QUNIE

TOPICS

2019.07.16

雑談感覚で始める実践的リスクマネジメント「インシデントリスク アドバイザリー」

組織の不正・不祥事から発生するインシデントは、会計不正やデータ改ざんなど広く認識されているものに加えて、SNSの“炎上”など予測不能な事案が急増し、インシデントリスクは日常業務の中に遍在しているといっても過言ではありません。また、インシデントが引き起こすレピュテーションの毀損は、事業そのものを揺るがす深刻な事態につながることもあります。
クニエでは、長年にわたる企業不正調査の実績、実際に発生した不正や不祥事の実例から得た知見を活かし、「インシデントリスク アドバイザリー」を提供しています。
実践的かつ効果的なインシデントリスクへの対策について、QUNIE リスクマネジメント エキスパート 泉 修二が、お話しします。

たとえば、自社がカルテルに加担していることをどうしたら知り得ると思いますか?

これは私が勉強会やセミナーでお話しする際によく使う例題です。カルテルを自社のリスクと認識し、対応策を定めている企業があります。規定やルールを策定し従業員教育を行えばそれでリスクマネジメントは十分と考える企業が多いのですが、そもそも、自社がカルテルに加担しているという事実を、どのようなルートでどのように知ると思いますか?そして、加担している事実を知った後、まずどのような対応が必要かご存知ですか?この問いに対して、私が考える及第点の答えを返せる方は多くはありません。

インシデントは発生させないことが最も重要ですが、残念ながら不正行為は100%防止できるものではありません。ですので、起こってしまうことを想定した有事対応の事前準備が、抑止対策と同様に重要なのです。

 

何かしらの不正がオンゴーイングで行なわれていて、それがいつインシデントとして顕在化するかは全く予想できない

私は、担当するCRO(チーフ リスクマネジメント オフィサー)サポートにおいて、インシデントを「企業活動に負の影響を与える事件・事故・不祥事の総称」と定義しており、その大きな原因となるのが、不正行為です。

不正行為には様々な種類があり、またその規模も大小がありますが、どれだけ経営資源を投入して対策を講じても、これらの不正行為を完全に防止することは不可能です。つまり、全ての組織で何かしらの不正がオンゴーイングで行なわれており、それがいつインシデントとして顕在化するかは全く予想ができない、そのように考えることが、リスクマネジメントの入口だと思っています。そのため、インシデント対策としては、①発生の抑止、②早期発見、③早期改善、のサイクルをクイックに回し、常に対策と準備をブラッシュアップし続ける必要があります。
もう一つ重要なのは、不正から派生するインシデントに関しては、全ての工程において不正行為に関するナレッジが求められるということです。ナレッジがあれば、“不正が行われる手口を想定”した対策が可能で、リスク対応の効率と的確さに大きな違いがでます。例えば①の発生の抑止として、コンプライアンス研修やe-learningなど従業員の意識を高める取り組みは多くの組織で実施していますが、それに加えて、不正の手口を想定した、ルール策定やシステム対応なども重要な要素となってきます。

 

リスクマネジメント導入の最大の秘訣は、いかに経営幹部の理解を得られるか、ということだと思っています

リスクマネジメントは、小さく始めて一つ一つ効果を確認しながら徐々に拡大するのが私のセオリーです。というのも私は、これまでに多くの企業のリスクマネジメント担当者とお話しする機会がありましたが、共通の難しさは、ネガティブな事態に対して高コストな準備を行うことのハードルの高さです。なので、最初から広範囲で大規模な対応を計画するのではなく、最もクリティカルな領域から小さくスタートすることを推奨しています。そして、日常業務では気づかなかった潜在的な課題やリスクを、その導入した手段で発見できるかどうかを検証するのです。
また、リスクマネジメントの名目で業務に支障が出るような厳しい制約を設けることも好ましくありません。業務とのバランスを鑑みて、いかに効果を実感できる対策を打つべきか。小さく始めて、効果を確認しながら大きく育てる、それが、重要なポイントです。
これらの点を踏まえ、経営幹部の皆様のご理解を得たうえで、効果的なリスクマネジメント手法を積極的に導入していただきたいです。

 

「メールデータって何年分ぐらい置いておけばいいんですか?」そんな質問をよく受けます

企業不正のデジタルフォレンジック調査を行う際、PCやメールサーバのデータを保全する工程で、情報システム部門の方から、かなり高い確率で受ける質問があります。それは、メールデータの保存期間に関するもので、「何年くらい保存するのが望ましいですか?他社はどれくらい保存していますか?」といった内容です。同じように、文書管理規定や情報セキュリティ基準など、社内の独自基準で作成されたものについて、第三者の意見を求められるケースもよくあります。

電子データや紙文書については、保存・運用の明確な目的や手段を定めておく必要があり、保存期間についても明確な根拠が必要です。仮にインシデントが発生し、フォレンジック調査やeDiscovery対応が必要になった際には、保存している全データが調査対象となる可能性もあります。つまり、根拠なく「とりあえず10年分取っておくか」と溜めておいた10年分のデータをすべて解析する羽目になり、莫大な作業負荷と費用が発生するリスクがあるということです。根拠なく制定された基準はリスクでしかありませんので、見直しをお勧めしています。また、組織によって保存データの目的や利用用途は異なるため、他社事例もあまり参考にはなりません。

 

インシデントリスク対応について、ちょっとした疑問を気軽に相談できる窓口があれば助かる、そんなニーズにこたえるサービスを提供しています

社内基準や規定に関しては、第三者から専門的な意見を聞く機会はほとんどなく、そこに潜在的なリスクがあってもなかなか気づかないという傾向があります。
過去に不正調査を実施した際、現場では様々な質問を多数いただき、それに答えながら調査を進める中で、企業の担当者がデータの保存方法や採用しているシステムの仕様などの新たなリスクを検出するケースも少なからずありました。
平時に敢えてプロジェクトとして大々的に取り組むほどでもないけれど、日常業務の中でちょっと専門家の意見を聞きたいということがあると思います。そのような要望に対して、我々が現場と実務で取得したナレッジを提供できる窓口があれば、そのサービスを通じて潜在的なリスクに気づいていただくチャンスを増やせるかもしれない、そんな思いで、「インシデントリスク アドバイザリー」を開始しました。
情報セキュリティ規定からPCの運用・管理に関するアドバイス、対外情報発信に関するセカンドオピニオンまで、幅広く要望を受け付け、当社コンサルタントがアドバイスを行います。インシデントリスクの専門家とのコミュニケーションの回数を増やし、潜在リスクの発見につなげて頂くことが目的です。規定やルールで不正抑止を実現するための留意点、ニュースなどで報道される他社不正事案を踏まえた注意点など、お客様の「ちょっと聞きたい」から始める軽微かつ実践的なリスクマネジメント手法として、まずはこのサービスを利用いただきたいと思っています。

インシデントリスク アドバイザリー(2019年7月提供開始)について
データ改ざんやSNS等の対外発信に起因するインシデントなど、企業や団体が日常業務の中で見落としがちな潜在リスクについて、eDiscovery(電子証拠開示)や企業不正調査を含むインシデント対応支援で多数の実績を持つコンサルタントが豊富な知見と経験に基づき第三者視点でアドバイスするものです。さまざまな角度からの知見を活用することで、コンプライアンス/リスクマネジメント部門だけでなく、情報システム、広報部門などが直面する多様な潜在リスクをより早く認識することができ、規定やルールの改善、不正抑止策の策定など、十分な備えをすることが可能になります。
ニュースリリース:「インシデントリスク アドバイザリー」提供開始

 

QUNIE CROサポートについて
企業はさまざまな不正・不祥事のインシデントリスクに直面している一方、これらインシデントはどんなに経営資源を投入しても発生を100%防止することは不可能です。また、インシデントは対応を誤るとメディアを介して広く世間に報じられ、レピュテーションを大きく毀損するクライシス化につながることから、企業におけるリスクマネジメントの重要性はますます高まっています。QUNIE CROサポートでは、インシデント、クライシス対応の豊富な経験を有したメンバーが、不正リスクの専門家としてインシデントの発生抑制、早期発見、クライシス化の防止まで、ワンストップで支援いたします。
Read more

ページ先頭へ戻る

CLOSE