EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

経営リスクの分析をクラウドサービスで実現 デロイト トーマツが提唱する次世代のリスクマネジメントとは

edited by Security Online   2019/07/02 06:00

 会計不正、品質データ不正、長時間労働など、経営に向けられる目は年々厳しさを増してきている。さらにコンプライアンス意識の高まりや内部告発により、これまで見過ごされてきた問題までも次々に顕在化してきている。問題発覚は健全化に向けて方向転換できるいい機会になるとはいえ、外部からの指摘や問題発覚後ではレピュテーションの低下など経営に致命的なダメージを与えてしまう。そうしたなか、データ分析がリスク管理の一助として注目されている。

経営リスクが複雑化するなか、リスク分析をクラウドサービスで

 リスクは内部で検知できればいいものの、そう簡単ではない。長年続く習慣が絡むと内部の人間は問題として認識しづらい。加えて近年では市場の変化もある。少子高齢化による国内市場の縮小を背景に、経営は海外進出や多角化を迫られている。M&Aで異なる習慣やシステムが混在するなど、環境の複雑化も進んでいる。もうこれまでの手法や勘が通用しない。経営が管轄する範囲や領域は拡大し、リスク対策に手が回らない、あるいはどこから手を付けたらいいのか分からないのが実状ではないだろうか。  

 こうした課題に対してデータ分析がリスク管理の有効な手段として注目されている。有限責任監査法人トーマツ デロイトアナリティクスのリスクアナリティクス オン クラウド(Risk Analytics on Cloud)は企業が持つデータを分析することでリスクを浮かび上がらせるものだ。  

 本サービスはデロイト トーマツがこれまでの豊富な事例と知見から、リスクシナリオや分析ロジックを盛り込んで独自開発したSaaS型アプリケーションだ。すでに企業内で稼働しているシステムのデータを取り出して分析するため、新たにシステムを導入する必要がない。またクラウドサービスとして提供するため、分析用の機器を導入する必要はなく、専門家が一から分析するのと比較すればすぐに始められるのがメリットだ。

有限責任監査法人トーマツ リスクアドバイザリー事業本部
デロイトアナリティクス ディレクター 染谷 豊浩氏

 染谷氏は「こういうリスクにはこういうデータを見れば不正の兆候が分かるなど、シナリオごとにおおよその傾向があります。それをパッケージ化しました」と話す。数千社以上のデータ分析実績をもとにアプリケーションとして提供しているため、効率が良い。またサービス利用側は既存システムのデータをクラウドに送信すればいいだけなので、自社でデータサイエンティストを抱える必要はなく、難しいプログラミングも必要ない。  

 データを分析するアプリケーションなので、データが増えれば分析精度は高まる。データが蓄積されるほど過去との比較ができるようになる。例えばデータが1年分から3年分に増えれば、季節変動も把握できるようになる。継続的に利用すればメリットも大きくなると期待できる。

アプリケーションは子会社分析、経費・労務分析、購買分析など

 現状リリースされている分析アプリには「子会社分析アプリ」、「経費・労務分析アプリ」、「購買分析アプリ」がある。企業は課題となるリスクに応じてアプリケーションを選べばいい。

「リスクアナリティクス オン クラウド (Risk Analytics on Cloud)」サービス概要
出所:有限責任監査法人トーマツ[画像クリックで拡大表示]

 「子会社分析アプリ」は国内外含めて多くの子会社を抱える製造業を中心に、財務経理や内部監査で使われている。目的は不正検知、子会社のモニタリング、リスク評価など。子会社の財務数値の変動から異常をとらえ、業績悪化や不正検知に役立てる。  

 「経費・労務分析アプリ」は卸売業の内部監査で実績がある。経費データから架空経費、二重支払などの不正経費を検知、また勤怠データから長時間労働、時間外労働、労働時間の過少申告など労務リスクを分析する。  

 「購買分析アプリ」は製造業や製薬業の財務経理や内部監査で使われている。不正リスクのある購買取引、架空取引のリスクがある仕入先など、購買プロセスにかかわるリスクを分析する。

 現在も様々なリスクに対応するアプリケーションを開発中で、今後も対応可能なリスクは増えていく予定だ。

クラウドベースのため、データを定期的にアップロードするだけで利用可能

 リスク分析アプリケーションをクラウドサービスで利用するとはどういうことか、利用イメージに迫ってみよう。  

 一般的なリスク分析サービスでは、分析に使うデータを直接手渡すことになる。規模や形式に応じてDVDなどのメディアに焼くこともあれば、データストレージサービスを使うこともある。一方、今回はクラウドサービスなので、ユーザーはクラウドにデータを定期的にアップロードすればいい。

「リスクアナリティクス オン クラウド (Risk Analytics on Cloud)」利用イメージ
出所:有限責任監査法人トーマツ[画像クリックで拡大表示]

 アップロードするデータは企業内で稼働する情報システムのなかから、シナリオに応じて取捨選択する。クラウドにアップロードされたデータは必要に応じて変換され、分析アプリケーションにかける。ユーザーはクラウドサービスにアクセスして結果を閲覧する。  

 データをクラウドに預けるため、サイバー攻撃対策などのセキュリティも重要になる。その点、本サービスはデロイト トーマツが独自に運営するプライベートクラウドで運営されているのが特徴だ。このプライベートクラウドはデロイト トーマツのCyber Intelligence Center(CIC)が監視しており、サイバー攻撃に備えている。  

 サービスへのログインは二要素認証を使う。二要素認証とはIDとパスワードに加え、ワンタイムパスワードや生体情報など、複数の要素を組み合わせて認証する。正規のユーザーしかログインできないようにしているため、なりすましや不正ログイン防止に効果的だ。ワンタイムパスワードは主にソフトウェアトークンやハードウェアトークンを用いるなど、セキュリティ対策も万全となっている。

人、モノ、カネ、情報の不足がリスクの見落としにつながる

 あらためて企業のリスク対策について振り返ってみよう。冒頭に述べたようにリスク管理の必要性は高まっていつつも、ビジネス環境の変化に対策が追いついていない。手つかずになる背景として、中瀬氏は「人、モノ、カネ、情報のいずれかのリソースに課題があることが多く見られます」と指摘する。

有限責任監査法人トーマツ リスクアドバイザリー事業本部
デロイトアナリティクス  マネジャー  中瀬 真一氏

 まず、人がいない。これまでリスク管理といえば経験や勘によるところが多く、いわば属人化していた。しかしアナログな勘ではもはや追いつかない。デジタルなデータ活用に活路を見いだそうにも、データサイエンティストやデータを扱える人がいない。  

 モノやカネもない。モノとは分析するためのシステムや環境を指し、それを構築するためのカネ(予算)もない。準備が整っていないということだ。染谷氏は「特に日本ではリスク管理は収益を生まないという認識があり、投資の優先順位が下げられる傾向にあります」と話す。  

 情報がないとは、分析に使うデータや知見を指す。リスクの兆候をとらえるリスクシナリオの立案は専門家でないと難しい。特に新規事業など新しい分野であれば、未経験なのでリスクに対しても感度が鈍くなる。  

 本サービスはリスク分析で実績があるデロイト トーマツの知見を生かし、データ分析をパッケージ化したクラウドアプリケーションだ。シナリオとデータ分析がセットとなっており、既存システムからデータを提供すればいいので、敷居はそう高くない。  

 本サービスにより、これまでリスク分析ができていなかった領域でリスク分析ができるようになったケースが広がっているという。例えば買収した海外の子会社、コア事業に含まれない子会社など、軽視されがちな子会社や事業領域などがある。そうした領域には監視の目や投資もなかなか届かない。しかし何らかの不正が発覚したら親会社にまで影響が及ぶこともありうる。自社のリスク管理に死角はないか――あらためて検証してほしい。

【サービスURL】
リスクアナリティクス オン クラウド(Risk Analytics on Cloud)サービス

【事例紹介 PDF公開中】
 

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5