PRODUCTS
CONSULTING
セキュリティ・エグゼクティブ・ディレクター 中島浩光
PDCAサイクルの「C」であるCheckの部分なのですが、この部分が弱いのではないかと思っているのです。これはどうも文化なのか、慣習なのか、実は日本の伝統芸なのではないか(と言っても、他の国の実情はよく知らないのですが)と感じ始めているので、そのあたりの話を書いてみます。
もう10年以上前になりますが、ISMSの内部監査の仕事をした時の話です。
その企業は親会社のシステム子会社で親会社の情報システムの開発、運用管理を行っている会社でした。ISMS認証も取得後数年たっており、事務局担当者の方も良い方で、その当時としては珍しく効果の測定をしていたりしたところでした。
ISMSの内部監査の仕事も順調に進み、現場での確認を行ったのですが、そこで問題が見つかりました。サーバルームで、サーバラックの鍵の管理を貸出管理簿で行っていたのですが、返却のチェックが入ってないものがあったのです。1カ所抜けていただけなら、「まあ、書き忘れかな?」なのですが、過去にさかのぼっていくと、複数のチェック漏れが発見されました。
また、別の部署のサーバの運用管理で、夜間作業後に運用チェックシートを使って、作業がきちんと完了しているか?確認していたのですが、これにもチェック漏れが見つかり、さかのぼっていくと、やはり、複数のチェック漏れがありました。
そして、問題はこれらの管理簿・チェックシートには承認印の欄があり、チェック漏れがある状態で管理者の承認印が押されていたことです。
チェックリストにチェックを入れるのは該当するタスクが実行された時であり、チェックが入っていないということはそのタスクが実行されていない、と考えなくてはいけないため、チェックリストの承認者は、そのチェック漏れがあったならチェックの入っていないタスクの状況を確認しなければいけないのです。
チェック漏れがあるにも関わらず承認印が押されていたというのが、一件しか発見できていないのであれば、内部監査の指摘としては軽い「観察事項」としてもよいかなと考えたのですが、この時は複数の部門で複数件見つかっていたので「軽微な不適合」という、一段階上の指摘事項として報告したのでした。
「無謬」とは辞書的には「誤りがない、誤りが含まれていない」という意味になります。
同じタスクを何回もこなして慣れてくると、そのタスクの実行に「誤りがない」と思い込んだり、「多分大丈夫だろう」という心理が働いてきます。また、同じように「いつもちゃんとやっている部下であれば、次も変なことはしないだろう」という心理が働きます。
こういった心理が働くと、チェックリストがあったとしても、「チェックが雑」になったり、「チェック漏れがない」と思い込んだりするようになります。そうすると「チェックリストを形だけ埋めてしまう」とか、「適当な承認」が発生することになり、チェックリストが形骸化してしまうのです。
チェックリスト以外にも、「Check」に該当するものはいろいろあります。自己点検(self-check)もそうですし、システム開発におけるテスト工程、脆弱性診断/不正侵入検査もそうですし、内部監査もそれにあたります。
先程の「Check」の形骸化の原因は人の心理に起因していると考えられます。そうだとすると、チェック自体を人ではなく「システム」によって実行できれば、人の心理に基づく形骸化はなくなります。
良い例としては、施設における社員の入退出管理があります。ある企業での例になりますが、自社ビルの社員通用口に警備員がいて、社員は警備員に社員証を呈示し、警備員が社員証を確認して入場を許可していたわけです。ただ、朝の出社時間ともなると大量の社員が短時間に出社するため、全てを確実に確認することはほぼ不可能になります。
しかし、現在ではゲート式の入退出管理システムが導入され、社員証をゲートにかざすことでシステムが確認し入場を判断しています。このように、人の介在を少なくすることにより、チェックの形骸化を避けることは可能になります。
同じように、テスト工程、脆弱性診断/不正侵入検査も自動化を行うことにより形骸化を避けることは可能なのですが、監査については、どうも自動化を行うことが難しいのかもしれません。
そのため、監査、特に内部監査という部分は日本では非常に形骸化しやすいような気がしています。当然、内部監査がきちんと機能している組織もあるのですが、そうでない場合のほうが多い気がするのです。
内部監査が形骸化しやすいのは、チェックリストにおける心理的側面もありますが、それ以上に、人事や組織の文化的側面が大きいと考えています。
というのは、被監査組織からすると「粗探し」と捉えられ、監査で何か見つかってしまうと、被監査組織の社内での評価が下がってしまう場合が多いようです。実際には「何か」を起こしてしまった被監査組織が悪いのですが、どうも、内部監査部門を悪者にしようとする傾向があります。個人的にはこれは日本ならではの「事なかれ主義」と考えているのですが、内部監査部門の人も、社内人事・政治・風土的な理由でこの「事なかれ主義」になってしまうケースが多いと思っています。
そのため、内部監査を有効に機能させるには、そのあたりを改善しないと無理だろうなぁと、思うと同時にそれを解消するのは難しいなぁ、と感じていたりするわけです。
GRCSによるブログ記事です。
