各業務に従事する担当者が質問書に回答したり、ワークショップ形式で議論したりして、 業務にかかわるリスクの評価、コントロールの順守状況を評価する↓
企業組織全体として、その内部統制や情報セキュリティリスク、および
リスクに対するコントロール遵守の評価を求められる世の中となってきているためでもある
- 当該業務の特有のリスクを見つけやすい
- 評価を通じて自らが順守すべきコントロールを理解できる(教育の観点に効果あり)
一方で、
- 自己評価なので回答が甘くなる
- 業務に精通=客観的な評価が難しくなる
といったデメリットも発生する
最新コメント