経営から現場まで、中堅・中小企業が意識すべきガバナンス
情報漏えいや不正会計、食品偽装や検査不正等、企業の不祥事は昔から後を絶ちません。こうした事件が起きてしまう背景には様々な要因が絡んでいますが、「ガバナンス」不全がそのひとつであることは間違いないでしょう。
大企業は上場企業が多く、法令や証券取引所の規則で厳格なガバナンスが求められている一方で、非上場の中堅・中小企業にはそうしたルールがありません。そのため、自分たちには関係ないと軽視したり、必要性は理解していてもコスト優先で後回しになりがちです。
そもそもガバナンスとは?
ガバナンスは、一言でいえば企業経営を健全に行うためのしくみです。代表的な具体例としては、内部不正を防ぐチェック体制の整備や、従業員のコンプライアンス意識を高める教育、情報セキュリティ対策等の実施が挙げられます。不祥事は言うまでもなく経営に大ダメージを与え、最悪の場合は倒産・廃業に陥りますから、ガバナンスが企業の中長期的な成長指標であるESG――環境(Environment)・社会(Society)・ガバナンス(Governance)――に含まれるのは当然のことと言えます。
ガバナンスに関する法令の対象にならない中堅・中小企業でも、ガバナンスが重要になるのはこのためです。特に中小企業は経営者の意思決定が速い反面、属人的になりやすいという傾向があります。トップダウンの指示や厳しいノルマに逆らえず、現場が不正に手を染める例も少なくありません。近年は取引先や金融機関がESGを重視しているため、ガバナンスが弱い企業は信用を失い、取引や融資に不利になることもあります。
それでは、ガバナンスは経営層だけが意識するべきものなのでしょうか?
増加するサイバー攻撃のリスク
ここ数年、サイバー攻撃による事業停止のニュースは珍しくなくなりました。ランサムウェアでシステムがロックされ、復旧に数週間から数ヶ月かかるケースもあります。社会への影響が大きい大企業がよくニュースで取り上げられるため、狙われるのは大企業だけだと考える人もいますが、実際には中小企業も標的になっています。理由は「セキュリティ対策にお金をかけていない企業は狙いやすい」からです。また、最近は取引先や委託先を経由した攻撃も増えており、サイバーセキュリティのリスクは広範囲に潜んでいます。
サイバー攻撃で業務が止まれば、直接的な売上の減少はもちろん、納期遅延や顧客情報流出による信用失墜も起こり得ます。取引停止や損害賠償に発展し、会社の存続すら危うくなることもあります。こうしたリスク管理もガバナンスに含まれます。
情報システム部門や現場の役割
サイバー攻撃から会社を守るセキュリティ対策は、情報システム部門が主導で進めるべき取り組みです。企業の情報システムを支える役割のひとつとして、最新のサイバー攻撃の動向を把握し、その脅威や必要なセキュリティ対策について、経営層にしっかり説明することが求められます。コスト意識が高い企業ほど平時はセキュリティ対策の重要性を理解してもらえない面がありますが、他社がサイバー攻撃の対象になったときはある意味で絶好の機会と言えます。
一方で、情報システム部門がどれほど強靭なセキュリティ基盤を構築しても、現場の社員が不注意な行動を取れば攻撃者に突破口を与えてしまいます。実際、サイバー攻撃の多くは「人の隙」を突いています。例えば、送信元を確かめずにメールの添付ファイルを開く、不用意にWebサイトへのリンクをクリックする、脆弱なパスワードを使い回す――こうした行動は重大なリスクとなります。一社員として、サイバーセキュリティのリスクを低減するための正しい知識と習慣を身につけることは、自社が健全な経営を行うために欠かせない要素なのです。
経営層だけではない、全員が意識するガバナンス
ガバナンスは、企業規模を問わず企業の持続的な成長と信頼を守るための基盤であり、取引先や金融機関からの評価にも直結する重要な要素です。そして、デジタル社会でますます増えているサイバー攻撃への対応も、ガバナンスの一部として管理すべき課題です。経営層はもちろんのこと、情報システム部門や現場の行動も企業を守り、ひいては企業価値の向上につながっていることを今こそ再認識する必要があります。
サステナビリティ
サステナビリティ
サステナビリティ
サステナビリティ