経営課題と解決へのヒント

今知っておきたい、経営課題と解決へのヒント 課題8

9つの経営課題 一覧へ

事業継続・内部統制~「リスク管理」は企業の成長・事業継続に不可欠~

ビジネスに「絶対」「確実」はありません。市場環境の変化はもちろんのこと、自然災害のように突然襲いかかる災難、情報漏洩やコンプライアンス違反による信用低下など、様々なリスクが企業活動を取り巻いています。
どんなに経営力の高い企業でもリスクをゼロにすることは不可能。会社を存続させ従業員を守るためには、リスクといかに付き合っていくかについて、方針を立て体制をつくること..つまり「リスク管理」が必要です。
もし今、大地震が起こったら、会社は最小限の被害で素早く事業を再開できますか?それとも復旧が遅れ事業の存続に危険信号が点りますか?
「リスク管理」は経営活動の一環として取り組むべき課題なのです。

IT事業継続簡易診断 無料

1.基本の情報セキュリティ

情報を正しく扱い、不適切な人の手に渡らぬよう対策を取るなど情報資産の機密性を守ることは「情報セキュリティ」の基本要素です。
情報漏洩の原因は、不正アクセスやコンピュータウイルスといった外部からの脅威と、うっかりミスや不正持ち出しなど内部からの流失に分かれます。したがって、暗号化や不正アクセス防止策に代表されるシステム面、社内ルールの明確化や従業員の意識向上など人の面の双方から対策を進めていきます。これらを体系的に文書化したものが「セキュリティポリシー」ですが、ここで注意が必要です。
というのも、管理者側は万一への不安から厳密なルールを作りがち。せっかくのポリシーも形骸化し機能を果たせない恐れがあります。情報セキュリティは従業員が情報漏洩の当事者になることを防ぐ=従業員を守る約束事でもありますから、確実に遵守できる内容にします。ポリシーに合わせ社内手続きを見直すこともお勧めします。

もう1つは単発のITに頼りすぎないこと。例えば、情報の暗号化は社外に情報を送るときには有効ですが、暗号化されていない社内では管理が甘ければ簡単にプリントアウトして持ち出しが可能です。そのため、社内ルールや他のITとの組み合せで考える必要があります。

情報セキュリティのツボ
1.何を守るか
  • 情報(秘密情報、個人情報 等)
  • コンピュータ
  • 外部デバイス
  • 書類
2.何から守るのか
  • 外部からの不正アクセス
  • 従業員のミス
  • 従業員の不正持ち出し
  • コンピュータウイルス感染

上記による情報の漏洩 等

3.どうやって守るか(主な対策例)
  人で守る システムで守る
予防
  • 管理体制、ルールの明確化
  • 従業員の意識向上
  • アクセス権管理の強化
  • 委託先管理の強化
  • 監査の実施
  • 入退室管理
  • アクセス制限、認証
  • 暗号化
  • 不正アクセス防止
  • 外部デバイス使用制限
    (印刷を含む)
  • コンピュータウイルス対策
発見
拡大防止
復旧
  • 緊急対応計画の策定
  • ログ監視

2. 非常時の事業継続

パンデミックや大地震のような自然災害、果てはテロ事件など大きな危機が会社を襲った際に、(1)重要な業務をできるだけ中断させず、(2)中断があっても早急に復旧させる、つまり事業の可用性を高めることが事業継続(Business Continuity)です。さらに、事業継続を実現するための計画(Plan)をBCPと呼んでいます。
事業継続は従来の防災対策を基盤にし、経営の視点を入れて重要業務の洗い出しや復旧までの時間、復旧レベルの設定を行います。仮に事業を再開できても、取引先が求める許容時間より遅ければ仕事は他社に回り、事業撤退の事態になりかねません。復旧までのスピードは会社の存続に関わる重要事項なのです。
事業継続にはBCPの策定と訓練など、人や組織で行うべき取り組みと、システムを止めない・早期に復旧する仕組みが必要になります。サーバ停止は自社業務のみならずサプライチェーン内の取引先にも大きな影響を与えます。重要情報を守る各種IT対策や堅牢なデータセンターの活用などの対策も欠かせません。

また、パンデミック対策では6割未満の人員で数週間以上事業を継続することが前提とされ、在宅勤務を実現するテレビ会議システムやセキュアな通信インフラなど、システムによる災害対応力の向上に注目が集まっています。

事業継続のツボ
1.何を守るか
  • 情報(基幹業務 等)
  • 業務で使用するコンピュータ
  • 設備
  • 従業員
2.何から守るのか
  • 災害(地震、火災、風水害 等)
  • テロ
  • ITの障害、設備の故障
  • 事故
  • サイバーアタック
  • 感染症(パンデミック)

上記による業務の中断 等

3.どうやって守るか(主な対策例)
  人で守る システムで守る
予防
  • 事業継続計画の策定
  • 管理体制、ルールの明確化
  • 従業員の意識向上
  • 取引先・委託先管理の強化
  • 設備等の予防保守、定期点検
  • 予防接種
  • 冗長化(コンピュータ、ネットワーク、データ 等)
  • UPS、自家発電
  • コンピュータウイルス対策
  • 在宅勤務環境
  • データセンター利用
  • 免震・耐震装置
発見
拡大防止
復旧
  • 緊急対応計画の策定
  • 従業員の訓練
  • 保守契約
  • データバックアップ
  • 障害監視
  • 火災検知、消火設備

3.継続運用できる内部統制

内部統制は情報の「完全性」を保つための社内体制づくりを意味します。整備が不完全で、虚偽、遅延、改ざん等が発生すれば、情報の完全性を失います。情報の完全性とは、「情報が組織の意思・意図に沿って承認され、過不足なく正確に記録・処理されること」を表します。数年前、上場企業で有価証券報告書の虚偽記載が発覚し上場廃止になった事件は、社会に衝撃を与えました。
情報の多くはITを使って管理されていますので、まずはITを管理するプロセスにおいて誤りが発生するリスクを低減させ、情報の正しさを保ちます(IT全般の統制)。アクセス制限による改ざん防止やアクセスログ監視などは実施しておきたい対策です。
さらに、人的ミスの発生率を抑えるべく、ワークフローによる確実で効率的な承認体制の構築などシステムで自動化できる部分は置き換えます。

内部統制のツボ
1.何を守るか
  • 情報(財務情報、基幹業務 等)
  • コンピュータ
  • 外部デバイス
  • 書類
2.何から守るのか
  • 従業員のミス(誤入力、紛失 等)
  • 従業員の不正
  • コンピュータウイルス感染
  • 外部からの不正アクセス

上記による情報の改ざん、消失等

3.どうやって守るか(主な対策例)
  人で守る システムで守る
予防
  • 管理体制、ルールの明確化
  • 従業員の意識向上
  • アクセス権管理の強化
  • 委託先管理の強化
  • 監査の実施
  • 入退室管理
  • 基幹システムへの統制機能の追加
  • ワークフローの導入
  • アクセス制限、認証
  • 不正アクセス防止
  • コンピュータウイルス対策
発見
拡大防止
復旧
  • 監査の実施
  • ログ監視

「事業継続・内部統制」のためのポイントを分かりやすく解説!
経営課題解決に役立つ情報が満載!

「事業継続・内部統制」ヒント満載の小冊子を無料進呈!お気軽にお申し込みください!
IT事業の優先順位や効率的な継続方法を知りたいとお考えなら…まずはお気軽にお問い合わせください。 IT事業継続簡易診断 無料