EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
EY Digital Trustのコラムシリーズ第4回は、ISO。
組織の競争力を高め、社会的信用を獲得するための国際共通規格であるISOの中でも、AI活用のリスク対策にフォーカスして解説します。
本稿では前後編の2部構成で、前編はDX時代のガバナンスの変化から整理します。
要点
- DXの進展により、クラウド利用や外部委託、データ連携といった要素が増え、リスクはサプライチェーン全体で捉える必要性が高まっている。
- ステークホルダーからの確認は「形式(規程の有無)」から「実効性(運用されているか)」へとシフトし、管理部門(リスク管理・内部統制)には整備・運用を支える役割がこれまで以上に求められている。
- 自社の取組みを対外的に説明する際には「自社基準」だけでは限界があり、ISOは“認証取得のため”ではなく“判断や統制を整理し、説明に耐える形で示すための共通言語”として機能し得る。
1. DX時代のサプライチェーンリスク ― 問われる管理と説明責任
Q:DXの進展は、企業におけるリスク管理の在り方にどのような影響を与えているのでしょうか?
DXの進展に伴い、企業活動においては、クラウドサービスの利用や外部委託、サプライチェーン上でのデータ連携など、社外の要素を前提とした業務・システム構成が増えています。
このような環境では、委託先や取引先における統制の不備、サイバーインシデント、業務停止といった事象が、結果として自社の事業継続や信用に直接影響し得るリスクとして顕在化しています。
このとき、外部サービスを利用する企業には、リスクの存在そのものよりも、リスクをどのように把握・管理しているかを説明できる状態が求められます。従来は、クラウドサービスを利用している事実の説明で十分であったかもしれませんが、近年では、なぜ該当の業務にそのクラウドサービスを選択したのか、対象ベンダーの管理方法はどのように行っているかなど、意思決定や運用の背景を含めた確認が求められるようになってきています。
同じサプライチェーン上にいても、受託会社と委託会社では、該当業務の管理態勢を説明する上で必要な情報は異なります。
具体的には、
- 利用者側(委託会社)は、外部サービスを利用する際、受託会社の管理状況を把握し、その内容を説明できる状態が求められます。
- 提供者側(受託会社)は、自社の統制や運用状況を整理し、委託会社からの照会に耐えられる状態にしておく必要があります。
受託会社にとっては、委託会社の要求は個社で異なることが想定されます。一方の委託会社としても、受託会社による説明が必ずしも自社の要求に整合しないことも想定されます。ステークホルダーが増えるにつれ、各社の要求事項が多種多様に広がり、確認すべき観点は一層多様化することが起こり得ます。
その結果、受託会社、委託会社とも、独自の判断で対応する回答では、多くのステークホルダーの要求にこたえられなくなる事態も起き得るため、組織として、多様な要求に対応できる判断軸や、しっかりとした管理の枠組みをあらかじめ整理しておくことの重要性が高まっています。
2. 外部リスクを前提とした内部統制
Q:企業の管理部門(リスク管理・内部統制)は、実務上どこに難しさを感じやすいのでしょうか?
現場の声を踏まえると、難しさは大きく2つに集約されます。
1つは、規制・ガイドライン・取引先要請などの要求事項が並立し、全体像を把握した上で「どこまで対応すべきか」を判断しづらくなっている点です。もう1つは、限られたリソースの中で、業務実態に即した形で統制を整備・運用し続けることの難しさです。
各ステークホルダー(規制当局、取引先、顧客など)の要請に応じて、異なる評価基準や確認観点に対応することになった結果、管理部門では個別対応が積み上がりやすくなります。
その結果、全体が見えにくくなったり、判断が属人化したり、過不足のある統制が混在しやすくなります。このような状態は、事業として安定的な運営や対外的な信頼確保の観点からも、また管理部門が継続的に統制を設計・運用していく上でも、望ましいものとは言えません。
Q:こうした状況下、企業の管理部門は何を意識すべきでしょうか?
企業の管理部門にとって、形式的なルール整備だけでは不十分で、「そのルールは形骸化していないか」「チェックリストは今の運用と本当に合っているのか」といった“実効性”が問われる場面が増えていることは前章でもお話しました。
重要なのは、統制を「整備」「運用」「示し方(対外説明)」として分断せず、一貫した考え方で整理することです。規制や事象ごとの個別最適には限界があり、組織としての統制方針や判断の考え方を明確にした上で、「統制がある」だけではなく「機能している」ことを示せる状態にしておく必要があります。
3. 内部統制に必要な「客観性」としてのISO
Q:統制が機能していることを示すために、企業の管理部門に求められることは何でしょうか?
内部統制は、本来、企業が自律的に設計・運用するものです。しかし、サプライチェーンが複雑化し、関係者が増えるほど、「自社基準」だけで対外的な照会に答えきることは難しくなります。
そこで重要になるのが、自社の判断や統制を、ステークホルダーに対して共通の物差しで説明できる状態をつくることです。
こうした文脈の中で、社内外に説明可能な形で整理するための枠組みとして多くの企業が活用してきたのがこうした文脈の中で、社内外に説明可能な形で整理するための枠組みとして多くの企業が活用してきたのが国際標準化機構(ISO:International Organization for Standardization)です。です。
ISOは単なるチェックリストやルール集ではなく、組織として、
- どのようなリスクを認識し
- どのように統制を設計し
- それを運用・見直し・改善し続けているのか
を、マネジメントシステムとして整理し、第三者の視点で確認できる枠組みです。
そのため、ISOを活用することで、「自社ではこのような考え方で内部統制を整備し、継続的に運用しています」という説明を、担当者個人の言葉ではなく、国際的に通用する共通言語で行うことが可能になります。
ISOで定められた国際規格は必ずしもグローバル企業だけに当てはまるのではなく、共通の物差しとすることで、社内整理の担保となり、「何をするべきか」を整理する指針にもなります。
AIマネジメントシステム規格 ISO/IEC 42001:2023に関連するサービス
AI(人工知能)を安全かつ責任ある形で活用するためのAIマネジメントシステム規格 ISO/IEC 42001:2023について、ISO認証機関を持つEYがサポートします。
【共同執筆者】
牛丸 晋一郎
EY新日本有限責任監査法人 Technology Risk事業部 シニアマネージャー
EY新日本有限責任監査法人 Technology Risk事業部に所属し、IT関連のアシュアランス業務およびリスクアドバイザリー業務に従事。専門分野は、ISOに係る認証/アドバイザリー業務やSOC保証業務など。EYのグローバルネットワークを活用し、ISO27000シリーズに加えて、近年ではISO42001関連サービスも提供している。審査員としての認証業務だけでなく、認証取得支援のアドバイザリーも得意とする。
サマリー
DX時代のガバナンスでは、「内部統制を整えている」ことだけでなく、「説明できる状態にある」ことが重要になっています。ISOは、ステークホルダーからの照会に対し、判断の背景や統制の考え方を説明できる状態を支える共通言語として、改めて意味を持ち始めています。後編では、代表的なISO27001、42001の特徴や違い、さらに関連性のあるSOCやISMAPも含めて詳しく解説していきます。
関連記事
DX時代、なぜ「ISO」がガバナンスの選択肢として再注目されているのか(後編)
EY Digital Trustのコラムシリーズ第4回は、ISO。組織の競争力を高め、社会的信用を獲得するための国際共通規格であるISOの中でも、AI活用のリスク対策にフォーカスして解説します。
EYの関連サービス
-
ISOマネジメントシステム認証、導入支援およびトレーニング業務は、ISO規格およびその他の確立された認証の枠組みに従って、マネジメントシステムの導入支援および認証業務を提供します。
続きを読む