デロイト トーマツ、デジタルリスクに関するグローバル調査結果から得た6つの知見

スリーラインズオブディフェンスの考え方に基づき調査を実施

　『グローバル・デジタルリスク・サーベイ 2019』の特徴は、グローバル標準である「スリーラインズオブディフェンス（3つのディフェンスライン）」の考え方に基づき、一つの企業の取材を実施したことにある。スリーラインズオブディフェンスとは、COSO（Committee of Sponsoring Organizations of the Treadway Commission：トレッドウェイ委員会支援組織委員会）が『内部統制の統合的フレームワーク』で示した考え方である。以下の3つのディフェンスラインに該当する部署がそれぞれの役割を担い、組織全体として有効なリスクマネジメント体制を構築しようというものである。

• 第1ライン：事業部門（製造や営業など）
  リスクオーナーとして業務遂行の過程で発生するリスクを特定し、適切なコントロールを行う。

• 第2ライン：リスク管理部門
  第1ラインのリスクマネジメントプロセスの設計と運用をモニタリングし、必要に応じてサポートする。

• 第3ライン：内部監査部門
  第1ラインと第2ラインから独立性を保ち、それぞれの業務オペレーションが適性かを検査・保証し、必要に応じてアドバイスを行う。

　グローバルでのExective Committeeメンバーで今回APACの調査ワーキンググループの一員として日本企業の取材を担当したデロイト トーマツの森本正一氏は「現場が急速に最先端のテクノロジーの採用を進める中、リスク管理の観点で提言、助言をするべきリスク管理部門や内部監査部門が現場の動向を把握できておらず、会社全体として大きなリスクが発生しているのではないか、という問題意識から実態を探ることにした」と話す。今回の調査は、主に以下の6つのテーマを掲げ、世界166社の現場、リスク管理、内部監査部門それぞれに直接インタビューまたはWeb回答を得る機会を得て、情報収集を行ったものだという。

1. テクノロジーの採用動向と今後の採用に向けての障壁
2. DX推進におけるオーナーシップとガバナンス
3. DX推進で変わるオペレーションとリスクマネジメント
4. DX推進の結果、浮上しているリスク分野
5. デジタルリスクマネジメントのためのテクノロジーの利用動向
6. デジタルリスクマネジメントで求められる組織と人材

加速する現場に追いついていないデジタルリスクのマネジメント

　森本氏にそれぞれのテーマの結果を解説してもらったところ、明らかになったのは全般的にリスクマネジメントの仕組みがDXを進めたい現場に追いついていない傾向である。

　まず、第1のテーマである「先進的なテクノロジーやアプローチの採用動向」を尋ねた結果を見ると、クラウド、アジャイル、APIの採用率が高い一方で、機械学習やIoTは検証中の段階とわかった。「注目すべきはテクノロジー採用を拡大する際の障壁である」と森本氏は指摘する。導入根拠や費用対効果などを踏まえてテクノロジーの活用を判断する「ビジネスケース」の作成に困難を抱えるとする回答が世界的に最多となったのだ。多くの企業がビジネス価値を生み出すため、テクノロジーを自社のビジネスモデルやオペレーションに対してどのように取り込み、競争優位を築くべきかに模索していることが窺える結果となった。

　続いて第2のテーマであるDXのガバナンスについて尋ねた結果では、多くの組織がデジタルリスクの責任はIT、戦略またはマーケティング部門にある、または定義されていないと回答している。スリーラインズオブディフェンスの考え方に照らし合わせると、デジタルリスクに責任を負う部署が明確でないことは大きな問題とわかる。森本氏は、「日本の場合、CDO（Chief Digital Officer）を置く組織であっても、CIOやCISO（Chief Information Security Officer）との役割が明確でないため、DXに関するリスクを担う責任があいまいであることを懸念する声もあった」と話す。財務に代表される伝統的なビジネスプロセスに関する内部監査については、多くの企業で充実してきた反面、DXのガバナンスについては追い付いておらず、テクノロジーや自社のビジネスにおけるデジタル活用の方向性を理解し、その際に想定されるリスクを適切に指摘できる専門家が不足していることが明らかになった。

　調査結果からは、ビジネスのデジタルシフトによりリスクマネジメント業務自体も進化していることもわかった。第3のテーマであるオペレーションについては、リスクマネジメントのプロセス自体をアジャイルアプローチに変えなくてはならないとする回答が47％を占める結果となった。その背景にあるのは、従来のリスクマネジメントでは年単位での定期的なリスク評価が中心であったが、DXの活動に合わせた頻度でのモニタリングの重要性が浮上していることだ。さらに、経営陣のデータを根拠に意思決定を行いたいというニーズがあり、そのニーズに応えるための迅速なリスク情報の提供が求められていることから、リスクマネジメントリーダーが対処するべき範囲も拡大していることを指摘する意見もあった。

　第4のテーマのDX関連のリスク分野としては、「サイバーセキュリティ」「プライバシー」「規制の遵守」のキーワードが頻出し、リスクがさらに複雑化している状況が浮き彫りになった。また、3つのディフェンスラインごとの見解を見ると、それぞれの関心がバラバラであることもわかった。第1ラインの現場は、ビジネス環境の変化に合わせてできるだけ早くテクノロジーを実装することを重視している。これに対して第2ラインのリスク管理部門は、リスクが発生する可能性のある顧客、委託先、当局など、第三者との関係を注視している。第3ラインの内部監査では、デジタルリスクのマネジメントのための仕組みが実装されていないこと、あるいは十分ではないことを懸念している。

　では、リスクマネジメントのためにどんなテクノロジーを活用しているか。第5のテーマは、効率的なリスクマネジメントのために最新のテクノロジーをどの程度活用できているかである。その結果を見ると、60％の回答者が現在のGRC（Governance, Risk management, and Compliance）ツールの有効性は10点満点中5点という評価になった。 これは現在のリスク管理ツールがDXにより増大する活動の複雑さと量に対応できていないかを示唆するものである。また、国内ではツールを用いたリスクマネジメントよりも手作業への依存度が高い。あるグローバル企業では、海外拠点から「異なる本社部門から頻繁に類似の手作業によるチェックリスト回答を求めるのは止めてほしい」という意見が挙がっているのだという。現場に負荷のかかる情報収集から脱却し、近年急速に注目度が高まっている最新のGRCツールを活用した洗練された仕組みの整備が急務とわかる。

　最後のテーマである人材については、デジタルリスクが増大する中、どれだけ先見性を持って人材をアサインできるかが問われている。森本氏は、DX時代のデジタルリスクマネージャーとしての専門は当然として、商業的洞察力、アジャイル思考/問題解決力、関係構築力など様々なスキルを兼ね備えた人物であることが求められると話す。一方で、そんなスーパーマンのような人物が存在していないことも承知している。「一人にすべてのスキルを求めるのではなく、デジタルリスクマネジメントチームを作り、メンバーそれぞれが得意領域で力を発揮しながら組織的にマネジメントを行うことが望ましい」と森本氏は見解を述べた。