コーポレート・ガバナンス・スコアとは何ですか?
コーポレート ガバナンスのスコアリングは、取締役会、経営幹部、および投資コミュニティにとってますます重要になっています。利害関係者の支持を得たい場合は、彼らにとって重要なことについて話さなければなりません。販売者にとって売上高は重要です。データ侵害のリスクは、最高情報セキュリティ責任者 (CISO) の注意を引きます。ガバナンス スコアは、役員の報酬や、アナリストが企業の株式を評価する方法に影響を与えることがよくあります。それらは取締役会にとって重要です。
IT セキュリティ チームがコーポレート ガバナンス スコアの向上に関してコミュニケーションをとれば、彼らの注意を引くことができます。取締役会は、乗り切る必要のある多くのリスクと機会に優先順位を付けるため、多くの注意を払う必要があります。彼らがすでに関心を持っているベンチマークに針を移すことは、IT セキュリティの優先順位付けに役立ちます。
Institutional Shareholder Services (ISS) の ESG Governance QualityScore などのコーポレート ガバナンス ベンチマークは、取締役会、経営陣、および投資アナリストの注目分野です。 1これは彼らが話す言語です。これらの利害関係者に提唱したい場合は、IT セキュリティへの投資と行動を QualityScore の向上という観点から組み立てることが効果的な方法です。
コーポレート ガバナンス分野のリーダーは、IT セキュリティがコーポレート ガバナンスに果たす役割を認識しており、これを採点方法に含めています。サイバーセキュリティは、取締役会のリスク監視と経営戦略計画の責任に関するコーポレート ガバナンス原則の重点分野として特定されており2 、コーポレート ガバナンスに関するハーバード ロー スクール フォーラムの進化するガバナンスの課題として特定されています。 3セキュリティ、特にデータ侵害に関するセキュリティは、Corporate Finance Institute によってコーポレート ガバナンスの原則の 1 つとして特定されています。 4
IT セキュリティ ガバナンスが企業の ISS ガバナンス QualityScore に影響を与え、アナリストの認知度、株主価値、および役員報酬を促進する可能性のある具体的な方法を特定します。これは、取締役会が相対的な優先順位と IT セキュリティへの投資を検討する際に、情報を提供するのに役立ちます。
この説明はすべての地域とセグメントに適用できますが、ここで使用するスコアリングの例は、スタンダード アンド プアーズ (S&P) 500 インデックスの米国を拠点とする企業です。
コーポレート ガバナンス スコアの計算方法
ISS ESG Governance QualityScore は、機関投資家がポートフォリオ企業のガバナンスを監視できるように設計された、データ駆動型のスコアリングおよびスクリーニング ソリューションです。 ISS Governance QualityScore のグローバルなカバレッジは、S&P 500、STOXX 600、ラッセル 3000、日経 400 など、世界中の約 7,000 社に適用されます。
各社の年次会議の議事録、規制当局への提出書類、およびその他の公開情報は、四半期ごとにレビューされ、一部のイベントではリアルタイムで QualityScore が更新されます。
この方法論は、ISS の Web サイトで入手できます。 5
組織の QualityScore を改善し、IT セキュリティへの投資と活動の影響をマッピングするには、要因 (質問) とスコアの計算方法を理解することが重要です。
採点されるトピックは次のとおりです。
- ボード構造。
- 補償。
- 株主の権利。
- 監査とリスク監視。
監査とリスクの監視セクションは、IT セキュリティ関連の要素が配置されている場所です。これらの要因をどのようにマッピングして発生させるかについての議論に焦点を当てます。
要因に基づく生のスコアが計算され、同じインデックスまたは地域の企業と比較してランク付けされ、各カテゴリに 1 から 10 の数字が割り当てられ、「リンゴとリンゴ」の比較が促進されます。図 1 は、S&P 500 の米国に本拠を置く企業の各カテゴリの生スコアとカテゴリ スコアの例を示しています。
| カテゴリー | カテゴリ生スコア | カテゴリ スコア |
|---|---|---|
| 取締役会の構成 | 25.0 | 7 |
| 補償 | 19.5 | 10 |
| 株主の権利 | 28.0 | 5 |
| 監査とリスクの監視 | 56.5 | 4 |
| 全体の未加工スコア | ガバナンス品質スコア | |
| 合計 | 129.0 | 8 |
表 1. 米国を拠点とする S&P 500 企業のスコア方法の例.
| 評価カテゴリ | 採点された質問 |
|---|---|
| 取締役会の構成 | 51 |
| 監査とリスク監視 | 21 |
| 株主の権利 | 32 |
| 補償 | 37 |
| 合計 | 141 |
表 2. 米国を拠点とする企業の各カテゴリで採点された質問.
米国では、141 の要素がスコア化されています。 21 は、監査およびリスク監視カテゴリ用です。このうち、情報セキュリティに関連するものは 11 件です。したがって、監査とリスク監視カテゴリの 1 ~ 10 の QualityScore を作成するためにスケーリングされるこのカテゴリの生スコアの半分以上が、IT セキュリティに関連しています。
IT セキュリティ関連の質問の定義は、IT セキュリティおよびコンプライアンスの専門家が ISO、NIST、または同様のセキュリティ標準を使用して遭遇するものとは異なります。これについては次に見ていきます。
コーポレート ガバナンスのレンズを通して、取締役会および経営幹部と IT セキュリティについて話し合う
ガバナンス スコアに使用される要因は、IT 監査で遭遇するものとは異なります。それらは、IT セキュリティの専門家として期待される完全な制御と多層防御をカバーしていません。一部は、認識とトレーニング、財務、侵害に関連するものなど、すでに追跡されている重要業績評価指標 (KPI) の一部である可能性があります。
投資の戦略計画またはビジネス ケースがリーダーシップに提示されると、QualityScore 要素にマッピングできます。ガバナンス スコアの向上が予測できます。
Microsoft Purview Audit (Premium)の実装例を以下に示します。このツールは Microsoft 365 の一部であり、簡単に展開でき、ユーザーへの影響や変更管理の要件はありません。 資格情報が侵害された場合、機密情報の侵害があったかどうか、悪意のある人物がどのドキュメントにアクセスした可能性があるかを理解するためのフォレンジック情報を提供し、監査データを長期間保持します。
| 質問ID | 質問 | Microsoft Purview 監査 (プレミアム) のマッピング |
|---|---|---|
| 402 | 企業は、情報セキュリティリスクを特定して軽減するためのアプローチを開示していますか? | 監査 (プレミアム) により、企業は、アカウントが侵害された場合に、悪意のある人物がアクセスした情報を特定できます。侵害の結果を理解し、適切に修復するためのフォレンジック情報を提供します。これはリスク軽減の一環です。 |
| 406 | 過去 3 年間に情報セキュリティ侵害によって発生した純費用は、総収益に対していくらですか? | 監査 (プレミアム) は、会社、そのパートナー、および顧客に大きな影響を与える違反と、影響を与えない違反を区別できる情報を提供します。この情報がなければ、企業は、侵害の範囲を適切に特定できれば必要のない、侵害の通知と緩和に多額の費用を負担する可能性があります。 |
| 407 | 会社は過去 3 年間に情報セキュリティ侵害を経験しましたか? | 監査 (プレミアム) は、大規模な報告と修復が必要な違反とは対照的に、影響がなく、報告できない可能性があるアカウント侵害を区別できます。何が違反で何が違反でないかを知ることを含め、情報セキュリティ侵害を正しく報告することは、監査 (プレミアム) の焦点です。 |
| 408 | 過去 3 年間に発生した、情報セキュリティ違反の罰則と和解によって発生した純費用は、総収益に対していくらですか? | 情報セキュリティ違反によって発生する費用と罰則は、違反の範囲と影響によって大きく異なります。 Audit (Premium) が提供するフォレンジック情報の結果として、費用と罰則を削減できます。 |
| 409 | 会社は情報セキュリティリスク保険に加入していますか? | 保険会社は、セキュリティ リスク保険証券を発行するために引受を必要とします。保険引受は、会社の IT セキュリティ プログラム、管理、およびガバナンスに依存します。監査 (プレミアム) は、セキュリティ プログラムの重要な部分であり、独自の貴重なフォレンジック情報を提供します。 |
| 412 | 最新の情報セキュリティ侵害が発生したのは何年前ですか (月単位)? | 監査 (プレミアム) は、大規模な報告と修復が必要な違反とは対照的に、影響がなく、報告できない可能性があるアカウント侵害を区別できます。これにより、この期間における悪意のある人物の活動の時間とタイミングの観点から侵害の範囲を特定するフォレンジック調査が可能になります。 |
表 3. Microsoft Purview Audit (Premium) から ISS Governance QualityScore へのマッピング例.
Governance QualityScore との整合性は、セキュリティ ソリューションと投資のサポートにとどまりません。
セキュリティトレーニング、標準ベースの監査、指標、レポートなど、会社がすでに実施しているものの一部はスコアリングの一部です。これを伝達してガバナンス スコアに反映させることで、会社の投資収益率が向上し、セキュリティ チームの貢献に対するリーダーシップの認識が高まります。
情報セキュリティの問題について上級幹部が定期的に取締役会に報告することで、スコアが向上します。
セキュリティの経験を持つ取締役を追加することも、スコアを押し上げます。これらは、企業のセキュリティ体制を強化するためにリーダーシップから必要な注意と投資をセキュリティ機能に与えます。
結論
企業の Governance QualityScore がセキュリティへの投資からどのように利益を得ているかを示すことは、追加の投資収益率を示し、さまざまな利害関係者からセキュリティ プログラムへの支持を獲得します。 IT セキュリティ管理とプロセスの価値を認識していない、または IT セキュリティ リスクを理解していない利害関係者は、ガバナンス スコアの向上の財務的価値とブランド価値を認識している可能性があります。
時間が経つにつれて、IT セキュリティが企業統治の一部であるという期待が高まるでしょう。侵害への焦点は、より全体的な視点に拡大される可能性があります。追加の要因が考慮され、全体的なスコアに対する IT セキュリティの影響が増加します。
IT セキュリティへの投資や活動が企業のガバナンス スコアをどのように向上させるかを、ビジネス ケースやリスク管理の他の側面とともに示すことを検討してください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
この文書は「現状有姿」で提供されます。 URL およびその他のインターネット Web サイトの参照を含む、このドキュメントに記載されている情報および見解は、予告なしに変更される場合があります。あなたはそれを使用するリスクを負います。このドキュメントは、法的助言や法律または規制の遵守に関する意見を伝えることを意図したものではありません。お客様の状況はそれぞれ異なります。法律および規制への準拠は、お客様の法律顧問と相談して評価する必要があります。
1機関投資家向けサービスESG ガバナンス QualityScore、ISS。 2022 年 3 月 31 日。
2コーポレート ガバナンスの原則、コーポレート ガバナンスに関するハーバード ロー スクール フォーラム。 2016 年 9 月 8 日。
3Cybersecurity: An Evolving Governance Challenge 、コーポレート ガバナンスに関するハーバード ロー スクール フォーラム。 2020 年 3 月 15 日。
4コーポレート・ガバナンス、コーポレート・ファイナンス・インスティテュート。 2022 年 5 月 8 日。
5ガバナンス QualityScore 、ISS。
Comments