コラム‐GRC/ARCA Viewpoint 英国における重要サードパーティに係る規制動向の紹介
日本の金融機関がオペレーショナルレジリエンスに係る態勢構築を検討する上で参考となる、英国のCritical Third Party規制について解説します。
新型コロナウイルス感染症(COVID-19)の非財務リスク管理への影響
2020-06-09
今回の新型コロナウイルス感染症(COVID-19)の感染拡大は、ビジネス、政府および地域社会に大きな課題をもたらしており、企業の従業員や、顧客、サプライヤーを含む多くのビジネスステークホルダーや、規制当局などその他のステークホルダーが何カ月にもわたって影響を受ける可能性が高くなっています。
企業がこのような状況に対応する中で、新たな非財務リスクが発生しており、また、既存リスクも変化し続けています。
加えて、非財務リスクに対する統制環境、統制手法についても、このような状況下では従来から大きく変化する可能性があります。
本コラムでは、COVID-19への対応の中で顕在化が考えられる主な非財務リスクの内容、および統制環境・統制手段の変化の方向性についてまとめます(内容の詳細や各リスク等への具体的対応、PwCのサポートなどは、記事末尾の参考資料をご参照ください)。
COVID-19対応の中で顕在化が考えられる非財務リスク
企業がCOVID-19対応を行う中で、以下のような非財務リスクの顕在化が考えられます。
1.オペレーショナルレジリエンスに係るリスク
オペレーショナルレジリエンスとは、リスク事象が生じた場合にも企業が提供するサービスを継続できる、もしくは速やかに回復することができる能力のことを指します。
オペレーショナルレジリエンスの考え方によれば、COVID-19への対応が求められる中でも、顧客や社会に対して重要なサービスを提供し続けられるかが課題になります。
この観点からは、オペレーショナルレジリエンスに係るリスクとして、以下のようなものが考えられます。
- BCP管理に関するリスク
- サイバーセキュリティリスク
- サードパーティリスク
- サプライチェーンに関するリスク
- キーパーソンリスク
- チェンジマネジメントリスク
各リスクの内容や求められる具体的対応については記事末尾の資料に詳述していますが、上述のようなリスクが同時に顕在化している状況下では、リスクの影響を適切に評価し、重要なリスクに優先的に対応するために、サイロ型の管理ではなく、「重要ビジネス・サービスの維持」の観点から統合的にリスク評価、管理を行う仕組みが必要になります。
2.顧客保護に係るリスク
顧客においても、COVID-19の影響によって財務状況等が悪化していると考えられる中で、顧客が危機を乗り越えるために、企業が社会的責務を果たせるかが課題になります。
また、危機時においても、統制水準を落とさずに、顧客の利益を侵害するような不正行為を防止、検知できるかもポイントです。
この観点から、顧客保護に係るリスクとして、以下のようなものが考えられます。
- 顧客保護の観点からの不適切なビジネス判断に関するリスク
- 不正行為、金融犯罪リスク
- 顧客情報漏えいリスク
- 苦情対応に関するリスク
3.職場環境に係るリスク
緊急時の対応として従業員の働き方が変わる中で、従業員の安全や心身の健康と、企業が顧客に提供するサービスの維持とをどう両立させるか、また、リモートワークの長期化による統制環境の変化にどう適応するかが課題になります。
この観点から、職場環境に係るリスクとして、以下のようなものが考えられます。
- 労務管理リスク
- 各従業員の意思決定・判断に関するリスク(リスクカルチャー)
統制環境、統制手法の変化
企業がCOVID-19対応を行う中で、統制環境、統制手法について、以下のような変化が考えられます。
1.統制脆弱化の懸念
リモートワークによって業務プロセスが変更されることで、従来のコントロールが無効になる可能性があります。
また、従業員の行動が把握されにくくなったり、日常的なコミュニケーションが減ったりすることで、統制環境が弱まる可能性があります。
2.モニタリング進化の機会
リモートワークの普及により、業務プロセスのデジタル化が進み、さまざまなデータ(非構造化データ含む)の統合・蓄積が進むことが考えられます。このような状況下においては、データを活用したモニタリングが進化し、非財務リスクのモニタリングの重点を、従来のコントロールテストから、データを活用したサーベイランスに移す動きが加速すると考えられます。
3.コンプライアンス、リスク管理業務の新しい働き方への適応
コンプライアンス、リスク管理業務においても、新しい働き方に適応した統制手法を活用する必要があります。具体的な内容として、以下のようなものが考えられます。
- さまざまな通信技術、ファイル共有ツールやリモートアクセスの仕組みを活用したリスク管理業務
- データアナリティクスのケイパビリティを活用し、より高いリスクに重点を置いた、事業部門への洞察の提供
- 動画技術、可視化ツール、コラボレーションツールを活用したマネジメントへのレポーティング、その他ステークホルダーとのコミュニケーション
まとめと今後の展望
COVID-19対応の中では、上述したように、さまざまなリスクが顕在化するとともに、統制環境・統制手法も変化を強いられています。一方で、このような環境は、COVID-19後も含めていわばニューノーマルになっていくことも考えられます。したがって、リスク管理についても、このニューノーマルに合わせて統制方法を変更(デジタル化やリモート化など)するなど、最適化していくことが求められます。
加えて、今後しばらくの間は、危機時と平時を行き来することが考えられます。このような状況下においては、これまで単独かつ短期的な観点で策定されていたBCPのみに基づき対応するのではなく、重要なサービスの継続の観点から当該サービスを支える業務プロセスをEnd to Endで捉える(BCPやリスク管理をシームレスにつなぐ)、オペレーショナルレジリエンスの考え方が重要となります。
最新のコラム ‐ GRC/ARCA Viewpoint
18 results
Loading...
コラム‐GRC/ARCA Viewpoint オペレーショナルレジリエンスに関する欧米監督当局の期待事項の比較
オペレーショナルレジリエンスに関する米国・英国・バーゼル銀行監督委員会の視点を取りまとめています。
コラム‐GRC/ARCA Viewpoint コンダクトリスクに対する内部監査のアプローチ
金融庁が高い関心を寄せているコンダクトリスクの管理態勢について、管理に向けた内部監査の動向、アプローチ例、監査上の着眼点などの観点から解説します。
コラム‐GRC/ARCA Viewpoint インサイダースレットに企業はどう立ち向かうべきか―ゼロトラスト時代における内部不正の脅威と対策
組織内部者による組織への犯罪行為が多発しています。脅威の実態と、企業に求められる対策を紹介します。
Loading...
関連情報
20 results
Loading...
Digital Identity Forum 2025
PwC Japanグループは、2025年2月26日(水)に開催した本セミナーを、3月31日(月)よりオンデマンドで配信します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Digital Trust Insights 2025:CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める
PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
「サイバー攻撃被害に係る公表」に関する国内組織実態調査 第2回―インシデント検知から1週間以内に公表する企業は半数を超える―
PwC独自のインシデントデータベースをもとに国内組織のインシデント公表事例を分析し、傾向および組織への推奨事項をまとめました。前年調査よりも「今後の対応」を記載する組織が大幅に増え、政府ガイダンスの記載項目に即したインシデント公表の広がりが明らかになりました。
Loading...
