掲示板お問い合わせランダムジャンプ



この広告は30日以上更新がないブログに表示されております。 新しい記事を書くことで広告を消すことができます。

Google広告

2012年12月28日
本末転倒を地で行くクレージーな審査機関の目標管理経営?


本末転倒を地で行くクレージーな審査機関の目標管理経営?

其の審査機関は今でもクレージーなのか、今はまともな考え方が出来るようになったのか。経営者を変えて変わることが出来る会社もあれば、何も変わらない会社もある。

目標管理型の経営に関する能書きは知っていても、実務を知らない人が寄り添う審査機関ではなかなか本物にはなれない。外資系の企業の間で転職を繰り返す人が経営に入ってきても上滑りの経営管理に終わるのは目に見えている。

.*.

其の審査機関では「認証書のデリバリータイムのミニマム化」がテーマになっている。クライアントは認証を一日も早く受けたいと思っているから、其の期待に応えたいという訳だ。改善活動のテーマなのだろう。第三者認証制度の審査機関はマネジメントシステムの家元みたいなものですが、こういう目標で仕事をしていると聞いて唖然とする。クレージーとしか言えない。

クライアントは早く認証書を手にしたい。そのことで次のアクションが初めて取れるものも少なくない。ビジネス要件なら尚のこと急いでいる。顧客要求に素直に応えようとする取り組みだ。

何がクレージーか?。審査機関の本質がすっ飛んでしまっていること。事務処理屋の発想しかない。

人間ドックへ行ってあるいは検診を受けて異常無しをもらえば仕事にありつける人もいる。診断時間は短くしてほしい、診断結果は早くほしい。

結果が1週間後の検診や人間ドックは敬遠される。当日結果が得られる1日審査でも長い。実態は半日検診が主流になる。最近の人間ドックの状況です。

しかし、多くは何のためにドックに行きますか。健康を適切に理解するため。結果が別に郵送されるケースが敬遠されるのは適切な説明を聞けないからです。

.*.

スタッフがTQCの経験もない寄り合い所帯だと的外れになることがある。粗製乱造を生む要因です。

.*.
[ 投稿者:ISMSNEWS at 15:29 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年12月27日
矛盾する審査スキーム

矛盾する審査スキーム

面白い審査員がいた。問題をせっかく見つけてくれても、観察事項の所見で済ます。観察事項は是正義務は無いからと言ってフォローもしない。継続的改善とか、PDCAとか、能書きでは大事といっておいて実際はまわそうとしない。学校の教室みたいだ。実社会と離れた小理屈で済ます。リアリティのない審査員だ。

その審査員の言い分がまた面白い。

観察事項への取り組み状況を確認すること自体が実質的に是正を強要することに繋がるからだというのだ。

言うだけ勝手の観察事項は無視するのも自由だというわけだ。

ところが;

特定の審査員の勝手判断でもなさそうだ。全くフォローしてない人もいる。審査の中で確認するという人も入る。少し救われるが、審査はサンプリングでやっている以上は審査の中での確認には限界がある。何よりも非効率だ。

.*.

<観察事項の本質とは何か>

このまま看過は出来ない。セキュリティの確実性に心証がもてない。要観察。審査員はそのように判断した訳だ。誰が観察するの?。当然審査員ですよ。観察事項のフォローをやらない審査員は業務放棄に等しい。ヒントは与えたのだから後は勝手にやってくださいで済ましてしまう。

一種の手抜き審査。

ビジネス性最優先の審査機関は平気で手抜きをします。審査を受ける側は手抜きをされれば楽だから何も言わない。審査員にクレームしてもしようがない。審査機関を変えればいいのだが、別の力学も働くから結局放置されることになる。

.*.
[ 投稿者:ISMSNEWS at 12:36 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

ダウン・ビー・エス・アイ


ダウン・ビー・エス・アイ

こういう言葉がISMSの世界にあるかどうか分かりません。聞いたことがありませんから一部の人の間で使われる造語・隠語に違いありませんが、多分、ダウンはDOWN、 ビー・エス・アイはBSIジャパンのことでしょう。

.*.

TQCを進めてきた日本は国際規格化と規格ビジネスでは欧州(EU)に後れを取ってしまったが、品質管理そのもので後れを取った分けではない。第三者認証制度の実務でも標準化推進団体が自らの改善を通して適切に展開されている。

ただし、ISMSの分野だけは2004年ごろからいびつな状況を呈してきた。海外の審査機関の日本法人一社で全体の半数を審査するといった特別な状況をきたした。ISMS規格を特別なものとして慎重な姿勢をとった日本の審査機関に対してBSIジャパンは全く逆のアプローチを取った結果である。

BSIジャパンはビジネス的に成功を収めたように見えたがそれが真の成功ではなかった。結果、内外に大きな問題を残すことになった。もっとも深刻な状況はBSIジャパン自身がその呪縛から抜け出せなくなってしまったことだ。

.*.

なぜダウン・ビー・エス・アイなのか?。

(A) 歪んだ制度運用からの脱却です。多分、当事者がもっとも深刻に理解して取り組んでいることでしょう。

.*.

BSIの本家は英国にありますが、英国本家と単なるオペレーションカンパニーに過ぎない日本法人は全く別物です。

.*.
[ 投稿者:ISMSNEWS at 10:32 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

事業継続管理を片手間で済ます経営者?
事業継続管理を片手間で済ます経営者?

経営者は自分がどのように関与すべきかすら理解していないだろう。経営者が判断できるようにデータを揃えて問題が上がってこない。スタッフにしても殆どが素人。自衛隊のOBでも協力してくれれば適切な経営判断を得る手順になるだろうがそういう人材はなかなか得られないものだ。

基本的な手順

<1>管理基準点を決める。

<2>基準点にいたるまでは日常管理の範囲で対応。

<3>基準を超えたら非常管理の体制で対応。

.*.

<1>経営者は基準点(管理限界点)をあげることを考える。方法論、コスト、ビジネスインパクト。

<2>基準点を超えたときに備えて日ごろから回復のためのデータ保存などの負担が掛かる。<3>に連携する備えの管理である。経営者は供えのコストを把握すること。

<3>適切な切り替え。経営者は切り替えに要した時間とコストおよびビジネスインパクトを把握する。訓練のときも実績のときもですよ。

.*.

BCPに於ける最重要課題

どの組織が作ったBCPでも同じ。国家レベルも同じ。国防も。最重要課題はたった一つです。

『何を限界点とするか。限界点オーバーの判断をどのようにするか。BCP発動をどのようにするか/誰がするか。』

ここをクリアにしておかなければどんなBCPもどんな訓練もどんな予防的投資もまったく役に立ちません。

勿論、結果を予測しないで発動のボタンを押す経営者もいないでしょう。経営者は自分が命を失っていることまで考える必要があります。

阪神淡路大震災のときも東日本大震災のときも尖閣諸島のときも三菱自動車のリコール問題のときも何でもです。思い出せるものを思い出してください。何人の経営者、リーダー、責任者が適切な判断を下せたでしょうか。

愚かな経営者の多くは誰かが何かをやってくれると信じている。結果責任は自分が撮るのだからそれで良いんだと思っている。社員や取引先あるいは顧客の人生の責任なんか一つも取れないのに。

経営者の司会から消えたBCPに社員の誰が取り組めますか。予算も何も無くて。

.*.

普通のBCPの訓練には発動判断がなかなか入ってきません。発動後の動作確認だけです。

しかし

経営者は毎日BCP発動か否かの判断を問われている。筈。毎日訓練以上のことをしている。無意識のうちに。記録も残さず。せめて記録を残せば如何に自分が偏った判断能力しか持ち合わせていないか分かるのに。

.*.
[ 投稿者:ISMSNEWS at 01:52 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年12月26日
クラウドの定義
MountArarat(s)

クラウドの定義



The NIST Definition of Cloud Computing



http://www.nist.gov/itl/cloud.cfm



http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf



対訳



http://agilecatcloud.com/2010/02/22/%E3%81%A8%E3%81%A6%E3%82%82%E9%87%8D%E8%A6%81%E3%81%AA-nist-%E3%81%AE%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E5%AE%9A%E7%BE%A9%EF%BC%9A%E5%AF%BE%E8%A8%B3-cloud-cloudcomputing-scloud-openmeti/



.*.



クラウドの定義は変遷を続けている。定義が引用されることが多いNIST自体がその変遷を認めている。NISTは全容を包括できる定義を試みているようだが本質を見極めないとその内、ネットワークとネットワークサービスは全てクラウドで表現されるかもしれない。



乱暴だけどネットの先の直接見えない世界は全部クラウドでも良いんじゃないか。糸電話みたいに物理的に直通の世界はさておいてインターネットがそもそも不確定のネットワークで得体が知れない。 だからクラウド。クラウド=不確定=仮想?。柔構造のネットワークとサーバーとサービス。



ネットワークリソースとして存在するものは全てクラウド。?



.*.



クラウド・コンピューティング:



クラウド空間が提供するコンピューティング能力、コンピューティングサービス、 コンピューティング技術、ということになる。



不確定時空のコンピューティングデマンドへの対応だから革新も求められる。



仮想領域をコントロールする 管理技術も求められる。



想像を超えるセキュリティ課題が出てくるだろう。



.*.
[ 投稿者:ISMSNEWS at 02:17 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年12月25日
管理の有効性評価
管理の有効性評価

管理が適切な状況にあるかどうかの評価。管理とは目的を達成するための手段の体系です。目的vs.手段の相関。TQC(TQM)世代では違和感が無いはずです。ISMSでも同じです。

<目的と手段を数式で表す>

[目的]=[関数(手段)]

これがなかなか難しい。経営者なら基本はお金をベースに、売り上げ、利益、費用で見るだろうが単純には行かない。

ISMSはセキュリティリスクを下げること基本形だからリスク値を下げると素直に考えてよい。

セキュリティリスクと経営目標との相関についても検討されなければいけない。 セキュリティリスクは年間期待損失。

リスクを下げるために新たな管理策を打つとコストが掛かります。会社オールで見れば行って来いで同じだったら残念ですね。投資(管理策)100に対してリターン(リスク)100なら有効性は1.00なのかな。

ISMSでは有効性はリスク低減への効果の程度でしかありません。

1つの施策で1つの結果なら単純で良いですが、多くは複数の施策が複数の結果(複数資産のリスク低下)につながるので難しくなります。

しかも、出費はリアル、結果はリアルに補足するのが困難。期待損失額と実際の損失額を把握できるようになっていないとISMSをやっても意味が無いですね。ISMSに目標管理を持ち込むことが欠かせません。

以前からの課題であった適切な情報(システム)投資水準がどこにあるか、この問題と共通する問題ですね。

<従来のISMSでは不十分だったコスト評価>

何処の組織もリスクの現状を評価する作業が繰り返されるが、その中にコストが入ってくることは少ない。日常管理のコスト。問題発生時のコスト。是正処置・予防処置のコスト。これら実コストの把握は欠かせない。算定したリスク値(期待損失)とのギャップ評価も必要だ。

現状の定性的な理解だけで進めていても具体的な経営へのメッセージにはつながらない。

<セキュリティコスト評価>

T投資の部:T1既に実施した投資額+T2需要水準リスクを確保するために必要な追加投資額。

K効果の部:K1既に実施した投資による効果(算定額)+K2投資を実施していないことの効果(期待損失額、K3実現した損失を含む))

T<K

T1<K1

T2<K2<K3

累積的にみるのが本来。年度ごとに見る場合は償却コストなども入れる。

.*.
[ 投稿者:ISMSNEWS at 14:46 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年12月23日
ISMSユーザーグループセミナー簡単メモ
ISMSユーザーグループセミナー簡単メモ

参加した人の話を聞いた。今年2012/12/21の参加者は少なかったようだ。三連休の前だからか。以下は資料と雑談からのメモ。世界の認証取得事業者の半分が日本。それに相応しい活動が展開されている。世界の模範となる活動といっても過言ではあるまい。

.*.

冒頭のサイバーテロに関するセッションは好評だったようだ。問題の全容がコンパクトにまとめられていてスピーチも素晴らしかったとのこと。

ただ、方法論への踏み込みが不十分の印象を受けた。サイバーテロというより現実に繰り広げられているサイバー戦争という認識に立てばもっと深刻だろう。基調講演でも取り上げるべきテーマだったのではないかな。

そんな中でも、囮(おとり)を置く考え方は興味深い。囮監視と追跡システムが実現しているのかアイデアベースかは分からないが。また単一企業による対応の限界も感じる。業界的な取り組みに発展させるアイデアが提案されてもいい。

国会議員の話も出た一般的な事件事例紹介にとどめず、特に落選した場合の、セキュリティ義務への言及も欲しい。

いずれにしてもこのテーマは最重要であり、今後も広く深くスピーディに取り組んで欲しい。

.*.

基調講演は、セキュリティ管理をバランスシートとか会計とか目新しい発想で補足しなおしているのは面白いが、印象としては荒削り。何より、この方法論から導かれる新しいメッセージがどのようなものであるか想起できない。

詳細リスクアセスメントに対する洞察がもっと深まれば、新しい世界へブレークスルーできるかもしれない。あるいは引き返すことになるかもしれない。

対象性/非対象性の話もただの解釈論の話に留まれば詰まらない。初めてISMSに接する人向けの表層的なセッションなら合格。基調講演というなら本質的な時代認識を踏まえた今後の方向性を探る展開を期待したい。

とのことだ。

.*.

クラウド。こいつにはますます混乱させられる。どういう意味合いでクラウド(という用語)を使っているのか分かりにくい。多くのスピーカーが果たして同じ理解に基づいてクラウドと読んでいるのか。

もっとも、クラウドが規格の対象になるのだから、既に何らかの定義はされているのだろう。しかし所謂プライベートクラウドなどのカテゴリーが出てくると、混乱しないわけでもないだろうから、全容の整理が改めて必要になりそうだ。

.*.

改訂版ISO27001の最近の状況が紹介された。分かりやすい説明は今年も好評だった。改定に伴うISMS関係者へのインパクトは小さいと昨年から言われているが、実務者の苦労を知らない上の人の意見だろう。論理的なインパクトは小さいかもしれない。実務者から見たインパクトはBS規格からISO規格に格上げになった時以上に大きいのではないか。

とは言え、規格自体の標準化が進むので複数規格に取り組む組織では、頑張り甲斐が出るかもしれない。

システム規格(27001)と管理策規格/セクター規格の二階建て構造とするものは運用によっては大変な混乱を生むだろうと今から懸念される。「27001+27002」が従来(現状)の基本形だが、来年以降は、「27001+27002+270xx+270xx+〜」による管理策展開になるからだ。

建前を言えば、現状でも「27001+27002+その他必要な管理策」ではあるがその他が付いてくることは先ず無いのが実態だろう。

改訂版27001では、予め詳細検討された技術領域(セクター)が提示されているので27002管理策だけで十分ですとは言い切れなくなった。大きな事業をやっている組織の場合は殆ど複数の技術セクターと関連してくるに違いない。

.*.

言葉の定義、新しい概念の導入など、規格改定に伴う変更がいくつも出ているようだ。日本的価値(TQC?)の扱いの変化の意味するところは特に注意が必要かもしれない。文書になれば独り歩きを始めるのが常だから理解の共有の徹底化が必要だろう。その意味で、当グループの果たしている役割は賞賛に値する。

.*.

BCPに関する検討会は苦労しているようだ。多くを語ろうとして焦点がボケてしまったというと失礼だが、これが正にBCPの本質かもしれない。異なる企業文化の間で一つのBCPを形にするのは至難ということです。

しかし、多くの留意すべき観点、アイテムが提示されたことには感謝しなければいけない。BCMS規格の用語なども参考に整理していけば大いに有用なはずです。

.*.

マインドマップ(MM)の応用。最近は中高生でも利用する人がいるくらいアイデア整理のツールとして使われているものだ。個人でも複数人でも超次元的に使えて便利といえば便利なものだが、似たようなことは誰でもやっているので初めて接する人にも抵抗は無い。

フィンランドでは小学生?の作文や地理の時間でも利用している。思考の地図(マインドマップ)は世界の共通語になる日が来るね。試行錯誤を楽しむ道具みたいだ。アングリーバードの会社(ロビオ?)でも商品企画検討に利用しているとか。新たな可能性も其処にはあるから。

しかし、ISMSの方法論にマインドマップ(MM)を使おうとする試みはやはり理解を超えている。何がMM利用のゴールなんだろう?。リスクアセスメントを事例に利用例の紹介があったようだが、何か網羅的に一般解を求めているわけでもないだろうに。業界が変われば、業務が変われば、人が変われば、時間が変われば、MM展開する内容はどんどん変化するのではないだろうか。

同じMMを使い続けると発想か固定化する?。

再度、原点に戻ってテーマを見直してみるのも良いかもしれない。(余計なお世話ですね?)

.*.

有効性評価。定義からして難しそうだ。色々な考察が紹介されていたらしい。目的・目標と手段の相関を理解することが有効性評価。

実施度という視点を取り込んでいるのは面白いが、実施度が低いから有効性(達成度)が低い、実施度を上げれば達成度は上がるとする発想は要注意。

議論は方法論、施策によりすぎた印象。目的の定量的な理解に視点が行くともっと分かりやすかったかもしれない。

.*.

兎に角。J-ISMS-UGの活動は素晴らしい取り組みの一言です。

.*.
[ 投稿者:ISMSNEWS at 14:41 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年12月13日
NEXCO中日本(中日本高速道路)の保守管理は犯罪的?他人事にあらず?
NEXCO中日本(中日本高速道路)の保守管理は犯罪的?他人事にあらず?

笹子トンネルは9月に5年に1度の重点検を実施した後に、9人死亡の事故。下り線の点検では670箇所の不具合箇所。

天井が高いから望遠鏡で眺めただけ。それで点検終了だったの?。人が死ぬまで放置していただけじゃないですか。言い方を帰れば、誰か犠牲者を出してから(要するに誰かを殺してから)、修理が必要なら修理をしてやろうという論外の経営だったということですね。言い訳無用。

記者会見で、いま捜査を受けているからといって何の説明もしようとしない中日本の管理者。今から二枚舌を使う予定なのか。真実を言うなら操作であろうがメディア(国民への説明)であろうが、いうことに変わりはないだろう。早くも裁判を有利にと言う視点じゃないか。

双眼鏡で覗くだけで不具合が発見できたのはどれくらいかと記者から質問されて即答できない。恐らくこのメディアの前に姿を出した男は実態把握ゼロなんだろう。外部委託で済ませてきただけ。自分は運が悪いくらいにしか思っていないのだろう。

.*.

記録管理

表層的なISMSでお茶を濁す企業は、実態を知らないコンサルも審査員も、記録管理は記録の保管と思い込んでいる。

言われるまでも無く、統計・分析・評価も記録の管理ですよ。

大事な部屋への入室の記録はログを採っています。ログは保管しているし、バックアップもあります。となって何処の経営者が満足できますか。

記録が何処かに有るだけではまったく管理としては不十分。記録から経営(マネジメント)へのメッセージを引き出して初めて記録管理は始まる。

方法論・手順は狭義の文書管理で明らかにすれば良い。もっとも、次のバージョンでは文書vs.記録の不毛の議論に終止符を打つべく文書管理で一本化されるようだ。

.*.
[ 投稿者:ISMSNEWS at 10:39 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年12月08日
マネールックのコンプライアンスは大丈夫か?
マネールックのコンプライアンスは大丈夫か?

マネールックは元はヤフー!とかSBIとかが運営していたが、今は関連会社?のイー・アドバイザーが運営している。

サービスの利用規定を少しずつ見直しているが、少し怪しい内容が出ている。利用規約の7条の3項に追加された内容

「3.当社は、第10条または第11条により、会員登録が抹消され、または会員が本サービスから退会した場合には、当該会員が本サービスの利用にあたり入力または取得し、当社のサーバに保存されているすべてのデータを当社の判断により削除または保存することができるものとし、会員はこれに異議を述べないものとします。」

がそれだ。利用者が自分のデータを削除できないことに合意を求める内容だが、コンプライアンスは大丈夫だろうか。法律違反しているのではないだろうか?。個人情報保護法は利用者が自分のデータを削除するよう求める権利は明示しているのに、この規約は権利放棄を要請するものであり、しかもいきなり勝手にそのことを要請し(表示して)、容認しなければサービスの継続利用を拒否する内容のもので、完全なコンプライアンス違反かどうかは法律家の出番であるにしても、社会的には決して容認できないものだ。

イー・アドバイザーのコンプライアンスはいつもこの程度なんだろうか。運営委託したときにいくつか懸念したことが少しずつ顕在化してきた印象を持つ。

.*.

マネールック

個人向けの資産管理サービス。個人顧客開拓の一環としてSBI証券とヤフー!が協力して提供してきたサービス。マイクロソフトマネーなどが撤退する中でもっとも価値の高いサービスを提供していたが、1年位前に別会社にサービス事業が移管された。

イーアドバイザー

SBI系のITサービス会社?

.*.
[ 投稿者:ISMSNEWS at 01:45 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

情報資産台帳の要件
情報資産台帳の要件

(1)当該情報にアクセスするための情報が網羅されていること。台帳から現物が辿れること。

(2)当該情報の管理レベルが明確なこと。機密性要件、可用性(アクセス時間)要件、完全性要件。

これまで完全性要件の議論はあまりやっていなかった。完全性維持の一環としてのバックアップのレベル。「正」情報と同一であることを維持する施策のレベル。「正」情報を利用していることの確証を示す施策レベル。

.*.
[ 投稿者:ISMSNEWS at 01:44 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

2012年12月03日
中央道・笹子トンネル崩落事故の教訓
中央道・笹子トンネル崩落事故の教訓

中央高速道路・道笹子トンネルで発生した天井崩落事故は9人の死者を出す痛ましいものと成ったが、ここでISMS関係者はどういう示唆を受けるだろうか。学ぶべきことは少なくない。

<順不同>

交通路の遮断:

情報ネットワークの遮断については十分に検討する癖が付いているが、こういった物理的な交通路が遮断されたときにどのようなリスクが発生するか、リスクアセスメントで十分検討されているか。

物理的媒体による情報のデリバリーまたは調達に対するリスク評価
情報システム関連機材のデリバリーまたは調達に対するリスク評価
緊急時の代替手段の確保
検査の有効性:

今回の教訓でこれは最大重要なものです。崩落事故の2ヶ月前に5年に1回しかやらないもっとも念入りな検査を終えたところですが、危険性について把握できなかったという事実があります。

ISMSでも多くのチェックプロセスを入れていますが、その有効性を正しく把握できているかという問題が突きつけられます。


ISMSの有効性評価:
無能な経営者はこのテーマに対してしっかりした意義認識も無ければ方法論の理解も有りません。適当なものでお茶を濁している経営者よりは、答えが見つけられずに悩んでいる経営者の方が健全です。
有効性とは目的に対する方法論(=管理)の有効性ですが、一般に「管理の目的」とは何かと問われれば簡単に答えを見つけ出せるのに、「ISMSの目的」とは何かと聞かれると急に難しくなる。それは当然のことなんです。
親会社から言われたから(仕方なく)始めただけのISMSでは最初のボタンの掛け違えを起こすことは珍しくありません。
答えが簡単すぎて申し訳ありませんが、目的はリスクの最小化ですね。この場合も達成したリスクの値で見る場合と、軽減できたリスクの値で見る場合と、2つの視点は欠かせません。
《ちなみに崩落事故ではリスクアセスメントはまったく実施していなかったと思われます》
マネジメントレビュー:
経営者レビューですから大所高所的な判断でかまいませんが本質は把握すべきです。世の中の重大な事件・事象を投影させることです。3.11大地震がどのように反映されたか、サイバーテロがどのように反映されたか、など。要は生きた仕組みかどうか。発生した事件事故に対する対処の本質性。データ類の統計的理解。あまりにきれいなデータの嘘を見抜く。無能な経営者は素通りします。もっとも彼らは本当は有能だけど時間が無いから目が届かないと無能経営者の典型的な説明をします。
内部監査:
社内の遠慮、毎年担当が変わる(いつも素人)、十分時間を取らない(余計な仕事になっている)、自己申告で済ませる、など内部監査の有効性を阻害する要因はいくらもあります。形式的な内部監査でも表層的な問題を見つけることは可能ですが有効性には問題が出ます。部門のマネジメントの問題を指摘できなければ無意味です。「罪を憎んで人を憎まず」は考え物。人(力量)が決定的です。仕組みの問題、人の問題をしてできない内部監査はやり直し。
日常的な監視・点検:
データを統計的に見る目が必要。昨日と今日の違いが見える監視点検をやることです。実際に生じた事象から日常的な監視点検活動の有効性がレビューされなければいけません。インシデントと監視が連携していなければ無意味です。
.*.
今回の崩落事故でも、吊り棒が落ちた原因として、地震の影響、鉄筋の劣化、地下水などによる腐食などいくつか可能性が素人の評論家によって述べられています。誰でも気づく懸念事項。
では、定期的な点検で、それらはどのように点検されたでしょうか?。彼らは何もやっていません。昔からの10年1日のやり方で吊り棒をたたくだけです。懸念事項と点検活動が何もリンクしていない。只の形式的な責任逃れのための仕事ですね。
これを何年も放置しているのは経営者の犯罪といっても過言ではないでしょう。
.*.
[ 投稿者:ISMSNEWS at 17:36 | ISMS四方山話 | コメント(0) | トラックバック(0) ]