vol104.日本版SOX法(JSOX法 内部統制) (11)

情報セキュリティーの分野では、「リスク」を次のように定義しています。
(1)情報資産 情報という経営資源
(2)脅威
(3)脆弱性
経営資源に対して様々な脅威があります。
守っているつもりでも、脆弱性が存在し、脅威から経営資源を守れない
情報資産と脅威と脆弱性の接点を「リスク」と言っています。
多くのリスクが存在します。
全般統制で求めるリスク分析とその対応だけでも
相当のエネルギーがかかるのではないでしょうか?
大手は大手で費用が発生しますし、
IT全般統制へお金を掛けてこなかった中堅 上場公開企業でも
整備には、相当のエネルギーが発生します。
それでも、ここで大きく押さえてしまえば、業務統制での
リスクは大きく下げられる可能性があります。
新聞報道によるとネット関連の事件の件数も大きく伸びています。
外部からの脅威と
内部の脅威=殆んどが社員・関係者
外部からの脅威はある程度制御可能でしょうが
内部の脅威は制御が難しい面があります。
内部でも機密性を高めれば、可用性が相対的に低下して
業務効率が落ちる!!
いづれにしても、社員教育、周知徹底がベースにあります。
売上の水増しや、原価のチョロマカシは案外多いのかもしれません。
ある方とお話をしたのですが、無理な営業や売上計上をした人が
現在 役員になっている中で、説得性がないよな〜 と言うことでした。
トップダウン型のリスクアプローチであれば、役員の人選も含め対応が必要か・・・
冗談なのか本気なのか、笑うに笑えない話でした。
(次号へつづく)
※バックナンバーは「社長の 今 打つべき手」をクリック願います
※※お問い合わせはお気軽に
※※※コンサルティングのお見積り・問い合わせもお気軽に!!
  コンサルティングお問い合わせの方にもれなく、
  内部統制(日本版SOX法 JSOX法)三点セットサンプル進呈

タイトルとURLをコピーしました