４．必要条件と十分条件
　中学か高校の数学で「必要条件と十分条件」を習いました。
情報セキュリティを確保するために、プライバシーマークやＩＳＭＳといった「組織の管理体制の整備」がおおはやりです。でもよくよく考えると組織の管理体 制は必要条件なのです。十分条件ではないのです。だから、プライバシーマークやＩＳＭＳという管理体制が整備できたとしても、それだけでは十分ではないの です。だから、プライバシーマークを取っている組織が不祥事起こしたからといって、マークを与えたことを責めるのはどうなんでしょうか。



３．　遵守リスク（２００４年９月１２日）　
先日、大阪成蹊大学の石島先生の講演を聴く機会がありました。そのなかで、次の式についてお話がありました。
　システム監査における監査リスク　＝　遵守リスク　×　 監査証跡リスク　×　発見リスク
日本の会社等の組織では、ＩＳＯやＩＳＭＳで審査対象となる管理体制が運営されていても、現場ではその管理体制がうまく機能していないことの方が多く、そ のた めに多くの問題が発生しています。このあたりの状況を、うまく定性的に表現していると思います。つまり、ルールをきちんと守らない組織の場合は、監査結果 の信頼性が低いということです。
　監査の信頼性を向上させるためには、遵守リスクが高い（規則を守らない）原因を明確にして、それらを取り除き、遵守リスクを少なくする必要がありそうで す。

以下は、遵守リスクが高い理由の柳瀬案です。
　そのひとつは、日本社会が持つ規則に対する曖昧さです。制限速度６０の道路を、みんな７０〜８０キロの速さで走っているのが普通ですから。警察も普段は 見 て見ぬ振りですよね。

　次の理由は、多重構造の組織とでもいう摩訶不思議な日本の組織です。会社であれなんであれ組織には、組織図みたいなものがあって管理体制が明確になって い ます。しかし、その正規の組織とは別に、いろいろな非公式な組織が存在していて、正規の組織の意思決定に大きな影響を与えています。管理職会とか、親分子 分関係の有志の集まりとか、飲み仲間とか、・・・・それらの複合体など、様々なものがありますが、これらの非公式な組織に属している者は、お互いを守りあ うという暗黙の行動をとります。そして、非公式な組織の誰かが何か不始末をしても、規則に則った厳格な処分をさせないように暗躍するのです。他者を大目に 見 たり擁護することによって、自分自身も同様に保護してもらうことを期待しているからです。セクハラやパワーハラスメントがあっても、その組織自体が厳しく 対処しない、あるいは、組織を上げてもみ消すのはこのためです。規則をきちんと守る組織にするためには、正規の組織の責任者が、強い意志と指導力をもっ て、規則を厳格に適用し非公式組織の介入を排除する必要があります。
それと、不心得者を擁護した人も処罰の対象にしないと非正規組織の結束を崩すことは難しいでしょう。
因みに、日本で天才が潰されるのは、この非公式組織の自己防衛行動が大きな原因です。

　三つ目は、成果主義に名を借りた従業員振るい落としが原因です。本来、成果主義とは、平均よりずば抜けた業績を達成した人に利益配分を厚くして報いるこ と です。しかし今の成果主義は、従業員を振るい落とし総人件費を抑制することが主な目的になっています。部署の責任者は振るい落とされないように必死になり ます。従業員個人は、部署の責任者の意向に従わなければ振るい落とされますので、従業員個人も同じ方向に動かざるをえません。その結果、法律や社内規定を 無視したことが行われるのです。成果主義の御旗の下に、気に入らない部下の賃金を大幅に下げて振るい落とすというでたらめな行為が横行しているので、不適 切な行為を仕方なくしてしまうのです。このような理由において不適切な行為が行われていたならば、成果主義の御旗の下に従業員の振るい落としを容認あるい は黙認してい る 人の責任が問 われるべきだと思います。

したがって、今大流行の管理体制（マネージメントシステム）構築だけでは片手落ちなんです。このあたりの感覚は、現場の方々が一番よく判っています。




２．　システム監査という言葉
　システム監査の「監査」という言葉と、情報システムの実態とのずれが最近気になってます。

　監査対象のある時点での姿を客観的かつ具体的に記述し、記述が適切であり記述した内容が監査の基準を満たしているかどうかを判断することが監査だとした ら、情報システム は監査の対象にはなれないです。ある時点において監査の対象（情報システム）を客観的かつ具体的に記述することはいまのところできないからです。ですか ら、会計監査と同じ感覚でシステム監査を捉えると、現実と合わなくなると思います。




１．　システム監査
１．１　システム監査とは
システム監査ってどうとらえたらいいのでしょうか。
以下は個人的な感想です。

「管理のしくみ」の確認
（１）システムの様々な局面に対して管理の仕組みを想定し、
（２）想定した仕組みが何らかの形で存在していることを確認し、
（３）管理の仕組みが適切に機能しているかを抜き取りで実地に
確認し、改善点があれば提言します。
たとえば、
今、関心を呼んでいる情報セキュリティは、情報セキュ
リティというシステムの一局面に対する管理の仕組み
を体系的に明確に定義することを狙っていると思います。

「システムの専門家」としての見識から導かれる助言
（４）上記（１）〜（３）の過程で、システムの専門家としの
見地から、なんらかの対処をすれば効果的な改善が望
める状況が見いだされた場合は、適切な助言をします。

（１）〜（３）は、（４）を効率よく行うための手順の確立と
いう面を合わせもつと思います。


さて、ここで問題になるのが、「本音と建前」という精神
構造です。管理の仕組みを確認することは、「建前」の
確認に止まる場合があると思われます。もし「建前」以
外に「本音」が存在しているとしたら、「本音」の部分の
確認は困難な作業になる場合が想像されます。

つまり、「本音」の部分の確認作業は、通常のシステム
監査とは少し異なる方法が必要であると考えます。抜き
打ち検査という行為がひとつの方法となっていると思い
ます。

１．２　システム監査の対象範囲と管理のしくみの構築

現在のシステム監査では、管理のしくみの構築をその範
疇に含めていないと、私は考えています。システム監査で
は、管理のしくみの運用状況の確認、及び、その運用結
果に注目して、さまざまな提言を行うものであると思いま
す。別の言い方をすると、企業活動そのものにより重点
を置いています。

一方、管理のしくみの構築については、ISOのマネージメ
ントシステム構築、あるいは、CMMといった手法の開発が
進められていますが、こちらは、管理のしくみ（マネージメ
ントシステム）の構築と改善により注目していると考えられ
ます。

１．３　マネージメントシステムと企業活動

管理のしくみを構築することに、多くの人がなぜ注目するの
かということについて私なりに考えてみました。

「マネージメントシステムの構築状況」と「企業活動」の間の
相関係数が大きいという経験則があるそうです。そのため、
マネージメントシステムの構築・改善を推進しているというこ
とらしいです。

ただし、相関係数が大きくても直接的な因果関係があるとは
必ずしも言えないのです。下図のように、「マネージメントシス
テム」は「人間の活動」を介して「企業活動」にだどり
着くわけです。

マネージメントシステム
　　　　　↓
　　人間の活動
　　　　　↓
　　　企業活動

マネージメントシステムの構築・改善活動は、これを行うことに
より、より適切に人々を活動させ、企業活動を適切に制御しよ
うとしていると言えます。一方、システム監査はマネージメント
システムの存在を前提として、企業活動の結果により多く注目
し、企業活動を制御しようとしています。したがって、両者は車
の両輪となって働きかけることが適切であると思われます。

このあたりが、管理のしくみの構築とシステム監査を併せて実
施する意義ではないでしょうか。