オールハザード型BCPの導入は内部監査を変え、組織構造を変えていく(写真:Adobe stock)

大きな地震が発生するたび、経営者は会社の危機管理や BCP が確かなものなのかを担当者に確認し、備蓄の数量不足や BCP 訓練の遅延に神経を尖らせます。

通常、経営者はBCPのような経営管理項目の内容について毎年内部監査報告を受けているにも関わらず、地震発生のニュースを聞くたびに過敏に反応します。彼らのこうした行動を見聞きすると、内部監査は本当に意味を持っているのかと疑念が沸きます。

実際、多くの内部監査は「木を見て森を見ず」の形骸化が進行し、全体像がぼやけた局所的な指摘と改善によって流されていく、そんな状態ではないでしょうか。

近年、首都直下地震、南海トラフ地震、富士山噴火降灰など近い将来予想される連続災害に加え、サイバー攻撃による企業活動全体の停滞がクローズアップ。さらに企業は、地政学的リスクや複合的な危機、未知のリスクへの対応を余儀なくされています。

現在の内部監査は形骸化していないか(写真:Adobe stock)

ゆえに企業はサイバーセキュリティBCPやオールハザード型BCPの導入へ意識を向けますが、これらの新しいタイプのBCPも当然ながら内部監査を実施しなければなりません。しかしそこには、従来のBCP監査の考え方や手法が通用しない、まったく新たな監査指針が”内包”されていることをご存じでしょうか。

1.サイバーセキュリティBCPの内部監査

ここでは、国際標準になっているNIST(米国国立標準技術研究所)が策定した CSF 2.0(Cybersecurity Framework:サイバーセキュリティフレームワーク、以下CSF)をベースに、サイバーセキュリティをBCPに統合する手法を前提とします。

CSFでは「Core」「Tier」「Profile」という三つの構造により、サイバーセキュリティで要求されるさまざまな機能ごとに現在の立ち位置と目標の設定を行い、BCPとして災害対策本部運営の一部に組み込まれます。

ここで内部監査として注目する機能が「Tier」と「Profile」です。Tierは成熟度評価と呼ばれ、以下のような4段階で構成・定義されています。

【Tier1】Partial(部分的):サイバーリスクへの認識と対応が断片的、統制不十分

【Tier2】Risk-Informed(リスク志向):リスク認識はあるが一貫した管理策欠如

【Tier3】Repeatable(反復可能):経営主導のリスク管理策が定着、継続的見直し

【Tier4】Adaptive(適応的):脅威や教訓を反映した継続的改善、アジャイルな対応

この考え方においては、サイバーセキュリティで要求される130を超える業務機能単位で目標への達成度、現行の整備状況や成熟度を自ら理解するために、望ましい段階への進捗評価がサイバーセキュリティBCPの内部構造に組み入れられます。内部監査はこれらを利用することになるのです。

サイバーセキュリティBCPの内部監査とは(写真:Adobe stock)

従来の内部監査は「適合性」と「有効性」を焦点に当該年度で監査対象の枠組みが決められ、その範囲で監査が行われました。しかしこのサイバーセキュリティBCPの内部監査では、業務(Profile)全プロセスに対し網羅的に目標への進捗評価が継続し、成熟度(Tier)が加わります。

さらにサイバーセキュリティBCP訓練では、司令塔となるインシデント・コマンダーの能力判定として以下のようなKPIが設定され評価対象となります。

【訓練における目標設定(KPI)例】

①初期対応時間(ネットワーク遮断まで):目標30分以内

②情報共有精度(関係者への通知漏れ率):目標 0 %パーセント

③復旧時間(主要システム再稼働):目標24時間以内

④成熟度スコア:CSF2.0 Tier 3到達