10月27日の土曜日に、CPA、CIA、そしてCISAのホルダーが集まっての懇親会がありました。このような機会、そんなにあるものでなく、アルコールが入るにつれ、話も盛り上がってきました。皆さん各々の立場で内部統制に関心というか関係がある人達ばかり、段々にとあるお役所の話になってきました。内部統制の欠如の典型だと・・・・ そう、巷で評判の社会保険庁です。
話してでた統制の欠如の数々、情報セキュリティの観点から
1 機密性の欠如
初回保険庁の職員は、職務権限のないのに、被保険者の個人情報を
盗み見、あろうことか外部にリーク。しかも、処罰後にまた遣る豪
の者も。
しかし、誰でも被保険者情報が検索できるということは、アクセス制
御、してないんですね。
2 完全性の欠如
被保険者の名前、住所、生年月日など正しく入力されていない。
こんなデータ、誰が信用するのでしょうか。
入力されていないデータ多数、原本も可也の数が廃棄済み。
検証もできないです。
3 可用性
システムに詳しい担当者もいない。SI業者にお任せ。大丈夫?
4 その他
契約書のなく、請求されるままにSI業者に数千億の支払い。
民間企業であったら、会計監査で会計士さんは適正意見、
付けられないのではと。
政府系機関でも、こんない酷いところ、他にないでしょう。先程、民営化した郵政事業、郵政観察はあるし、民間金融機関、宅配業者等との競争もあるし、まだまともですね。
各々が、各々の観点を披露しての議論、楽しかったです。また、こんな機会が欲しいですね。
しかし、社会保険庁(そして、自治労)、凄い組織です。CPA、CIA、CISAで集まって、この組織の内部統制について実態調査をすると面白いかも。
0 件のコメント:
コメントを投稿