内部統制と事業継続計画

コラムカテゴリー:

いよいよ来年3月期の本決算から上場企業およびその連結子会社を対象に日本版SOX法が適用されます。SOX対応の一環としてIT全般統制を整備されている企業が多いと思います。今回はIT全般統制の中でも比較的整備が遅れていると思われる事業継続計画・管理について少し述べたいと思います。

一般に事業継続計画(BCP)、事業継続管理(BCM)と聞くと大地震や台風などの自然災害に対して行うもので、内部統制はあまり関係がないのではないかと思われる人が多いのではないでしょうか?しかしながら事業継続管理と内部統制は一体となって機能するものです。例えば、内部統制では情報セキュリティインシデントへの適切な対応が求められたり、システムの導入・変更の際も適切な手続きを経て行うよう求められています。これらの内部統制がしっかり行われないと情報漏えいやシステム障害が起きるおそれが出てきます。

(図を参照)

コンピュータシステムの発展のおかげで便利になった私たちの生活ですが、一度システムが障害を起こすとその影響は広範囲に及びます。そのような時に事業継続計画・管理がなされていると業務復旧までの時間が短くてすむとともに、ユーザー(顧客)への影響度も少なくなり企業の信頼性の向上につながります。

——————————————————–
近年起きたシステム障害の一例:
2008/9 新幹線がシステム障害により運転不能となり、約6万8千人に影響。
2008/9 国内航空会社システム障害により約400便が運休・遅延で7万人に影響。
2003/3 航空管制システム障害で全国の空港で120便が運休。
2002/4 巨大銀行発足に伴うシステム障害により復旧に1ヶ月以上要した。
——————————————————–

事業継続計画を立案する際、「大企業だから計画作成が難しい」「中小企業だから必要ない」というわけではありません。大企業であるならば、各部門ごとにまず計画を作成してみる、現在使用している規定類を見直し、事業継続に関する項目を最新のものにしておく等の準備が必要です。また、特に大きなシステムを使用していない中小企業であれば、取引先のシステムが止まった際、どのような対応が求められるのか等、最初から完全なものを作るのではなく、出来るところからまず事業継続計画を作成していきましょう。その後、企業全体としての一本化した計画にまとめていくのが効率的で現実的と考えます。

関連サービス

2008年10月01日 (水)

青山システムコンサルティング株式会社

田中純