FX手法

リスクマネジメント

リスクマネジメント
リスクマネジメント体制図

リスクマネジメント

伊藤忠グループは、その広範にわたる事業の性質上、市場リスク・信用リスク・投資リスクをはじめ、様々なリスクにさらされています。これらのリスクは、予測不可能な不確実性を含んでおり、将来の伊藤忠グループの財政状態及び業績に重要な影響を及ぼす可能性があります。
伊藤忠グループは、リスク管理を経営の重要課題と認識し、COSO-ERMフレームワークの考え方を参考に、伊藤忠グループにおけるリスクマネジメントの基本方針を定め、必要なリスク管理体制及び手法を整備しています。具体的には、下記18のリスクを主要リスク ※ と定義し、それぞれのリスク管理責任部署において連結ベースでの情報管理・モニタリング体制を構築し、これらのリスクに対処しています。また、管理体制等の有効性につき、社内委員会において定期的にレビューしています。加えて、中期経営計画策定に合わせ、現状把握しているリスクの再評価、及び網羅的にリスクを洗い出すリスクアセスメントという取組みを全社的に実施しております。

  1. コンプライアンスリスク
  2. 法務関連リスク
    (コンプライアンスリスクを除く)
  3. 安全保障貿易管理に関するリスク
  4. 関税関連リスク
  5. カントリーリスク
  6. リスクマネジメント
  7. 商品価格変動リスク(特定重要商品)
  8. 信用リスク
  9. 投資リスク
  10. 株価リスク
  11. 為替リスク
  12. 金利リスク
  13. 資金調達リスク
  14. 情報システム・セキュリティリスク
  15. 労務管理リスク
  16. 人材リスク
  17. 財務報告の適正性に関するリスク
  18. 内部管理に関するリスク
  19. 環境・社会リスク

体制・システム

リスク管理体制

事業運営レベルのリスク管理としては,各カンパニーにおいてカンパニーの長であるカンパニープレジデントの諮問機関としてDMC(Division Company Management Committeeの略)が、各カンパニーにおける経営方針及び経営に大きな影響を及ぼす投資・融資・保証・事業等における重要案件を審議しています。委譲された権限を超えるリスクを負担する場合は、重要度に応じ、各種委員会を経てHMC及び、または取締役会へ付議されます。

リスク管理

リスクキャピタル・マネジメント ※1 と集中リスク管理

リスクアセットとリスクバッファー ※2 の状況

リスクアセットを厳格に管理

事業投資管理

基本的な考え方
投資実行時の意思決定プロセス
事業投資プロセス

[図]

[図]

情報セキュリティリスクマネジメント

方針・基本的な考え方
体制・システム

[図]

伊藤忠商事では、上級サイバーセキュリティ分析官をメンバーとした、サイバーセキュリティ対策チーム(ITCCERT:ITOCHU Computer Emergency Readiness, Response & Recovery Team)により、常時ログの分析やマルウェアの解析により最新の脅威情報を収集して事前予防を行い、また、事故(インシデント)発生時には即座にインシデント・レスポンス(原因調査、対応策検討、サービス復旧)を実施しています。2017年度より伊藤忠商事IT・デジタル戦略部内にITCCERT専用スペースを設置し、伊藤忠グループのセキュリティ対策を強化すると共に、セキュリティ対策要員の育成に努めています。また、社会的に必要とされるサイバーセキュリティ対策技術者の教育・育成にも取組んでいます。ユーザ企業がここまでアクティブに体制を整備し、積極的に活動している例は国内では少なく、今後も持続的な成長を支えていく取組みを進めていきます。

  • サイバー攻撃の1つである「標的型メール攻撃」に対する全社員向け対策訓練を年に2回実施。
  • eラーニングによる「情報セキュリティ講座」を3年毎に国内外の全社員及びグループ会社で一斉開講を実施。
  • ITCCERTを講師とした、伊藤忠グループ会社向け情報セキュリティのワークショップ開催及び講演会を年に数回実施。
  • 情報セキュリティ及び個人情報保護に関する方針について、入社時の研修において周知徹底する他、更新がある場合は、通達及び定期的なeラーニングにより国内外全社員に通知・教育を実施。
  • 全社シンクライアント対応を実施。
  • 全社標準サービスやツールに導入前審査を行うことで、WEB会議システムやクラウドサービス利用におけるセキュリティを強化。

Business Continuity Plan(事業継続計画)

伊藤忠では、大地震等の自然災害、感染症の蔓延、テロ等の事件、大事故、サイバーアタックやセキュリティインシデント等、不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるためのBCP(Business Continuity Plan)を策定し、内容の見直しを定期的に行っています。
大規模災害時において、BCP発動から全面復旧に至るまで、(1)初動復旧、(2)BCP発動、(3)業務回復、(3)全面復旧の4つの段階に分け、それぞれの指揮命令者・対応事項を定めた計画を策定。BCPの策定は、伊藤忠グループ全体を対象としており、各事業セグメント・職能各部においても個別に策定しています。

リスクマネジメント

当社は、事業環境に潜在する複雑かつ多様なリスクの特定・評価を的確に行い、必要な予防措置及びリスク最小化に資する体制を整えることに力を注いでいます。具体的には大規模な自然災害や疫病の流行などへの備えに加え、経済・社会情勢、法規制などの経営環境変化のリスク、探鉱・生産・輸送・販売など事業の各工程に存在するリスクへの対処などが挙げられます。なお、当社は、COSO ※1 の枠組みをベースとした日本版SOX法における内部統制を整備するとともに、各事業本部では労働安全衛生と環境保全に関するリスク管理をHSE ※2 マネジメントシステムで運用しています。また、原油価格、為替の変動による影響を分析し、決算説明資料で開示しています。

  1. ※1 The リスクマネジメント Committee of Sponsoring Organizations of the Treadway Commission
    米国トレッドウェイ委員会組織委員会
  2. ※2 HSE
    Health, Safety and Environment
    健康・安全・環境

リスクマネジメント体制

事業リスクの管理

事業に関連する様々なリスクに対処するため、個別のプロジェクトにおける対応として、経済性評価及びリスク評価に係るガイドラインを導入し、主要リスクを認識した上で、新規プロジェクトの取得に際して採否の分析・検討を行うとともに、リスク対応を行っています。既存プロジェクトについても、探鉱、評価、開発等の各フェーズにおける技術的な評価等を組織横断的に行うための仕組みとして「INPEX Value Assurance System(IVAS)審査会」を運営するとともに、原則最低年1回は経済性評価とリスク評価を実施し、そのうち、主要プロジェクトについては毎年取締役会にリスク評価結果の概要を報告しています。

HSEリスクに関しては、当社の事業活動における継続的な労働安全衛生管理と環境保全に努めるため、HSEマネジメントシステムで定めるリスク管理要領に基づき、事業所ごとに重大事故災害につながるリスク及びトップ10リスクの特定・分析・評価を行っています。また、リスク対応策を策定、実行するとともに、リスク管理状況を定期的に本社に報告させてリスクがALARP ※3 であることを確認し、四半期ごとに経営会議で報告しています。また開発中・操業中の設備の健全性を保証するために定期的なレビューを実施しており、2020年度はコーポレートから合計で6件のHSEレビューに参加しました。

  1. ※3 ALARP
    As Low As Reasonably Practicable
    合理的に実行可能な限りできるだけ低減すること

気候変動関連リスクへの対応

気候変動関連リスクの評価・管理については、TCFD ※4 提言に対応した取組を推進しています。リスク及び機会の評価・管理についてはサステナビリティレポート2021の77ページ [PDF:6.71MB] をご参照ください ※5 。

気候変動関連リスクの財務的評価については、以下2つの手法で取り組んでいます。一つ目は、インターナルカーボンプライスによる当社の各プロジェクトの経済性評価です。2021年度より従来の感応度分析に代え、ベースケースとして適用した経済性評価を実施しています。二つ目は、当社の事業ポートフォリオの財務的評価です。IEA WEOのSustainable リスクマネジメント Development Scenario(SDS:世界的な平均気温上昇を産業革命以前に比べ2℃より十分低く保つとともに、1.5℃に抑える努力を追求するパリ協定目標と整合的なシナリオ)の油価・カーボンプライスが、当社ポートフォリオ全体に与える市場リスクの財務的評価を実施しています。

リスクマネジメント

Zホールディングスグループでは、ERM(Enterprise Risk Management)活動、グループ全体におけるインシデント発生の把握、リスクインテリジェンス活動および、リスクマネジメント意識の向上を柱に、リスクマネジメント活動を行い、リスクの低減に努めています。リスクマネジメントに関する規程を定め、規程に基づき、グループ各社におけるERM活動を推進するとともに、リスクマネジメント委員会や各種分科会における活動を実施しています。

Zホールディングスグループの2021年度トップリスク

トップリスクの決定とトップインタビューの展開

Zホールディングスグループの2021年度トップリスク

リスクマネジメント リスクマネジメント リスクマネジメント
人命リスク 0. 従業員の生命の安全が脅かされるリスク
ガバナンス 1. グループ内ガバナンスの未整備・不首尾
内在リスク 2. 巨大IT企業への批判・規制
3. グループとしての技術開発・人材育成の遅滞
4. 世界的な意識変化への対応の失敗
新興型リスク 5. 地政学上・安全保障上のリスク増大の影響
6. AIに関する不確実性の増大
レジリエンス系7. 事業環境の大変動
8. グループ各社の事業継続に関するリスク

グループ会社におけるERM活動

ERM推進体制

リスクアセスメント対象項目

環境
(Environment) 環境負荷
環境影響 社会
(Social) 人権・多様性
労働者
個人情報・プライバシー
サイバーセキュリティ
反社・マネーローンダリング・贈賄
アビューズ・不正利用
コミュニケーション
人事制度(人材戦略) ガバナンス
(Governance) 企業倫理
競争行動
法・規制・許認可
システム障害
データガバナンス
事業継続・危機対応
経営戦略
カントリー・地域 リスクマネジメント
コンプライアンス・知財
会計・税務
財務 ビジネス
(Business) 品質・安全安心
ビジネスモデル・デザイン
サプライチェーン・調達
業務委託
市場・競合
人財・オペレーション
グループガバナンス
依存
訴訟 リスクマネジメント
ステークホルダー
事故・故障

リスクマネジメント

当社グループ全社を対象とする危機管理体制を確立しています。危機事象が発生した際の迅速な初動対応とエスカレーションを可能とするため危機管理に関する規程やハンドブックを展開し、本社、事業部門、現場といった階層での対策本部をいつでも起動できる体制を整えています。また、平時のリスクマネジメントの体制に加え、IAT (Issue Assessment Team)を設置し、被害状況等が適時に経営層に伝わる仕組みを整えることで、本社危機管理対策本部における迅速な意思決定を促します。

当社グループではサイバーセキュリティの重要性を理解し、サイバー攻撃などによる被害を最小化するためにLIXIL-CSIRT(LIXIL Computer Security Incident Response Team)を設置し、運用しています。コンピュータやネットワークを常時監視することで問題を早期発見し、発生時の影響分析や原因解析を行うことにより、迅速な対応に努めています。

危機管理フロー(概略)

リスク管理体制図

LIXILではサイバーセキュリティの重要性を理解し、サイバー攻撃などによる被害を最小化するためにLIXIL-CSIRT(LIXIL Computer Security Incident Response Team)を設立、運用しています。コンピュータやネットワークを常時監視することで問題の早期発見をし、発生時の影響分析や原因解析を行って迅速な対応に努めています。

情報セキュリティ

マネジメント体制 LIXILは、保有する全ての情報資産の保護および適切な管理を行うため、情報セキュリティ管理状況の把握と、リスク分析に応じて必要なセキュリティ対策を迅速に実施できる体制を維持しています。
また、万が一、問題が発生した場合には被害を最小限にとどめるとともに、問題の原因を突き止めたうえで再発防止と改善を行う体制を整えています。

情報セキュリティ委員会組織図

情報セキュリティ委員会 LIXILでは、情報セキュリティに関する基本的事項を決議する機関として、情報セキュリティ委員会を設置しています。CDOを委員長とし、各部門代表者で構成されており、情報セキュリティ対応方針の決定及び承認、セキュリティ対策状況の報告を定期的に実施しています。

リスクマネジメント

リスクマネジメント体制図

リスクマネジメント体制図

リスク管理のさらなる実効性強化に向けて

リスクマネジメントPDCAサイクルの図

リスクマネジメントPDCAサイクル

BCP(事業継続計画)

緊急体制の整備

安定的な部品調達

製造基盤の強化

COVID-19に関する取り組み

当社グループでは、COVID-19による感染症について、HD 代表取締役 取締役社長を本部長とするグループ災害対策本部を本社内に立ち上げ、また国内外拠点に現地対策本部を、さらに事業会社各社に復旧対策本部を設置し、社員関係者の健康状態の確認、職場の感染リスク低減のための在宅勤務の推進(制度の変更やVPNなどのITインフラの充実と整備)、生産部門のシフト勤務、職場分割施策の実施、顧客へのオンラインサポートなど、事業継続への対応を進めています。また、COVID-19ワクチンの職域接種を、グループ社員とその家族、派遣社員、協力企業社員、サプライヤー等を対象に実施しました。

ITセキュリティの強化

昨今、頻発・巧妙化するサイバー攻撃などのITセキュリティリスクを重要な経営課題の一つとして位置づけ、ITセキュリティ対策を継続的に強化しています。ITセキュリティの推進については、HD経営戦略担当役員が責任者となり、グループ全体のITセキュリティ関連規定やガイドライン、中長期にわたるITロードマップを策定、各グループ会社の責任者と連携し、グループ全体のITセキュリティ体制をグローバルレベルで構築しています。
ITセキュリティのリスク環境、攻撃手法が日々変化することを受け、PCおよびサーバーのマルウェアの挙動を検知対処するEDR ※1 を導入。外部内部を問わない攻撃検知対策としてSOC ※2 の導入など対策強化を進めています。加えて関連規定やガイドラインを定期的に見直し、すべての役員、従業員、派遣社員などを対象に最新情報に基づいたITセキュリティ教育を毎年実施するなど、ITリテラシーの向上に努めています。
ITセキュリティにかかるインシデント報告を受けてリスクの検知や対策を迅速に対応できるよう社内に専門窓口〈社内シーサート〉を設けています。また、活動レベルを上げるため、日本シーサート協議会 ※3 (NCA)へ加盟しました。
社内のネットワークインフラを24時間365日監視するなど、安全安心のもと持続的に事業を遂行できるよう対策を図っています。

※1 Endpoint Detection and Response:パソコンやサーバーにおける不審な挙動を検知し、迅速な対応を支援するソリューション
※2 Security Operation Center:サイバー攻撃の検出・分析を行い対応策のアドバイスなどを行う専門組織
※3 コンピューターセキュリティにかかわるインシデント(セキュリティを脅かす事象)に対処するため、予兆情報などを収集・共有し、共通の問題を解決することを目的として設立された協議会

関連記事

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次
閉じる