リスクマネジメントの対象
その運営責任の一つとして、「リスクマネジメント」を行なうことが、企業及び組織の経営層に求められます。
「リスクマネジメント」の「リスク」とは、「企業の目標達成を阻む要因」です。
大規模な財務上の損失だけでなく、自然災害パンデミックなどの不可抗力で発生するもの、企業の運営に関わる内部組織の不正による信用の失墜、あるいは風評被害など、さまざまなものが想定されます。
最近では、ドイツのフォルクスワーゲンの排ガス規制対応の不正ソフト事件、東芝の不正会計処理の問題など、企業運営に甚大な損害を与える事件が後を絶ちません。
こういった内部不正も「リスクマネジメント」の対象です。
IT企業において想定されるビジネスリスク
災害リスク
- 自然災害
- パンデミック
- テロ等の外部からの攻撃
- 火災
事業環境リスク
- 社外からの風評被害
- 政府調達制度の変更
- 環境汚染による損害
- 金融市場変動リスク
- 諸外国の情勢管理
戦略リスク
- 人材確保の困難さ
- デリバティブ取引による経済的損失
- 企業の合併・分割
財務リスク
- 問題プロジェクト
- 回収不能債権による経済的損失
- 資金調達
事故・故障リスク
- システムサービス停止
- 社内システムトラブル
情報セキュリティリスク
- サイバー攻撃
- お客さま・社員情報等の漏えい
- 機密情報の持ち出し
- 協力会社社員による機密情報の持ち出し
- 情報の滅失
犯罪リスク
- 電磁的記録不正作出、供用
- 私的非違行為
- 現金・預金の着服・窃取
- 固定資産・備品の窃取
- 贈収賄
労務リスク
- 労働災害
- 長時間労働にかかる法令違反等
- 社員のメンタル不調
- 差別行為
- 各種ハラスメント行為
- 給与支払いの不正
- 社員の不祥事
- 社員の疾病
- モラル(良識) ・モラール(士気)の低下
事業運営上のリスク
- 営業契約における規定違反に起因する損失
- 購買契約における規定違反に起因する損失
- プロジェクトに関する不適切な会計処理
- 知的財産権の侵害
- 不適切な委託行為
- 技術輸出に関する法令違反
- 建設業法違反
- 派遣業法違反
- 補助金適正化法違反
- 売上の計上時期の操作
- 架空取引、循環取引
- 資産・負債の不正な計上
- 開示すべき重要な情報の隠蔽(いんぺい)
- 経費の不正申請
- 委託先からの請求書の偽造
- 会社に不利益な取引の実行
- キックバック
- 談合、不当廉売
- 顧客、委託先との癒着
- 反社会的勢力への利益供与
- インサイダー取引/株価操縦
リスクの重要度
「リスクマネジメント」とは企業や組織を取り巻く「リスク」の中で、自社の事業目標達成の阻害要因を、発生する頻度や影響度を含めて想定し、防止策を諾ずるとともに、発生した場合の影響を極力抑える「危機管理」策の策定・実施を意味します。
社会や事業環境の変化に伴い、「リスク」の要度も変化します。
「リスクマネジメント」の中で、最近もっとも重要性が高いと認識されている「リスク」の一つが「情報漏えい」です。
IT化が進展し、企業が扱う情報量が飛躍的に大きくなったことが原因といえるでしょう。
現代における情報セキュリティは、企業の「リスクマネジメント」の最重要課題です。
SOX法対応
内部統制の一環としての、SOX法対応があります。
SOX法では、企業の財務会計に関わる、業務プロセスの適正化、ITシステムの構築、運用、管理に関わる適正な対応が求められています。
「業務プロセスが適正であるか?」という点だけではなく、これを扱うITシステムのアクセス権の設定、管理、扱われる情報や処理のログ管理などに対する策も必要になります。
これらは情報セキュリテイ対策の一環とみることもできます。
ディザスタリカバリー
自然災害やパンデミックなどの対策の環としての、ディザスタリカバリー(disaster recovery:災害などの被害を最小限に食い止めるための予防措置、また災害から復旧させるための回復措置)対応があります。
日常的な業務の中で発生するデータのバックアップを定期的に取得・保管しておくものです。
外部からのサイバー攻撃などで情報システムのデータベースが破壊された場合に、迅速な復旧を行うために役立てることができます。
情報セキュリティはそれ単独で考えるというよりも、「リスクマネジメント」の一環として対応していくことが必要になっていきます。