新たなリスク管理の展開(4)〜 内部統制、ISMS,BCM で求められるリスク管理 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

新たなリスク管理の展開(4)〜 内部統制、ISMS,BCM で求められるリスク管理

特集 特集

これまでのコラムで挙げた米国企業の動きをみるまでもなく、日本においても「情報セキュリティ管理(ISMS)」「個人情報保護法」「日本版SOX法」「新会社法」「事業継続管理(BCM)」等々、あらゆる場面においてリスク管理と一体となった内部統制が求められています。

さらに電子化等に伴う規制緩和が進むに従い、企業や組織の自己責任範囲の拡大や社会、経済状況の変動等によるリスクが多様化する中で、企業競争力を高めるためにもリスク管理が重要になってきています。

●1.リスク管理が求められる背景
リスク管理は、古くて新しい問題として、今日新たに注目されています。その背景はさまざまですが、昨今では株主、顧客、従業員、取引先等のステークホルダ(利害関係者)に対する責任や社会に対する責任(CSR)の重要性が増し、内部統制と一体となったリスク管理が強く求められています。

企業を取り巻くリスクが顕在化し、企業に損害が生じた場合の企業価値に与える影響も大きくなってきています。一度何らかのリスクが顕在化して、株価の下落に直面すると、その回復が容易ではありません。某調査では、フォーチュン1,000社のうち10%程度の企業が1か月で25%以上の株価下落に見舞われた経験を持つようです。そうした企業を取り巻くリスクは以下のように分類できます。

・オペレーショナルリスク:製品・サービスの不具合、法的・倫理上の問題(不正取引、知的財産権侵害等)、環境問題の発生、労務人事問題

・戦略リスク:ビジネス戦略(新規事業、企業買収等)、市場・マーケティング戦略、人事制度、経済社会情勢、メディア(マスコミ対応)、

・ハザードリスク:自然災害、事故・故障、情報システム(誤作動等)

・財務リスク:資産運用(不良債権、株価・地価変動等)、決済(金利・為替変動、回収不能問題等)、流動性(資金繰破綻等)

●2.あらゆる側面で求められるリスク管理
(1)日本版SOX法(金融商品取引法)
現在SOX法(サーバンスオックスレー法:米国企業改革法)が世界的にも注目されており、日本でも日本版SOX法として上場企業に内部統制の有効で効果的な構築と運用が求められています。日本版SOX法は通称で、証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当します。

日本版SOX法が求めている内部統制の目的としては、「業務活動の有効性」「財務報告の信頼性」「関連法規制の遵守」「資産の保全」を挙げています。それぞれ固有の目的ですが、互いに独立したものではなく、密接に関連しています。金融商品取引法では、財務報告の信頼性を目的として、有効な内部統制を求めています。しかしながら、財務報告は、組織の業務全体と密接不可分の関係にありますから、目的相互間の関連性を理解した上で内部統制を構築し運用することが望まれます。

そうした内部統制を構成する基本的要素は、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」からなり、この6つの基本的要素がすべて適切に整備および運用されることが重要で、内部統制の有効性を判断する際の評価基準となるものです。

「リスクの評価と対応」では、財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされることとして、

・重要な虚偽記載が発生する可能性のあるリスクの識別、分析

・リスクを低減する全社的な内部統制及び業務プロセスに係わる内部統制の設定

等のリスク管理が、必須の管理項目になっています。

特にSOX法では、第三者の監査を可能にしておく必要がありますので、リスク分析やその対応等について文書化(可視化)しておく必要があります。

SOX法が求める内部統制の基本的要素である「ITの対応」では、内部統制にITを利用する観点と、IT自身の統制の観点からITを捉えられます。特にIT自身の統制では、情報セキュリティに関してISMS(Information security Management System)が適用できます。

その他ITに関しては、内部統制全体を対象としたもので、COBITがフレームワークとして制定されています。また、ソフトウエアの品質に関しては、CMMI(Capability Maturity Model Integration),ITの運用に関してはITIL(Information Technology Infrastructure Library)等各観点からリスク管理が求められています。

【執筆:東京大学 情報セキュリティコミュニティ 副代表 林 誠一郎】

【参考文献】
「企業リスクとIT統制」(2007年 アスキー刊)

【関連URL】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/
新たなリスク管理の展開(1)
https://www.netsecurity.ne.jp/7_9737.html
新たなリスク管理の展開(2)
https://www.netsecurity.ne.jp/7_10044.html
新たなリスク管理の展開(3)
https://www.netsecurity.ne.jp/7_10089.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×