。
著名であるということも何らの証明手段にはなりませんね。アーサーアンダーセンなどの実例があります。
法律に定めた形式等を具備する組織であるということは,もちろん何らの保証にもなりませんね。監査組織が監査対象である企業等の形式的には適正な内部監査結果等を精査下植えで「粉飾決算」などを指摘するという日々の活動の中で自ら証明していることです。形式の具備と実質の充足とは相互に全く関係のないことです。「形式は実質を保証しないという法則が監査法人だけには適用されない」ということはあり得ません。
そうなると,「何も証明がない監査機関をどうして信用しなければならないのか?」という本質問題に行き当たります。同じことは監督官庁についても言えます。
簡単にいうと,「監査機関なので信用してください」という主観的なお願い(要望),または,「監査機関だから大丈夫だろう」という(客観的な)根拠のない信頼感(主観的評価)しか存在しないのではないかと思われるわけです。
もしかすると,私は,「およそ信頼や評価というものには何も根拠がない」ということを述べているのかもしれません。そのため,私がわざわざ免罪符説を構築したことは,過日お会いした際にお話ししたとおりです。免罪符は,罪が存在することを前提とするものであり,罪がないものとするものではありません。
私が不勉強のために初歩の初歩の部分を理解できていないのだろうと思いますので,ご説明いただければ幸いです。
Posted by: 夏井高人 | 2010.12.27 18:54
夏井先生、コメントありがとうございます。
「監査機関が悪をなさない」というのは、「日本銀行券は紙くずにならない」というのに近いのかもしれませんね。。。
(日本銀行券の信用よりは低いかも。。。監査のほうが人が関与する部分が多いのでさらに信用低下のスピードも速いかもしれません。。。)
=====
簡単にいうと,「監査機関なので信用してください」という主観的なお願い(要望),または,「監査機関だから大丈夫だろう」という(客観的な)根拠のない信頼感(主観的評価)しか存在しないのではないかと思われるわけです。
=====
と私も思います。
ただ、何もしていないと、第三者から信頼されないようになっていきますので、なんらかの仕組みをつくっていかないといけませんよね。。。品質管理をしていますとか、公認会計士協会がチェックしていますとか、金融庁のチェックもかかりますとか。。。で金融庁のチェックは、国会や会計検査院がしていますとか。。。
お互いがお互いを信頼するという構造にして、ぐちゃぐちゃにしてごまかしているのかもしれませんね。。。
信頼の元(トラストアンカー)というのは、幻想なのでしょうね。。。
Posted by: 丸山満彦 | 2010.12.28 10:30
丸山 様
夏井です。
ありがとうございます。
監査人をいじめる趣旨ではないので,誤解のないようにお願いします。
ついでに,「学者は間違った学説を発表しない」という証明など絶対にできませんし,逆にしばしば間違った学説を出しますので,どうぞご安心ください。(笑)
ところで,監査業務を含め,定型的業務を遂行する職務においては,もしそれが機械的業務であれば,検査をきちんとすることによって全体としての信頼度(評価値)を向上させることが可能だろうと思います。問題は,裁量的な評価が混在する部分で,裁量については検査ができません。ところが,専門職の仕事というものは,まさにその裁量の部分がモノを言う仕事なので厄介です。
いったいどうやったら信頼度をあげることができるのかが最大の問題ですね。
ましてや,「組織が悪をなさない」ということを確保することは非常に難しい。事柄によっては,「内閣総理大臣が決して間違った決断をしない」ということを確保するよりもずっと難しい場合があるかもしれません。
いつも述べていることですが,組織のトップや監査組織が「悪をなさない」ということを確保するための方法を発見しないと,現在の認証制度等がのきなみ駄目になってしまう危険性があります。
検察庁特捜部でさえ証拠捏造をする時代だし,国税庁でさえ裁判所の訴訟で連戦連敗のような状況だし,警察の公安でも抜け駆け的なネットワークと機密情報のネットワークとを違法に連結してしまっていたことが発覚したりしているので,監査や監督に相当する業務におけるトップレベルの組織でさえも信用できないという時代になってしまいました。
このままではいけませんね・・・
どうにかしましょう!
Posted by: 夏井高人 | 2010.12.28 15:17
夏井先生、コメントありがとうございます。監査人はいつもいじめられていますので、いじめられるのにはかなりなれております(笑)。
世の中には絶対的に信用できる何かというものはありませんので、そこそこの信用ということで社会が成り立たざるをえません。そこそこの信用というのは、社会的に期待されるレベルの信用となるしかないのでしょうね。。。
この社会的に期待されるレベルの信用を維持するためには、社会としてどのような装置を作って運用すべきかということですね。。。
Posted by: 丸山満彦 | 2010.12.29 09:52