« 内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一管理基準」(案)及び「政府機関の情報セキュリティ対策のための統一技術基準」(案) | Main | ENISA Information security risks, opportunities and recommendations for users »

2010.12.31

内部監査部門がない政府機関はマネジメントできているのか?

 こんにちは、丸山満彦です。組織が目標達成するためには、目標とのずれを常にモニタリングし、目標達成を可能にするような修正を行っていく必要があります。いわゆる統制です。
 このような統制においては、モニタリングが重要となってきます。モニタリングの方法はいろいろとあります。実行をする本人がモニタリングする方法もありますが、実行する本人とは独立した客観的な立場な専門家がモニタリングする方法もあります。それぞれのモニタリング方法には、長所短所がありますので、それを組み合わせて適切に使うのが一般的です。
 何千人、何万人もいる組織ではこのようなモニタリングの仕組みが重要となります。長い情報伝達経路の中で情報が間違って伝えられたり、判断ミスが生じたりし、全体としての整合性が取れなくなるからです。大企業ではそのような内部統制は必要不可欠と考えてもよいでしょう。上場企業においては、財務報告に係る内部統制の評価を監査の制度が米国や日本では法定されているほどです。ところが、政府機関には、民間企業でいうところの独立性の高い内部監査部門がありません。

 
 本当にそんな状況でいいのか?

 政府機関のマネジメントがうまくいっていると確実にいえるのであればよいのですが、会計検査院の報告(検索)を見ても、そうとは言えませんよね。。。

 情報セキュリティにしたって、内部監査部門がないので、専門性が高い客観的な評価者を育成することができません。

 指示は100%正しい
 指示されたことは100%確実に実行される

のであれば、モニタリングはいりませんけど、そうなのでしょうかね。。。

|

« 内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一管理基準」(案)及び「政府機関の情報セキュリティ対策のための統一技術基準」(案) | Main | ENISA Information security risks, opportunities and recommendations for users »

Comments

丸山 様

夏井です。

どんなマネジメントシステムにおいても,トップが駄目ならどうにもならないという典型例かもしれませんね。政府は,日本のトップですので,そこがちゃんとしていないなら日本国の全ての組織が駄目です。

企業でも,経営陣に対する内部監査は実際には存在しません。なにしろ,経営陣は経営判断をするところであり,自らが監査の対象だとは絶対に考えていないからです。

かくして,ほぼすべてのマネジメントシステムのモデルは砂上楼閣です。

私が巨大すぎるクラウドについて,いろいろと批判をしている理由をご理解いただけたのではないかと思っています。ここでは,やはりトップに対する監査や内部統制は実質的に存在しませんし,これからも存在しないでしょう。

Posted by: 夏井高人 | 2010.12.31 at 12:02

夏井先生、コメントありがとうございます。

組織のトップの監督というのは非常に難しい。中国でもヨーロッパでも、おそらく昔から国王、帝王がいかに社会にとって望ましい人間であり続けられるか。。。という点で苦労してきたのであろうと思います。

論語などの中国古典を読んでいるとそういう気がしてきます。

独裁的な権力を持っているものが腐っていれば組織はどんなに素晴らしいマネジメントシステムを整備・運用していてもだめです(というか、むしろだめかも。。。=狂った人間に丈夫な体を与えるようなもの?)


しかし、政府機関の場合は、頭から下の身体の部分ですらちゃんとできていないのではないかということですよ。。。(狂った人間になりがちなので、むしろ身体がちゃんとしてないほうがよいのかもですが。。。)

クラウド化というか特定の大企業による事実上の独占が進む(しかも国を超えて)とどうなるのかについては、引き続き私も考えていきたいと思っています。。。

Posted by: 丸山満彦 | 2010.12.31 at 12:21

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/50448061

Listed below are links to weblogs that reference 内部監査部門がない政府機関はマネジメントできているのか?:

« 内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一管理基準」(案)及び「政府機関の情報セキュリティ対策のための統一技術基準」(案) | Main | ENISA Information security risks, opportunities and recommendations for users »