ISMAPから考えるデジタルサプライチェーン管理
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
Connected Risk Engineを活用したリスク対応の高度化支援
新型コロナウイルス感染症(COVID-19)の拡大や地政学的な環境変化、気候変動、テクノロジーの進展などにより、企業を取り巻くリスクはこの数年で急激に増加しています。そのような中で、多くの企業がこれらの環境変化に対応し、リスクを踏まえた意思決定やモニタリングを通じた軌道修正を行えるよう、ガバナンスやリスク管理態勢の整備に取り組んでいます。
企業を取り巻く環境の変化
政治・規制環境
- デジタル庁の創設など、日本における国を挙げてのデジタル化推進
- 議論の進む経済安全保障法案
- グローバルレベルで強化されるプライバシー関連規制
経済環境
- 物価の上昇、円安の急激な進行
- 少子高齢化、労働人口の減少
- 本格化するESG投資
- COVID-19や災害などにより浮き彫りとなったサプライチェーンの脆弱性
社会環境
- リモートワークをはじめとするニューノーマルの定着
- ギグエコノミーや副業など、多様な働き方
- SNSの普及、影響力の拡大
テクノロジー動向
- クラウドやAIなど、エマージングテクノロジーの進展に伴うIT・デジタル依存度の高まり
- ITシステムの老朽化などによる企業の競争力低下(2025年の壁)
- サイバー攻撃の脅威
リスク対応における課題
リスクアセスメントを行い、対応すべきリスクを明確化したとしても、何をどこまで対応すればよいのか、判断が困難な場合があります。例えば、重大なリスクを明確化し、行うべき対応策が分かっていても、その対応策の正しさを判断できず、実行に移せないようなケースです。このように、企業はリスク対応計画がボトルネックとならないよう、リスクマネジメントを進める必要があります。
リスク対応にあたっては、リスクの重要度や残余リスク、リスク対応策の質的・量的な効果だけでなく、自社の成熟度や他社との比較に基づくベンチマークも重要になります。また、社内外に説明責任を果たせるよう、全社レベルやグループレベルなど、組織横断的に取り組んでいくことも必要となります。
PwCのアプローチ
PwCが提供するリスク管理に関するベンチマークプラットフォーム「Connected Risk Engine」を活用し、リスク対応における課題に対し、成熟度評価やベンチマーク調査を支援します。
Connected Risk Engine の主な機能
- ベンチマーク(国別、業種別、規模別など)の特定
- 各評価項目のスコアリング
- ダッシュボードの提供
- レポーティング・ビジュアライゼーション
- 過年度比較
- 評価結果の一元管理
画面イメージ
対応するフレームワーク(例)
- サイバーセキュリティ対策
- 内部監査の外部品質評価対応、内部品質評価強化
- サードパーティリスク管理(予定)
- コンダクトリスク管理(予定)
- クラウドリスク管理(予定)
※対応するフレームワークはその他にもあり、また順次拡大中です。
主な活用方法
Connected Risk Engineを活用することで、単にベンチマークを特定するだけでなく、グループ企業内の各エンティティの評価や、過年度との比較を行うことも可能です。
ベンチマーク調査の実施
対象となるリスク管理の状況について、国内外問わず、業種、規模に応じたベンチマーク調査を行い、自社として対応・改善すべき対象を検討。
過年度との比較
Connected Risk Engineを活用したアセスメントを年次で行うことで過年度からの改善箇所を把握し、次年度に向けた改善計画を策定。
グループ企業内のアセスメント
グループ会社や各拠点に対しアセスメントを行い、どこに改善機会があるかを把握。
最新情報
18 results
Loading...
サイバーセキュリティインシデント報告における重要性判断
SECは2023年12月発効の新たなサイバーセキュリティ開示規則により、「重要」と判断されたサイバーインシデントに関する特定の情報の開示を義務付けます。企業が検討すべき、かかる情報の収集から文書化、開示に至るプロセスや手順などについて解説します。
SECの新たなサイバーセキュリティ開示規則 透明性が問われる新たな時代における情報開示への対応
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。
注目が高まるAIと人権リスク―人権マネジメント担当者はどのようにしてAIによる人権リスクに向き合うべきか―
AIの利用が進むにつれて社会に及ぼす負の影響への懸念が増大し、AIの責任ある利用に対する規制当局や機関投資家等ステークホルダーからの要請が高まっています。本稿では、AIが抱えるリスクの取り扱いについて、企業の人権マネジメントの観点から検討します。
Loading...
リスク・アシュアランス部コラム
Loading...
企業価値向上に資するセキュリティガバナンスの実現に向けて ──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
価値創造のためのDX経営の要諦 デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
DXバリュードライバーの活用によるDX戦略の具体化──腹落ちしたDXを実現するために必要なデジタルガバナンスとは
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
Audit Management Officeの組成によるDX監査態勢の強化 ~DX監査を契機とした経営に資するリスクベース監査の実現に向けて~
内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。
Loading...
