2008/09/25企業リスクとIT統制 <第3回>
■第3回 企業リスクを考えるベースライン -ITとリスク
<ITのリスク>
企業は会社法、金融商品取引法、個人情報保護法、ISMS、事業継続管理、金融機関であれば金融庁の金融検査対応など、多面的に施策を実施しています。
ここで、各要請とITにおけるリスクの関係を整理すると以下のようになります。
*会社法では
会社経営の健全化を図るために、重要なリスクを管理する体制(内部統制システム)を構築することが要請されています。最近起きた企業を脅かす事故や不祥事は、ITに起因するものを多く見ることができます。
リスクとして想定される項目としては、データセンターからの大量の顧客情報漏えい、システム性能の読み間違いから、業務処理のオーバーフローによる一部業務の停止、システムの不具合による大量の誤発注の取消処理が不能などといったことが挙げられます。
*金融商品取引法(SOX法)では
財務報告に虚偽記載が行われないような内部統制を整備し評価することが要請されています。会社の財務諸表はITなしで作成することは、今や不可能になってきています。
リスクとして想定される項目としては、取引がITに不正に入力されることや取引が会計システムへ不適切にデータ連結されること、債権債務としての自動仕訳処理に誤謬が生じること、連結対象会社個々の単体の財務諸表を適切に統合(連結)できないこと、会計情報に不正にアクセスされ、情報を改ざんされるなどといったことが挙げられます。
*個人情報保護法では
個人情報の取り扱いに関する適切な作法、安全管理措置、苦情対応などを要請されており、ITを駆使しなければ保有する個人情報を適切に管理することは難しいと言えます。
リスクとして想定される項目としては、One To Oneマーケティングの行過ぎにより機微(センシティブ)な情報を保有してしまうこと、営業活用のために、大量な顧客情報や見込み客情報を集めたデータベースが漏洩すること、お客様対応窓口で、顧客取引情報を速やかに検索できず、苦情処理が追いつかないといったものが挙げられます。
*ISMSでは
ISMSでは、情報セキュリティマネジメントシステムという内部統制システムそのものの整備が規格化され、セキュリティに関する内部統制を整備し、運用することを要請しています。
リスクとして想定される項目としては、外回りの営業マンがPCを紛失し機密情報が漏洩すること、自宅PCで仕事を行い、ウィルス感染とウィニーにより、機密情報がネットに流れること、サーバーのハードディスクがクラッシュし、重要情報が滅失すること、インターネットから不正アクセスを受け、会社のネットワーク機能が停止することが挙げられます。
*事業継続管理BCM(Business Continuity Management)では
大規模災害や情報システムの大規模障害などにより、業務が停止する可能性に備えて、代替策による事業継続計画や災害からの回復計画をあらかじめ定めておくことを要請しています。BCM(Business Continuity Management)は内部統制そのものです。
リスクとして想定される項目としては、危機発生時に適切な初動対応が取れず、被害を拡大すること、代替手段が準備されておらず、長期間事業が停止すること、元の状態に戻すための災害回復計画が無く、元の状態に戻せない(事業復旧が不可能)こと、ITのバックアップセンターが無く、ITの復旧に長期間を要することが挙げられます。
<ITリスク、内部統制の関係>
ITには、施策を支えるインフラ、リスクを生む要因、リスクを防止する内部統制という3つの側面があります。
現状、企業が取り組む多面的な施策、例えば、会社法・金融商品取引法・ISMS・ITILなどはITなしで対応が不可欠でありながら、企業の存続をも脅かす、事業リスクを誘引する根本原因のひとつになることがあります。
よって、事業リスクを事前に予防し・事後速やかに発見し影響度合いを極小化するためにITを有効に機能させる必要性があります。
[ 特集Top ]
