Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

【Web版】『Risk Management』24年7月号
2024-07-16

Risk Management

【Web特別版】

7月号

2024年7月-8月号Web特別版
INDEX

組織はなぜレジリエンスを測定する必要があるのか

ニール・ホッジ[*]


 過去数年の出来事は、企業が強靭であることがいかに重要であるかを示している。パンデミックによる業務の混乱と全般的な経済の混乱、ロシアのウクライナ侵攻、イスラエル・ハマス戦争、西側諸国と中国との緊張の高まり、エネルギー不安、気候変動による自然災害の頻度の増加などから、組織が緊急時対応計画と事業継続を優先する必要性を浮き彫りにしている。

 しかし、組織がレジリエンスを重視していることと、レジリエンスを高めるために実際に策を講じていることの間には、ミスマッチがあるかもしれない。スカンジナビア航空の上級幹部を対象とした最近の調査では、「レジリエンスのギャップ」が明らかになった。97%の幹部がレジリエンスが重要だと答えたが、自社をレジリエンスがあると認識しているのはわずか47%だった。調査対象企業の4分の1だけしか「非常にレジリエンスがある」と評価されていない。

 同時に、規制当局、投資家、その他の利害関係者からの圧力も高まっており、企業はそのレジリエンスを向上させるためにどのような措置をとっているかを開示し、グローバルな課題や地域的な課題にもかかわらず、商品やサービスを提供し続けることができるという保証を提供するように求められている。そのため、リスクの専門家は、リスクに直面したときの組織のレジリエンスのレベルを評価し、報告するための最良の方法を決定する必要がある。これには、自らのストーリーを最も効果的に伝え、事業が直面する可能性のあるリスクに備えていることを構成員に保証できる測定基準を特定することも含まれる。

レジリエンス報告の価値

 レジリエンスの測定と報告には、世界的に認められた自主基準が数多くある。例えば、ISO 22301:2019は事業継続マネジメントシステムのセキュリティとレジリエンスに関するものであり、ISO 27001:2017は情報のレジリエンスに関するものであり、ISO 22316:2017は組織の規模や種類を問わず、組織のレジリエンスを高めるためのガイダンスを提供している。さらに、米国国立標準技術研究所(NIST)は、組織がサイバーセキュリティリスクを管理・低減し、ITのレジリエンスを向上させるのに役立つフレームワークを開発し、組織内および外部の利害関係者とのサイバーセキュリティに関する効果的なコミュニケーションを促進している。

 同様に、トレッドウェイ委員会の支援組織委員会が提供するCOSOフレームワークは、内部統制を評価し、財務報告の整合性を確保することによって、業務上のレジリエンスを実証するのに役立つ。金融機関については、金融安定理事会(FSB)の「業務上のレジリエンスに関するガイドライン」が、特に、金融サービス企業が、厳しい状況下で重要な機能を維持することに焦点を当てることにより、深刻なぎ業務上の混乱に耐え、レジリエンス能力を高めることを目的としている。

 これらは出発点としては有用であるが、専門家は、このような標準は全体的に使用が限定される可能性があると警告している。ソフトウェア会社フュージョン・リスクマネジメントのレジリエンス・イノベーション担当取締役ステーブ・リチャードソンは「業界標準による正式な認証は、レジリエンスを100%の保証を保証するものではない」と述べた。

 しかし、レジリエンス対策に関するより良く、より深い情報開示は依然として重要である。「レジリエンス態勢に関する報告は、組織が予期せぬ混乱に対処する準備を整え、重要な製品やサービスの提供に関する主要なリスクと脆弱性を特定し、改善計画を実行しているという点で、顧客や利害関係者の信頼を守るための組織の継続的な投資を広める機会です」とリチャードソンは述べた。

また、レジリエンスでの取り組みの進捗状況の報告は、顧客体験を改善するための業務効率の変化を特定するだけでなく、新しい市場や地域にいかに迅速に拡大できるかなど、価値創造の機会を浮き彫りにすることもできると付け加えた。

 「現在および将来の顧客は、レジリエンスやリスク軽減策に関して、プロバイダーにますます期待している」とリチャードソンは述べた。「そのため、プロバイダーに対しは、リスクとレジリエンス能力に関して、顧客からの精査と注意がますます高まっている。正式な報告は、顧客が競合他社のアプローチやリスクとレジリエンスへの投資を評価するので、市場での差別化の機会を生み出すことができる。その結果、組織は、リスクとレジリエンスの管理に関する説明と信頼性を強化するために、進化するベストプラクティスとの整合性を確保するために、プログラムを一貫して見直す必要があります。」

 ビジネスデータ会社ダン&ブラッドストリートの第三者リスクおよびコンプライアンス戦略担当取締役であるスチュアート・スウィンデルは、リスクを公に報告することは「規制に準拠し業務に対する潜在的な脅威を軽減する、強固で健全なビジネスエコシステムを作り出すための不可欠な部分である」と同意した。しかし、レジリエンスに関する報告は、多くの企業がISO標準または同様のガイダンスを遵守するとしても、現在、短期、中期、長期的に組織が直面するレジリエンスまたは個々のリスクについて報告する必要がほとんどないため、バラバラなものになっていると、彼は述べた。

 とはいえ、この状況は徐々に変化しつつある。「ESGのリスクと検討事項の報告は、多くの国々で急速に正式なプロセスになりつつあり、将来的には他のレジリエンス・ベースの報告基準への道を開くかもしれない」と述べた。「しかしながら、これらの基準はISO 規格とは異なる可能性がある。ISO 規格は二者択一で、あなたのビジネスが準拠しているか否かの、どちらかを示すものだからです。」

 スウィンデルは、基本的に、すべての企業は、政府機関によって義務が課されているかどうかにかかわらず、リスクとそれに対するレジリエンスについて報告するよう努めるべきだと信じている。「自社の事業のリスクを包括的に理解することで、レジリエンスのある事業環境を作り出すことができます。また、計画されていなかったリスクも必然的に発生しますが、ベストプラクティスを導入し、データに基づきビジネスを理解することで、予期せぬリスクもいくらか軽減されるでしょう」と述べている。

 「結局のところ、うまく運営されている企業は引き続きうまく運営され、報告基準やその他の基準が変更されるかどうかにかかわらず、良いレベルのガバナンスを維持し続けるでしょう」とスウィンデルは述べた。「しかし、苦戦している企業にとっては、データの所在地を把握し、サプライチェーンを包括的に一覧できるようにすることは非常に肝要なことになります。これは、既存のISO規格を遵守し、最終的には自らのレジリエンスを理解する上で大いに役立つでしょう」と述べた。

レジリエンスを効果的に測定する

 一部の専門家は、業界標準は企業のレジリエンスレベルの「本当の」見方を提供するのではなく、単にコンプライアンスを意味しているだけかもしれないと考えているため、組織は代わりに他のさまざまな具体的な測定基準を使用すべきだと考えている。

 主任市場アナリストであり、ビジネスコンサルタント会社グローモニターのオーナーであるバッセム・モスターファは、企業はそのレジリエンスを測定・報告する方法として、事業継続をいかにうまく管理するかについてますます注目していると述べた。たとえば、組織は目標復旧時間(RTO)と復旧時点目標(RPO)を追跡している。それらは、それぞれが業務の再開にかかった時間と、事業中断中に許容されるデータ損失の量を測定する。また、定期的にストレステスト・シミュレーションを実施し、さまざまな危機シナリオの下でどのように行動するかを評価し、脆弱性や改善すべき分野を特定する。

 モスターファは、リスクの専門家は、組織のレジリエンス活動において「極めて重要な役割」を果たすことができると述べた。なぜなら、リスクの専門家は、事業の継続性と事業復旧を確保するためにどのような資源が必要か、計画をどのようにテストし、評価し、更新すべきか、そしてその結果得られた戦略をどのように実行に移すべきかを特定する上で中心的な役割を果たすからである。しかも、リスクの専門家は、企業文化にレジリエンスを統合するプロセスの中心となる。なぜなら、組織全体にレジリエンスに関する意識を高め、すべてのレベルの従業員がレジリエンスの維持と強化における自分の役割を理解できるようにする役割を担っていることが多いからである。

 「レジリエンスに関する報告において、リスクマネージャーは貴重な洞察とデータを提供してくれます」とモスターファは言う。「多くの場合、彼らはレジリエンス指標の編集と分析のプロセスを主導し、報告が包括的、正確で、組織の真のレジリエンスの状態を反映していることを確認しています。また、レジリエンス戦略の継続的なモニタリングと改善にも関与していいます。新たな展開、ベストプラクティス、進化する脅威に常に遅れをとらず、必要に応じて組織のレジリエンスへのアプローチを調整します」と述べている。

 また、企業の財務指標がレジリエンスの良い指標になると考える専門家もいる。米国に本拠を置く専門サービス会社ランニング・ポイント・キャピタル・アドバイザーズのパートナー兼投資担当取締役、マイケル・アシュリー・シュルマンは「負債比率やキャッシュフローなどの業界標準は有用です」と述べた。「しかし、絶対的な基準だけでなく、業界の同業者や規範との相対的な関係も見なければならなりません。一部の産業、特にキャッシュフローが良好な産業は、負債水準が高くなる傾向にあります」と指摘した。

 シュルマンによれば、利害関係者が検討すべき重要な測定基準のいくつかとしては、健全な財務構造を示し、困難な時期でも柔軟性を高めることができる低負債株主資本比率、または短期債務を満たし、将来の成長に投資する能力を反映する強力で一貫したプラスのキャッシュフローである。小売業やホスピタリティ業などのセクターの企業は、すでに流動性ポジション、手元資金、負債構造に関する報告を増やしており、これは金融の安定性を重視する傾向が強まっていることを反映している。

 彼は、業務上のレジリエンスを理解することは、「どの場所のどの企業にとっても、障害発生時および障害発生後の業務の維持が極めて重要である」のと同じくらい重要であると付け加えた。業務上のレジリエンスは、いくつかの方法で測定できる。すなわち、障害から復旧するのにかかる時間を追跡すること、障害発生時に稼働し続ける重要なシステムの割合、一定期間中に発生した障害の数である。また、研究開発費やイノベーションへの投資によっても測定できる。なぜなら、こうした支出は、競争力を維持し、変化する市場の需要に適応する企業のコミットメントを示すものだからである。

 しかし、シュルマンは、過去の破壊的または破滅的なイベントから教訓を探ることによって将来のリスクを評価することに対して警告を発した。「企業は『100年に1度』の気象現象に対するレジリエンスを主張するかもしれませんが、リスクを分析する場合、気温、風、雨、洪水のパターンを変える地球規模での気候変動の時代には、そのような歴史的な視点は価値がないかもしれません」と彼は述べた。「何か意味のあるものを得るためには、企業の柔軟性、冗長性、頑健性をより深く掘り下げて、業務上および財務上のレジリエンスを理解する必要があります。リスクの一般的な標準偏差グラフには笑ってしまいます。きちんとした標準偏差に当てはまらない状況的・制度的リスクは数え切れないほど考えられます。何も問題ないか、それとも何かが激変するかのどちらかです。」

 英国のリーガル・サービス・ウェブサイト「インジュアリー・クレイムズ」のオーナーであるニコラス・テイトも、業務上の指標を通じてレジリエンスをアピールすることが効果的な方法だと考えている。適応性、拡張可能性、効率性に焦点を当てることで、市場の変化に対応して機軸を変更する企業の能力を際立たせることができる。また、サプライチェーンの柔軟性、新製品やサービスの市場投入までの時間、変化する顧客の需要に迅速に適応する能力などの指標は、不測の事態に直面したときの企業のレジリエンスを際立たせることができる。

 従業員の満足度と定着率も重要な測定基準である。意欲的で安定した労働力は、企業が課題を乗り越え、長期的な成功を持続する能力に大きく貢献する。業界によっては、ある測定基準を他の測定基準よりも優先させる場合もある。例えば、ハイテク分野では、デジタルセキュリティとデータの完全性を重視することが重要であり、製造業などの分野ではサプライチェーンのレジリエンスが優先されるかもしれない。「これらの指標を一貫して監視し、改善することで、企業は持続的成長のためのレジリエンスと能力の具体的な証拠を提供することができます」とテイトは言う。

 ウェルネス関連のオンライン出版物『ヘルス・カナル』の創設者でCEOのエリック・ファムによると、企業が非金融分野でのレジリエンスを報告しようとする際に検討すべき3つの重要な指標があるという。1)人材の維持と成長に関する指標、2)サプライチェーン管理に関する指標、3)環境リスクに対するレジリエンスに関する指標の3つである。

 ファムによると、従業員の定着率が高く、人材の成長に重点を置いていることは、前向きで力強く、レジリエンスのある職場であることを示しているため、企業は決められた期間にわたって会社にとどまる従業員の割合を測定する必要があるという。また、継続的な学習へのコミットメントは、熟練した適応力のある労働力に貢献するため、従業員開発プログラムや研修での取り組みへの投資を追跡することを推奨した。また、後継者計画は、リーダーシップの交代に対応できる態度を示すとともに、予期せぬリーダーシップの交代時に円滑な交代を実現するための方策を示すため、より積極的に開示すべきである。

 レジリエンスがあり効率的なサプライチェーンを維持することは、組織にとっても重要であり、企業はサプライヤー間の集中度/多様化のレベルを評価し、その詳細を提供すべきであり、また、迅速なサプライチェーンは需要と供給の変動に適応できるため、在庫管理の効率性と再入荷に必要なリードタイムを測定すべきである、とファムは述べた。

 最後に、環境レジリエンスは、「気候変動や持続可能性の懸念を含む、環境上の課題に直面したときに適応し、繁栄する企業の能力を包含する」ものである。このようなレジリエンスを測定することに関して、関連する測定基準には、エネルギー効率のよい事業慣行、持続可能な調達、責任ある廃棄物管理を通じて企業の二酸化炭素排出量を削減するための取り組みを追跡すること、ISO 14001やその他の業界特有の基準などの認証を通じて、環境の持続可能性に対する組織のコミットメントを評価すること、進化する環境規制やベストプラクティスに適応し、準拠し続ける企業の能力を測定することが含まれる。

企業存続の問題

 企業がより優れたレジリエンス・リスク管理に投資すべきことは明白かもしれないが、レジリエンスの評価と測定方法に関するより優れた情報開示も同様に説得力があると考える専門家もいる。利害関係者や規制当局は、取引先企業が深刻なショックに耐えられること、そして迅速かつ完全に復旧し、事業運営するための計画があることに対して、より確かな保証を求めている。また、経営状態のよい企業は生存率が高い傾向にあるため、さまざまな指標を用いたより良い、より深い情報開示が長期的には競争優位性をもたらすと考える者もいる。

 「レジリエンスとは、何かが中断する可能性だけではなく、変化や侵入に応じてシステムが自己修復するダイナミックな能力も意味します」とシュルマンは言う。「レジリエンスのある企業は、困難な時期をいっそう強力に乗り切り、顧客や地域社会との信頼関係を強化すべきです。」

トピックス
業務中断、危機管理、災害対策、災害復旧、新興リスク、全社的リスクマネジメント、規制、戦略的リスクマネジメント



注意事項:本翻訳は“Why Organizations Need to Measure Resilience ”, Risk Management Site  (https://www.rmmagazine.com/articles/article/2024/07/09/why-organizations-need-to-measure-resilience ) July 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ニール・ホッジはイギリス在住のフリージャーナリスト。

SECの排出情報開示規則は新たな課題を生み出す

ジョン・ハインツ[*]


 米国証券取引委員会(SEC)は3月、気候関連情報の開示に関する最終規則を発表した。この規則は、上場企業が気候リスクを開示し、温室効果ガス排出量を報告することを義務付けた。さまざまな法的課題がある中で4月に規則の実施が一時中断されたが、他の管轄区域がそのような開示を要求するため、企業はまだ行動を起こす必要があるかもしれない。

 実際、企業は、昨年10月に可決され現在も保留されているカリフォルニア州の2つの法律や、来年からの排出量の報告を義務付ける欧州連合の規則など、排出関連の報告要件に関する拘束網がますます複雑になっている。これら3つのルールはいずれも、温室効果ガスの直接排出量(スコープ1)と、電気、蒸気、熱、冷房の購入と使用に伴う排出量(スコープ2)を報告することを企業に義務付けている。カリフォルニア州とEUの規則では、企業の顧客と世界中のサプライチェーン参加者が生み出す「バリューチェーン」排出量というスコープ3報告も求めている。SECは、最初の提案にスコープ3の報告を盛り込んだが、最終規則ではこの要件を省略した。

 カリフォルニア州の法律では、スコープ1とスコープ2の報告は2026年に、スコープ3の報告は2027年に義務付けられているが、SECの要件は技術的には2026年の初めに始まる。SECの要求事項は重要だが、大部分は多くの企業がすでにやっていることを成文化しているに過ぎない。登録者に対する要求事項には、事業戦略、業務または財務状況に重大な影響を与えたか、または与える可能性があるリスク、ならびに気候関連リスクを軽減するための措置、およびそれらの措置のコストを開示することが含まれる。

 登録者はまた、取締役会による気候関連リスクの監視、およびそれらのリスクの評価と管理における経営者の役割を開示しなければならない。さらに、厳しい気象や山火事などの自然事象から生じる資産計上された費用、支出、料金および損失、ならびに大幅なカーボンオフセットおよび再生可能エネルギークレジットに関連する損失を開示しなければならない。

利害を理解する

 主要な規制が保留になっていると、企業はコンプライアンスの取り組みを遅らせたくなるかもしれない。しかし、それは単に避けられない事態を遅らせているだけかもしれないし、単に現在述べられている期限がまだ適用されるかもしれないからというだけではない。オービタス・クライメイト・アドバイザーズの気候関連リスク担当取締役ナイアム・マッカーシーによると、ブラジル、インド、日本を他の多くの国々、そしてニューヨーク、イリノイ、ワシントンなどの州が、気候関連金融規制を推し進めているか、採用している。「市場リーダーは、気候関連の財務情報の開示が急増していることを、今後の動向を示す指標として見ている」と述べた。

 カリフォルニア州やEUで物理的に事業を行っていない企業でも、スコープ3報告の準備を緊急に行う必要がないと考えているかもしれないが、再考すべきかもしれない。例えば、カリフォルニア州の法律は、収入が10億ドル以上の公営企業と民間企業に対し、GHG排出量の報告義務を遵守するよう義務付けている。収入が5億ドル以上の企業は、気候関連リスクとそのリスクを軽減するための対策を州と企業のウェブサイトの両方に報告することが義務付けられる。

 ピルズベリー・ロウ事務所パートナー、マイケル・マクドノーは、同社がカリフォルニア州で事業を行っている場合にこの要件が適用されると言う。同州は、税法に沿って「カリフォルニア州内で金銭的利益を目的とした取引を行うこと」を意味すると解釈している。

 こうした結果、カリフォルニア州に物理的な拠点を持たない企業も、依然としてこの要件の対象となる可能性がある。マクドノーは「バリューチェーンの一部がそこにある場合、州はそれらを対象としているとみなすことができる」と述べた。「収益が5億ドル以上の企業は、顧客が自社製品を買って家に持ち帰るなど、カリフォルニアでの取引に何らかの金銭的利害関係を持っている可能性が高い。」

報告要件を追跡する

 スコープ1とスコープ2の排出量に関する企業の報告要件は、SECとカリフォルニア州の規制で、同じ国際的な温室効果ガス算定基準を使用することを要求しているため、実質的な違いはないかもしれない。EUの企業サステナビリティ報告指令(CSRD:Corporate Sustainability Reporting Directive)は、米国と同様の報告要件を定めており、スコープ3の報告も含まれている。CSRDの対象となるEUの大企業の第1波は2025年に開示を求めていて、非EUの大企業の義務は2026年に始まり、EUの収益が1億5000万ユーロを超える小規模な非EU企業は2029年から順守する必要がある。

 たとえSECとカリフォルニア州に対するスコープ1とスコープ2の排出量の開示が結果的に似通ったものになったとしても、企業は規制がいつ最終決定され、発効するか、規制間に差異があるかどうかなど、規制の進展を追跡しなければならない。マクドノーによると、開示制度の間には行政上の違いがあると思われる。重要な違いの1つは、SECが「重要な」排出量を報告することを要求しているのに対し、カリフォルニア州では、企業が重要とみなすか否かにかかわらず、スコープ1、2、3のすべての温室効果ガス排出量を報告することを要求していることである。「企業はおそらくカリフォルニアのデータから始め、SECに向けた報告範囲を縮小するかもしれない」とマクドノーは述べた。

 欧州で顕著な事業を行っている米国企業は、CSRDを出発点とすることを望むかもしれない。なぜなら、これらの規制は最終的であり、スコープ1、2、3の要求事項を含んでいるからである。カリフォルニア州の報告要件もEUの規則と類似している。

スコープ3のリスクを評価する

 SECはスコープ3の排出量の報告を最終規制から除外したが、企業は依然として、スコープ3の温室効果ガス排出がビジネスにとってどれほど重大なリスクや機会となり得るかを理解し、評価する必要がある。デロイト・アンド・トウシュのサステナビリティとESGサービスを率いる監査・保証パートナー、クリステン・サリバンは、SECは、投資家の開示を導くために利用可能な情報の総合的な組み合わせを含む、より伝統的な「重要性に関する最高裁判所の定義」を強調してきたと述べた。一方、カリフォルニアの目的は、気候関連のリスクに関する透明性を促進することである。

 その結果、カリフォルニアやEUの規則に従ってスコープ3の排出量の開示を提供する企業は、SECの開示の重要性を判断する際に、より広範な開示を検討する必要がある。

 「SECは基本的に、もしあなたの会社が他の場所でESGの開示を行うのであれば、投資家の期待に応えるために、定量的または定性的な観点から重要性を評価する際に、この情報を検討すべきだと言っているのである」とサリバンは述べた。「スコープ3の排出はSECからは要求されていないが、組織はSECの提出書類に何を記載すべきか、あるいは記載すべきでないかを決定するために、より包括的な分析が必要となるだろう。」

 スコープ3の排出については、大企業は、より小規模で資源の乏しいバリューチェーンの顧客やサプライヤーの排出量の算定に頼らざるを得ないことが多い。したがって、CSRD規則は、財務諸表作成者がスコープ3の排出量報告を省略できる3年間の猶予期間を設け、代わりに、なぜそれを省略したのか、そしてそれを得るための努力を開示することができるようにしている。

 マクドノーは、カリフォルニア州排出法は、事業者に対し、業界平均や代理データなどの一次・二次データ源の使用に関するガイダンスを含め、GHG議定書で定められた報告基準に従うよう求めていると述べた。また、最終規制でスコープ3の推計値を知らせるための追加情報も認める可能性がある。さらに彼は、カリフォルニア州の法律は、基本的にすべての温室効果ガス排出が「重要」であり、公表する価値があると仮定しているが、SECの規制は重要性の決定を会社に任せており、どのような状況でも何が重要かを定義するのは難しいかもしれないと付け加えた。

 より厳格な基準は、企業により詳細な開示を要求しているため、SECは連邦政府の開示をカリフォルニア州に対する開示と比較し、なぜその情報をSECの財務諸表に記載しなかったのかと尋ねるリスクを増大させる。マクドノーは「たとえSECの基準がおそらく開示レベルの詳細を要求していないとしても、カリフォルニア州の要求は、おそらく多くの上場企業をSECに対する開示のより高い基準に引きずり込むことになるだろう」と述べた。

トピックス
気候変動、環境リスク、ESG、規制、リスク評価



注意事項:本翻訳は“ SEC Emissions Disclosure Rule Creates New Challenges”, Risk Management Site  (https://www.rmmagazine.com/articles/article/2024/07/12/sec-emissions-disclosure-rule-creates-new-challenges ) July 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョン・ハインツは、ニュージャージー州を拠点とするフリーライター。

次の10年間のトップビジネスリスク

マット・ムーア[*]


 次の10年間は、サイバー技術やデジタル技術のリスク、労働期待の変化、地政学的緊張の高まりが企業の環境を形作っていくだろう。こうした課題に効果的に対処するためには、経営陣と取締役会全体がリスクのプロフェッショナルにならなければならない。先見の明のあるグローバル企業は、リスクマネジメントの責任を孤立させてはならない。経営陣は、リスクに関する独自の視点を、今後数ヶ月、数年間に待ち受ける可能性のある脅威に関するより広範な議論に持ち込むべきである。

 プロティビティが毎年実施している「トップリスクに関する経営陣の視点」調査では、さまざまな業界の組織の取締役や経営幹部1,100人以上を対象に調査を行い、企業が現在直面しているトップリスクと10年先に見込まれるトップリスクを以下のとおり特定した:

2024年のトップリスク
  1. インフレ圧力を含む経済状況
  2. 優秀な人材を惹きつけ、育成し、保持する能力。労働力の期待の変化を管理する能力。後継者の課題に対処する能力
  3. サイバー脅威
  4. 第三者リスク
  5. 高まる、規制変更と精査
2034年のトップリスク
  1. サイバー脅威
  2. 優秀な人材を惹きつけ、育成し、保持する能力。労働力の期待の変化を管理する能力。後継者の課題に対処する能力
  3. 供給が不足する新しいスキルを必要とする、デジタル技術の採用
  4. 新技術や新興技術、その他の市場要因によって可能になる破壊的イノベーションのスピード
  5. 高まる、規制変更と精査

 これらのリスクは複雑に絡み合っており、リーダーには包括的なリスク戦略を通じて、それらに対処することが求められる。2024年と2034年のトップリスクに基づくと、サイバーリスク、経済、人材は、すべてリーダーの関心を動かす主要なテーマとして浮上していて、同時に対処する必要がある。

市場の不確実性

 経営幹部は、現在の経済状況と10年後に起こりうるコストとを比較検討し、企業のレジリエンスを高める慎重な選択をすることが重要であり、それが今後数年間の成功の基礎となる。

 中央銀行の政策、政府による大規模な景気刺激策、西側諸国による中国に向けたディ・リスキング、地域紛争など、地政学的状況の進展が、市場の不確実性を高めている。トップリスクとして記録されたわけではないが、地政学的なイベントは、リスクの展望全体に大きな波及効果をもたらしている。2023年10月7日のハマスのイスラエル攻撃以前には、2024年において「重大な影響」と評価されたリスク問題はなかった。攻撃後に集められた回答では、リスクが高まった。サイバー脅威、第三者リスク、経済状況、人材を惹きつけ、保持する能力などの4つのリスクが「重大な影響」レベルと評価され、これらのリスクが相互に関連していることを示している。

 経済の不確実性が続くと、政府や様々な機関が規制措置を通じて市場機能に干渉する可能性が高まるため、業界特有で広範囲にわたる規制状況の変化の可能性と規模については不確実性が存在する。リーダーは、信頼できる予測能力を構築して正確なシナリオを作成し、組織が将来のあらゆるビジネス状況に備え、レジリエンスを備えていることを確認する必要がある。

サイバー脅威の加速化

 サイバーセキュリティは、複雑なサイバーリスク環境の影響に対する認識の高まりを反映して、昨年トップ5に入らなかったものの、短期的にも長期的にもトップリスクに躍り出た。

 今後10年間で、人工知能などの技術や量子コンピューティングの出現が予測され、組織がデータを保護する方法が変わり、セキュリティに関する重大な問題が提起されるだろう。多くの組織が、業務上の目標や市場進出の目標を達成するために、アウトソーシングや共同ソーシングの取り決めへの依存度を高めている。組織は、これらの外部委託契約と第三者パートナーが、企業データと顧客データが安全であることを確認するために、現行の法律と規制を遵守していることを確認する必要がある。

 サイバーセキュリティの世界では、地政学的な緊張がより大きな役割を果たしており、この傾向は今後さらに高まる可能性が高い。競合する国益、国民国家の領土的願望、グローバルなテロリズムは、特定の地域や国におけるサイバーリスク評価に影響を与えうる強力な力である。

 将来を見通す先行指標と統合的な分析を導入する組織は、サイバー脅威の特定と防御に積極的に取り組む傾向がある。

人材に関するリスクを管理する

 トップ人材を惹きつけ、育成し、保持し、労働力の期待の変化に対処し、後継者の課題に対処する能力は、2034年の第2位のリスクに反映されているように、ビジネスリーダーにとって長期的な課題となるだろう。これは過去2回の調査で強調されてきた傾向を引き継いでいる。

 新しい技術を取り入れるためのイニシアティブは、従業員のスキル再構築およびスキルアップの必要性を促し、現在および将来の双方の課題を提示する。人工知能が仕事に取って代わるのではないかという懸念はあるものの、技術は仕事を合理化し、人々をより戦略的かつ有意義な活動に解放する機会を提供するため、人材関連のリスクに対処する上で重要な役割を果たすことは明らかである。

 長年にわたる人材問題にもかかわらず、企業は長期的な人材ソリューションの規範をまだ解き明かしておらず、人に関連するリスクは今後10年間続くだろう。

今後10年間のリスク

 興味深いことに、調査結果は比較的安定したリスク状況を示している。今後10年間のトップリスクを検討してみると、調査回答者の5つのリスクのうち4つは昨年のレポートと同じだった。しかし、今後10年間にリスクレベルは上昇し、組織のリスクプロフィールが、急速に、時には予期を超えて出現する可能性のあるイベントやリスクに敏感であることが確認され、今後さらに破壊的な時代が到来する可能性が強調されている。

 このようなダイナミックなリスク環境とリスクレベルの上昇は、われわれが今後、破壊の10年間に直面する可能性があることを意味する。今日、そして将来、リーダーには、ビジネスを円滑に運営し続けるために、複数の外部リスクを効果的に管理することが期待される。そのためには、経営陣や取締役会は、さまざまな戦略面や業務面での懸念に迅速に対応し、変化のスピードに追いつく必要がある。

トピックス
サイバー、経済、新興リスク、規制、リスクマネジメント



注意事項:本翻訳は“Top Business Risks for the Next Decade ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/07/18/top-business-risks-for-the-next-decade ) July 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
マット・ムーアはプロティビティ社最高経営責任者、兼リスク・コンプライアンス実務担当のグローバルリーダー。

DORA遵守フレームワークを確立する

ジャグ・ランバ[*]


 欧州議会は2022年にデジタル・オペレーション・レジリエンス法(DORA)を制定し、サイバー攻撃やその他の重大な混乱に直面しても金融業界が継続して機能することを保証するために、金融サービスプロバイダーに強固な運用手順、方針、サイバーセキュリティ能力、および管理を実施するよう促した。契約管理、インシデント対応と報告、デューデリジェンス、事業継続計画において、新たな広範な義務が課せられる。

 2025年1月17日以降、欧州連合内で業務または顧客を持つ金融サービスプロバイダーは、特定の基準を満たす場合、DORA要件に準拠する必要がある。支払機関または電子マネー機関の支払取引で1,200億ユーロ(約1,300億ドル)(または電子マネーの残高総額で400億ユーロ)、保険および再保険機関の総保険料で5億ユーロ(5億4000万ドル)、または取引プラットフォームで最大の全国市場シェアまたは欧州レベルで5%のいずれかに当たる、企業が対象となる。

 各EU加盟国は、DORA違反に対する制裁措置を独自に決定するが、金銭的な罰則は、企業の世界的な1日平均収入の1%という高額になる可能性があり、刑事罰も含まれる可能性がある。

 DORAが影響を与える主体のリストは、銀行やクレジットカード会社からクラウドファンディング・プラットフォームまで多岐にわたるが、特に金融機関だけにとどまらない。DORAはまた、金融サービス組織にサービスを提供する第三者情報通信技術(ICT)ベンダーなどのサポートプレーヤーでの強化も目指している。

DORA遵守を達成すための要件

 DORAによれば、金融機関はデジタルリスクを迅速に発見し、軽減するために、「健全で、包括的で、十分に文書化されたICTリスクマネジメント・フレームワーク」を持たなければならない。また、第三者リスクの軽減に関して、今後数カ月間に企業が標準レベルに達することを保証しなければならない6つの重要な分野がある。

デューデリジェンス: 過去および現在のすべてのベンダーの業務上のレジリエンス、セキュリティ慣行、規制順守を慎重に評価するための手順が整備されていなければならない。このデューデリジェンスは、新規ベンダーと契約を結ぶ前に実施し、ベンダーが業務上のレジリエンスの指定された基準を超えていることを確認するために、監視と定期的なレビューを継続する必要がある。

契約管理: DORAは、ICTベンダーとの契約には、明確な役割と責任、事故報告への期待、明確な監査権限、業務上のレジリエンスに関する義務付けられた教育訓練があることを規定している。契約書には、ベンダーがレジリエンスを確保して運営できることを保証するために、容認できる下請契約であることも明記すべきである。

ベンダー登録: 法律の報告要件の一環として、金融会社は、契約上の義務の規模やその他の関連詳細に関する詳細とともに、契約下にあるすべてのベンダーを網羅する最新の登録簿に継続的に更新しなければならない。企業は、必要であれば、これらの登録簿を規制当局に提出することができるようにするべきである。

インシデント報告: 組織は、第三者ベンダーが関与する重大な破壊的インシデントを速やかに関係当局に報告しなければならない。また、これらのベンダーは、このような事故から生じる規制当局の調査に対する支援も求められる。これが、DORAを遵守する際、監査権が契約管理上の重要な部分である理由の一つであり、顧客データを侵害した可能性のあるインシデントをすべてベンダーが報告することを義務付ける条項も同様である。

テスト: 企業は、DORAのもとで第三者のリスクマネジメント手順を頻繁にテストしなければならない。災害シナリオや日常的な混乱を想定したシミュレーションは、金融サービス組織のレジリエンスを維持するための内部統制とプロセスの有効性を確認するために重要である。リスクプログラムの正式な監査も必要になるかもしれない。

事業継続計画: ベンダーが失敗した場合、DORAは事業者が事業継続計画を持つことを要求する。これには、すでに評価済みまたはすでに契約中の代替的ベンダーが含まれ、彼らが障害または危機に陥ったベンダーに代わって介入することができる。

DORA要件を満たすための手順

 1月が近づき、金融サービス組織がDORAを遵守するための条項を実施するための窓口が縮小するにつれ、企業は以下の重要なステップに取り組む必要がある。

DORA遵守の責任者を決定する。  DORAがサイバーセキュリティやその他の種類のリスクマネジメントに重点を置いているため、企業は小規模で多様なチームを結集してDORAの遵守に取り組む必要があるかもしれない。ITセキュリティ、調達、第三者リスク、データプライバシー、情報セキュリティなど、複数の分野にまたがる執行役員たちは、自らの洞察をチームに提供する必要があり、組織がすべての遵守義務を満たしていることを確認するために、一人の個人が彼らを監督する必要がある。

部門に分散した情報を統合する。 サイバーセキュリティデータ、契約データ、ベンダー情報などは、すべてデューデリジェンスの一環であり、効果的な業務上のレジリエンス計画では、データを集約して利用できるようにする必要がある。重要な情報を見つけるには、データマッピング能力が必要であり、また、分析や報告を目的とした文書化のために、そのようなデータを統合する能力も必要である。

ストレステストを採用する。 DORAは、脅威に基づく侵入テストとして知られる、中核的ITシステムのストレステストのために特定のフレームワークを組織が設置することを規定している。このようなテストは、大規模なサイバー攻撃に耐える技術的および組織的な専門知識を実証するものでなければならない。DORAは、このテストを少なくとも3年に1回、また外部のプロバイダーによって実施することを要求している。社内でテストするときには、規制当局の承認を受けなければならない。

監査対応システムを整備する。 金融会社は規制当局に対してDORA準拠の証拠を提供する必要があり、そのためにベンダーも同様の能力を持つことが求められる。ベンダーは、企業が報告書作成またはインシデント・レビューの目的で要求するときにはいつでも、監査証跡を提供し、関連データへの迅速なアクセスを提供する必要がある。このようなデータは、簡単にアクセスできるように、一箇所の場所に保存するのが理想的である。

監査の必要性を予測する。 日常的な報告やインシデント関連で使用するためには、ベンダーから特定の情報を収集することが不可欠であることから、金融機関は現在の契約を慎重に見直す必要がある。監査権条項は、すべての新規契約に含まれるものであるべきであり、当該条項のない契約は、速やかに修正されるべきである。また、顧客データを危険にさらす可能性のあるインシデントが発生した場合には、指定された時間枠内に、ベンダーが組織に警告を通知することを要求する文言を含めると役に立つ。

トピックス
サイバー、経済、新興リスク、規制、リスクマネジメント



注意事項:本翻訳は“Establishing a DORA Compliance Framework ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/07/25/establishing-a-dora-compliance-framework ) July 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジャグ・ランバはセルタ社創設者兼CEO。

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。