コロナショックと事業継続リスク

コロナ影響で世界は激変

新型コロナは依然猛威を増しています。

国内でも感染経路が不明な感染者が増加し、日本医師会からは「緊急事態宣言」の必要性が言及されました。

20年度この大波乱と共に始まっています。業務・ライフスタイル・ワークスタイルが激変する中で、内部監査部門としてはどのようなリスクに注目すべきでしょうか。

パンデミックは大規模災害と類似している点も多いため、ここでは事業継続性の観点からリスクを検討してみました。

Risk1:運転資金の枯渇

新型コロナ影響により、観光・飲食・宿泊・交通・体験型娯楽など売上が大幅にダウンする企業が多くあります。

またインターネット系事業会社ではビジネス自体への比較的影響が軽微なようでも、取引先がこうした状況であれば広告出稿の停止や取引の縮小などの影響が発生します。市場や銀行からの資金調達も徐々に難しくなっています。手元の資金確保は重要な問題です。

政府が発表した支援策の中には、こうした資金繰りの対策として信用保証や融資など、各種の支援メニューを出しているので有効に活用することが必要になるでしょう。

【新型コロナウイルス感染症で影響を受ける事業者の皆様へ】

https://www.meti.go.jp/covid-19/pdf/pamphlet.pdf

Risk2: サプライチェーンの途絶

新型コロナ影響に伴い多くの企業や工場で、操業体制や業務体制が見直されています。事業の前提となる部品や製品・サービスに関する取引先からの供給が途絶えた場合、自社のサービス継続上の重大リスクとなります。

予め複数の調達ルートを確保していたり十分な在庫量があれば良いですが、そうでなければ現状の在庫を踏まえながら生産調整を行い、代替品の供給ルートを検討することになります。

とはいえ一部地域だけでなく世界規模の問題であるため、代替品の確保も容易ではないでしょうが迅速な検討が必要です。

Risk3: リモートアクセス環境の脆弱性

在宅勤務や外出の自粛が強く推奨され、企業はテレワークやリモートワークへの移行を迫られています。

多くの企業では通常らセキュリティ対策のため、VPN接続をした上で、認証基盤となるシステムで認証をされてから社内ネットワークへのアクセスされます。

企業によっては仮想デスクトップ(VDI)を採用し、VPN接続後にはVDI基盤を経由して社内システムにアクセスしアクセス元端末にはデータを保持しないという、よりセキュアな対策をしているところもあるでしょう。

しかし、こうしたリモートアクセスを社員の大半が行う想定で、VPNネットワーク機器やVDI基盤の負荷対策や設定のチューニングをしていた企業はないでしょう。アクセスがこれら機器に集中した場合、トラフィックを処理しきれずシステム利用ができなくなることが想定されます。

クラウドの活用などでトラフィック処理が可能なようにシステムを増強したり、負荷分散を行う等の対策に切り替えることが必要になるでしょう。クラウド事業者のサービスメニューを確認して対応してはいかがでしょうか。

Risk4: オンライン処理されない管理業務の停止

DX時代にあっても未だ電子化されない帳票類の取り扱い管理は少なくありません。例えば、経費精算でも申請自体はワークフローなどシステム上で実施しても最後に経費に関する帳票と一緒に請求書の原本を経理部に提出するなどがよく見られます。そしてこうした紙資料の取り扱いを前提にした業務フローを当該部門は確立しています。

また電子ドキュメント化できても、例えば契約書面については、原本は紙に印刷し社員を捺印する手続が一般的です。こうした際は社員がオフィスに出社して捺印を行う必要があります。この他稟議など決裁を捺印で行うケースも散見されます。また主要な意思決定を行う会議体をオンラインで行うことができない等の企業もあるでしょう。

PC端末の管理・キッティングやヘルプデスク等直接機器・媒体の管理を行う部門等もリモートでの対応が難しい業務の一つでしょう。

紙文書はOCR処理して電子化する、申請は全てシステム上で行う、会議はWeb会議を使用する等完全な在宅勤務体制を確立せさ、どうしても出社が必要な場合は許可・申請制で対応する等の措置が必要になります。

Risk5:対面系業務・サービス全体のサステナビリティ

現状では、直接人と対面することを前提とした業務そのものを見直すことに迫られています。

非常に広範囲に渡る領域で多種・多様な業務への影響がありますが、Risk4と同様オンライン上での対応を前提に業務のリストラクチャリングが求められます。　

下記は対面・接触業務の一例です。

クライアントに対してオフィス内で接客・接遇を行うコンサルティング、カスタマーサポート、サービス業務全般
外回り営業、渉外業務
システム機器の保守・管理業務（オンサイト業務全般）
セミナー、教育・研修業務
ヘルスケア業務（健康相談、マッサージ等）

最後に

急激に状況が変わり先行き不透明な環境が続きますが、情報収集を適時に行うこと、オンライン化を前提に柔軟な対応をとること、政府等の公的支援を活用すること等ポイントを押さえた適切なリスク対応を取ることが、この難局においては重要ではないでしょうか。

参考

新型コロナ影響下での内部監査

投稿者プロフィール

ネット企業の監査人ネット系事業会社内部監査室　室長

J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。

自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。

【保有資格】
・公認内部監査人（CIA）
・公認情報システム監査人（CISA）
・内部統制評価指導士（CCSA）
・公認情報セキュリティマネージャー（CISM）
・Certified Data Privacy Solutions Engineer（CDPSE）

【所属】
・日本内部監査協会会員
・ISACA東京支部会員