[オピニオン from CIO賢人倶楽部]

2018年1月9日(火)CIO賢人倶楽部

リスト

　ビジネスの現場ではモバイルデバイスやクラウドサービスなど便利なITツールがあふれ、それを享受するための費用も数年前に比べると格段に下がるなど私たちはテクノロジーから多くの恩恵に与っています。一方でその劇的な進化にも拘わらず、情報システムのトラブルは依然多く発生しており、さらに先端テクノロジーによってシステムが複雑化し、今後もトラブルが増加することが懸念されます。

　背景にあるのが、先端テクノロジーのリスクを実態より軽く捉える傾向があることです。言い換えればリスクを受容し過ぎる傾向を生みやすく、さらに現場から上層部にリスクについて意見し難いケースさえみられます。実際、ITベンダーの先端テクノロジーを活用した理想像に安易にとびつき、プロジェクトを開始するものの、1年そこらで頓挫するケースは枚挙にいとまがありません。

　調べてみると、プロジェクトを検討する稟議の資料ではほとんどリスクを議論せず、業務をこうしたいああしたいといった夢や希望ばかりが議論の中心となっている現状があります。もちろん将来の夢は大切ですが、併せて経営層が現実のリスクについて真摯に受け留め、判断を下すのがあるべき姿でしょう。経営層が自らリスクを理解して、自ら判断するマネジメントが必要なのです。これには経営層が正しくリスクを認知することが重要であり、そのためにはリスクの可視化が求められます。では、どうやって？

　実は、その方法の一つに「ITリスクダッシュボード」があります。どこのリスクが高いのかを、経営層が一目で理解するためのツールです。具体例を下記に示します。ITに関するリスク領域を5つに分け、リアルタイムに近い状況でリスクがリスク選好を超えていないかを見る「リスク選好度」、年間ベースのリスクマネジメント活動でリスクを有効にマネジメントできているかを見る「リスクマネジメント有効性」、さらにリスク担当が将来に対して評価した見通しという3つの側面からリスクを表したものです。

ITリスクダッシュボードの例（出典：KPMGにて作成）
拡大画像表示

　「リスク選好度」とは、自社が設定したレベルをリスクが超えていないかをリアルタイムに見る指標です。リスクは日々変化しているため、リスク領域ごとにKRI（キーリスクインディケーター）を紐付け、KRIの動きを見ることで「リスク選好度」を測ります。KRIを収集し、リスク領域ごとの「リスク選好度」への到達状況を評価します。

　「リスクマネジメント有効性」はリスクマネジメント活動の有効性を見るものです。これには2つの視点があります。1つめは、リスク評価を実施した時点のリスクを基にして課題対応の進捗から現時点で想定されるリスクの大きさを示したものです。これを残余リスクと呼びます。2つめは、リスクマネジメント活動の進捗です。重大リスク領域/課題の重大な未対応件数および期限超過の割合がこれに該当します。

　「リスク担当の見通し」は、リスク担当がこれらのリスク情報に加え独自の知見や新たな情報を基に将来にわたってのリスクの見通しについて判断した結果です。経営はこの3種類の情報を基に焦点をあてるリスク領域を特定し、リスク担当にさらなる詳細情報を求め対応方針を検討します。

　1枚のITリスクダッシュボードですが、その背後には多様で大きなデータ群が存在することを推察頂けると思います。こうしたデータをタイムリーに収集し集計した上でビジュアル化するには一定の労力と仕組みが必要で、一昔前には相当な工数をかけなければ不可能でした。

　しかし今ではRPAやAIなどのテクノロジーを利用できます。システムのリスクマネジメントを実現するために、先端テクノロジーを活用できるのです。言い換えれば、テクノロジーを活用して経営のITリスクマネジメントを整備することが、テクノロジーの効果を最大限に享受することに繋がります。

KPMGコンサルティング株式会社 パートナー
伊集院 正氏
kc@jp.kpmg.com（kpmg.com/jp/kc）

※CIO賢人倶楽部が2018年1月1日に掲載した内容を転載しています。

CIO賢人倶楽部について

大手企業のCIOが参加するコミュニティ。IT投資の考え方やCEOを初めとするステークホルダーとのコミュニケーションのあり方、情報システム戦略、ITスタッフの育成、ベンダーリレーションなどを本音ベースで議論している。経営コンサルティング会社のKPMGコンサルティングが運営・事務局を務める。一部上場企業を中心とした300社以上の顧客を擁する同社は、グローバル経営管理、コストマネジメント、成長戦略、業務改革、ITマネジメントなど600件以上のプロジェクト実績を有している。