デジタルリスクマネジメントの着実な実行体制の構築を目指して:第7回
2022年1月6日(木)関 克彦(KPMGコンサルティング リスクコンサルティングサービス ディレクター)
業種を問わない至上命題であるデジタルトランスフォーメーション(DX)。その機運と共に、テレワークやペーパーレスなどの導入・刷新が急速に進む中で、これまであまり顕在化しなかったリスクへの対処=デジタルリスクマネジメントが大きな課題となっている。最終回となる今回は、各回で取り上げてきたトピックや課題を踏まえて、デジタルリスクマネジメントへの取り組みを実効性をもって推進するうえでの組織的な対応の考え方、ポイントを示していく。
リスク管理の視点から取り組みの全体像を確立する
デジタルトランスフォーメーション(DX)を推進するにあたり、どうしても個別の要素技術の取り込みや、データの高度な利用などに目が行きがちである。ただし、デジタルリスクマネジメントを網羅的かつ体系的に行うためには、全体の戦略から個別の施策適合まで、全体的な取り組み方針の確立が必要となる。
図1は、リモートワークの導入プロジェクトを例に取った、取り組みの全体像である。リモートワークの方針を定めたうえで、その遂行にふさわしい組織モデルの検討を行い、対象業務の選定と業務プロセスの明確化、適用するテクノロジーの選定などを進めていく。そして、生産性確保のためのパフォーマンス管理を検討すると共に、テクノロジーを適切に利用するためのスキルの育成、教育も考慮することになる。
拡大画像表示
ここでポイントとなるのは、方針の策定からパフォーマンス管理、スキル育成などを、リスク管理の視点をもって進めることである。急場しのぎで定めたリモートワーク方針の下で、テクノロジー選定・導入を突貫で進めて利用にこぎつけたものの、十分なパフォーマンス管理や教育ができていない──そうしたケースはまさに全体像の不十分から起こり、その後の運用で発生するリスクを見逃しかねないだろう。
デジタルリスクマネジメントを実現する組織体制とは
上述のリモートワークの導入を例に説明を続けよう。急場しのぎの方針策定や取り組みの全体像の不十分がもたらすリスクの典型として、テクノロジーの選定・活用の不備によるネットワーク接続環境の不安定、データ管理ルールの整備不十分による不適切な持ち出しの横行などが挙げられる。
この取り組みでは少なくとも次のような施策がなされることが望ましい。
●全社共通で全体方針を検討
●人事部門が労務管理上の制度を整備
●IT部門がリモート端末、Web会議環境、ネットワーク接続環境、セキュリティ対策等を整備
●情報管理部門が書類とデータの持ち出し管理とルールを再整備
●業務部門がコミュニケーション、承認ルールなどを見直し
●ファシリティ管理部門がサテライトオフィス、出社比率を考慮したオフィス設計を再考
●経営層がリモートでメッセージを発信して、社内の意識変革、文化浸透を醸成
上記のような個別の施策に対して各部門が対応を進めつつ、全体最適の観点で、生産性向上やセキュリティの維持を図っていく必要がある。
リモートワークの例を挙げたが、DX推進の一環で取り組まれるさまざまなプロジェクトにおいても、全体像を見渡すと同時にリスクも考慮する必要があるのは言うまでもない。
3ラインズ・オブ・ディフェンスで確固たる体制を
では、全体像を見渡しながらリスクを考慮して種々のプロジェクトを進めていくにあたって、具体的にどのような体制が必要になるか。それには、リスクを多段階層でモニタリングする「3ラインズ・オブ・ディフェンス(Three Lines of Defense:3つの防衛戦)」の考え方を用いて整理するのが有効と考える(図2)。
拡大画像表示
具体的には、リスクを第1次防御~第3次防御で構成してモニタリングする。第1次防御は現業部門、第3次防御は内部監査部門となることは比較的明確であるが、第2次防御をどの部門が請負うかは組織によりさまざまである。リスク管理部門などが全方位的にリスクへの感度をもって対応するケースもあれば、本社管理部門がそれぞれの管轄に関するリスクに向き合うケースもある。
DX推進と表裏一体で考えるデジタルリスクマネジメントは、この第2次防御の機能が成功のカギを握っている。時にはより現場に近い立場でスピード感をもって、検討・判断をしていく1.5次防御的なふるまいが求められることもあれば、全体を俯瞰し、客観的に捉えて対応を検討する2.5次防御的な視点が必要なこともある。このように柔軟な機能をもった第2次防御により、変化の速い状況において適切にリスクを見極める対応が求められる。
このようなアプローチで体制を整備し、全体像を明確にした取り組みをカバーすることに加えて、段階的に進めるDX推進において、状況に応じたリスクを認識し対処するための仕組みも求められる。
DXの推進過程は、データを見える化し、蓄積・分析の過程を経て、予測・判断など使いこなす域に達していくといった推移が考えられる。そして、各段階においてリスクが内在しているため、それぞれに適切に対処していく必要がある(図3)。
拡大画像表示
例えば、データの見える化を進める段階では、より有効なデータ利活用を目指すと同時に、個別のデータ収集による内容の分断、また類似データが方々で取得されることによる内容の不一致、矛盾、それらの状況調査のための効率性低下や負担増などのさまざまなリスクを考慮した、データ設計および管理体制が不可欠になる。
次に、データを蓄積・分析していく段階では、集中保管したデータの大量漏洩、分析する人材の不足、見える化したデータが分析用途に見合わず、取得・収集を根本から見直さざるをえない状況の発生などのリスクが考えられる。
そして、分析結果を用いて予測・判断していく段階では、分析結果に伴う変化を受け入れられない組織風土や、経営層のビジョンやリーダーシップの不足など異なる次元のリスクに向き合っていく必要がある。
述べてきたように、取り組みの全体像を俯瞰しつつ、段階的な過程に応じたリスクも考慮するといった多角的な取り組みが求められる。このことは、DX推進におけるデジタルリスクマネジメントの要諦にほかならない。
●Next:この先に問われるDX推進、デジタルリスクマネジメント
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 複雑化する事業環境で重要度が増す「サードパーティリスクマネジメント」:第6回(2021/11/19)
- データの信頼性確保に資するデータサプライチェーンとデータマネジメント:第5回(2021/10/15)
- データアナリティクスにおける“攻め”と“守り”:第4回(2021/09/22)
- サイバーセキュリティとプライバシーを取り巻く環境変化に対応する:第3回(2021/08/16)
- DX推進で不可欠な「デジタルガバナンス」とは?:第2回(2021/06/18)