経営視点でBCPに3線モデルを適用せよ
第27回:非上場企業にも影響大のJ-SOX改訂
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
2023/12/14
企業を変えるBCP
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
本連載第25回でも取り上げた、上場企業における財務報告の信頼性の確保を目的とした内部統制報告制度の改訂。いわゆるJ-SOX制度の改訂が2024年度から適用されるにあたり、現在、上場企業の経営陣やリスク管理部門、内部監査部門が大騒ぎになっています。
逆説的に見ると、日本では超大企業においてさえもリスクマネジメントが形骸的で、資源の投入レベルが低く、災害やサイバー攻撃の発現に対して実質的な準備ができていないことに、ステークホルダーからの批判が相次いでいる。制度改訂にあたっての騒動は、そんな状況を反映してのことでしょう。
首都直下地震や南海トラフ地震という巨大災害リスクを眼前にしている今、J-SOX制度の改訂はBCPとしても検討すべきものです。そのため、制度改訂自体は上場企業に向けたものであっても、リスクマネジメントを行っている多くの非上場企業や中堅企業、金融やインフラ系組織にも大いに影響を与えることは間違いありません。
改訂内容において注目されるのは、全組織的なリスク管理体制の例として示された「3線モデル」というキーワードです。これは1線を現業部門、2線をリスク管理部門、3線を内部監査として、3つの構成で内部統制をガバナンスする考え方です。
非上場、上場に関わらず、多くの企業・組織の重要な経営管理項目であるBCPにおいて、この3線モデルをどのように反映させるかというテーマに、特にリスク管理を統制する立場の総務部門や危機管理部門は非常に悩ましく考えていると思われます。
実際、今までの企業BCPは統制部分(2線)に力点が偏り、危機管理の事務局(多くは総務部門)は対策本部の事務局を兼務し、BCPの中核を唯一担っていました。BCPの内部監査(3線)を実施していない企業では、この3線モデルは関係ないとスルーしてしまいがちな内部統制モデルです。
しかし、現在多くの企業・組織で課題としてあがっているBCPの「実効性」については、実際、1線(現業部門)のBCP力を鍛えてこなかったツケが回っているといわざるを得ません。もちろん内部監査(3線)を行っていない企業・組織では、経営陣が自社のBCPを監視してこなかったとみなされます。
本稿では、このような企業BCPを経営視点において根本から改善する3線モデルを、構築済みのBCPにどのように反映させるかについて、1線と3線それぞれへの向き合い方を解説します。
企業を変えるBCPの他の記事
おすすめ記事
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/12/05
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/12/03
パリ2024のテロ対策期間中の計画を阻止した点では成功
2024年最大のイベントだったパリオリンピック。ロシアのウクライナ侵略や激化する中東情勢など、世界的に不安定な時期での開催だった。パリ大会のテロ対策は成功だったのか、危機管理が専門で日本大学危機管理学部教授である福田充氏とともにパリオリンピックを振り返った。
2024/11/29
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方