- カスタマーサポートセンターなど顧客との問い合わせ対応は個人情報が出てくるので、良くやっている口かな。
- 事業継続については、実質的な訓練が出来ていない。バックアップをとる意味が理解されていない。
- 24時間体制は凄いけど人に負担が掛かっているのだから、教育にしても業務固有のリスクへの配慮などの工夫がいる。
- リスクアセスメントはやや形骸化。脅威脆弱性を部署で拾えているか。結果の妥当性をみるために、統計情報での検証活動が無い。
- データセンターは、委託先に変わって説明してはいけない。委託先の説明を行きだす形のセッティングが必要。
- 共用エリアに名札をつけて設置しているのは頭かくして尻隠さずに近い。実際に他社のラックを見ても名前は全部伏せてある。
- 審査計画は破綻していない。殆ど1箇所だから。部署数も少ない。
- ホテルでクレームしてきたのは始めただ。決の穴の小さい男かも。違うところに泊まれば料金は違って当然。
- 鼻から、チームメンバーを信用しない態度では大物にはなれない。図体はでかいのに。
- コンサルのネガティブ情報を披露してきたのは有り難いが、スタンスが違うだろう。この男もあの馬鹿コンサルの力量を見抜けていないということだな。
- 3年間の振り返りで、日付の指摘が多いといっていたが、この男がそればっか見ていたということ。是正のフォローと効果確認も同様だが、もし繰り返しを問題にするなら、問題の本質に迫るコメントが必要。
- 途中段階の星取表にクレームしてきたが、網羅性の観点で、初日に目くじら立てないでよ。
- プレチェックリストが膨大すぎる。前の審査機関のチェックリストより酷いかもしれない。本当の審査にならないだろう。だから枝葉末節の指摘ばかりになるんだ。今回こちらで見つけた単純な指摘はとっくの昔に終わっている筈のもの。馬力と熱意はあるが、かなり空回り。
- 適用範囲を素直に広げなさい。
- 特に情報システムなどの基幹インフラ部門が入らなければPDCAが回り難いので形骸化しやすい。
- 現場でリスクアセスをやってもらう。
- マンネリ化の懸念払拭のために審査員を変更する。
- もっとゆったりと本質に迫ること。
- チェックリストはもっとラフに。星取表もこの人だけやたら細かい。
- 内部監査の指摘件数のカウント~トレンドに本質的な意味は無いことを知るべき。((こういう発想をやるから問題ないのがいいことになってやがて自滅していくんだ。その意味ではこの審査機関の審査全体に共通するスキームだから始末が悪い))
- 疑心暗鬼で仕事をしてはいけない。
- 更新審査でも、スキームまで手を付けるお客は皆無に等しい。
- 改善件数を競うスキームに組み替えないと駄目だ。内部監査で指摘をすると是正と効果確認と手番が増えて、嫌がる形になる。指摘が無いのが現場の本音として助かる形。これじゃ駄目だ。改善競争に変えるべきで、誰がどれだけ有効な(リスク値を下げる)を改善をしたか。こうなるとリスク値を一度上げてやらないといけない。環境変化を取り込むとリスク値は上がるから、リスクアセスも回り始める。
- 空回りするだけのシステムを大量生産している。
- 迎合的審査態度。