リスクマネジメントのデジタルトランスフォーメーション~GRC確立とAIの活用~
企業を取り巻く経営環境の変化がますます激しくなる中、企業が対応すべきリスクやコンプライアンスへの要求も複雑化・多様化し続けています。これまでのガバナンス・リスク・コンプライアンス対応には限界が生じつつあり、デジタル時代に合わせた変革を迫られています。
これまでのガバナンス・リスク・コンプライアンス対応には限界が生じつつあり、デジタル時代に合わせた変革を迫られています。
1.企業を取り巻く環境 - 現状の課題
ビジネスのグローバル化の進展、サイバー攻撃の巧妙化、アウトソーシングやクラウドサービスの普及、法規制の改正等、企業が対応すべきリスクやコンプライアンスへの要求等は複雑化・多様化し続けており、その対応負荷は増す一方です。加えて、AI、ブロックチェーンなどの先端テクノロジーによるデジタルイノベーションなど、企業を取り巻く経営環境の変化のスピードは加速しており、従来のガバナンス・リスク・コンプライアンス態勢では追随が困難になりつつあります。このような状況の中、企業が抱えていると思われる課題を以下に挙げます。
企業が抱える課題
経営陣
- 活動の全容が見え難く、抜漏れや無駄が生じていないか不安がある。
- 多くのレポートが情報のタイムリー性に欠け、意思決定の遅れが懸念される。
管理部門
- 法改正等に伴う、影響分析や規程類の改定等に労力がかかる。
- 子会社等のモニタリング・フォロー負荷が高く、管理が十分に行き届かない先もある。
- 情報がサイロ化しており、過去の教訓や成功事例等のノウハウを十分に活かせていない。
現業部門
- 各管理部門から類似の対応要求や、問い合わせが多くあり、負担感が大きい。
2.課題解決の方向性 - 「デジタルGRCトランスフォーメーション」
従来の対応における非効率や対応の遅れなど様々な課題を解消し、デジタル時代に合わせた次世代のガバナンス・リスク・コンプライアンス対応態勢の確立を図る手立てとして、「デジタルGRCトランスフォーメーション」による業務改革事例が昨今増え始めています。
「デジタルGRCトランスフォーメーション」とは、GRCプログラムの確立に、AIやデータ分析ツール、RPA等のデジタル技術を組み合わせ、企業のガバナンス・リスク・コンプライアンス活動の変革を図ることであり、下記の5つの施策で実現されます。
なお、GRCプログラムは従来から提唱されている概念で、ガバナンス・リスク・コンプライアンスに係る取組みを全社横断で共有・統合し、最適化を図る仕組みであり、ツール(GRCテクノロジー)を活用するケースが多くみられます。
図表1:「デジタルGRCトランスフォーメーション」を実現するための施策
図表2:デジタルGRCトランスフォーメーションの実現イメージ
A.統合リスク情報基盤の構築
これまで組織やガバナンス・リスク・コンプライアンス活動ごとに分散して管理していたあらゆる情報を、全社横断で一元管理する情報基盤を構築します。GRCテクノロジーを使用するケースが多く、構造化され、かつ柔軟なデータモデルを用いることで、全社的なノウハウ(成功失敗事例等)の共有を実現するだけではなく、活動の最適化のためのインフラとして活用します。
B.管理手法の共通化・統合
ガバナンス・リスク・コンプライアンス活動横断で、管理手法(手続きや評価基準、管理項目等)の共通化や統合を実施し、組織・活動間で重複していた活動の削減等によって、効率化やより重要な活動への対応強化を図ることが可能となります。
具体的な取組み例
- 統合ポリシーマネジメント:活動横断での法令等の要求事項を統合し、GRCテクノロジー上で管理することで、評価の重複対応の削減や、社内規程改定の効率化等を図る。
- 統合イシューマネジメント: GRCテクノロジー上で、課題・インシデントを一元的にシステム管理することで、対策や意思決定の迅速化、効率性の向上、埋没している根本原因解消の追求を図る。
- リスク対策の設計フレームワーク共通化: SOX対応の内部統制フレームワークを、他のリスク管理活動へ展開することで、全社的にリスク対策基準の平仄を合わせ、現場の納得感向上等も図る。
- ERMと個別リスク管理との整合: ERM(全社リスク管理)と個別リスク管理でリスク内容や重要性基準等を整合させ、事業戦略と適合しない対策の解消し、対外説明能力の向上等も図る。
なかでも統合ポリシーマネジメントは業務効率化の効果が高く、導入している企業が増えています。例えば、情報セキュリティ管理(ISMS)、PCI DSS対応、IT全般統制(ITGC))では、アクセスコントロールをはじめ類似の要求事項が存在するため、個別に活動した場合、評価等の対応に重複が生じます。そこで、類似の要求事項を集約して、重複を排除した統合要求事項を整備することで、評価等における重複対応の軽減を実現しています。また、法令等、統合要求事項、および社内規程を関連付けてデータベース化することで、法令改正に伴う社内規程の改定箇所を迅速に特定できるようになっています。
C.統合ダッシュボードの整備
統合リスク情報基盤に集約される情報に基づいて、全社のガバナンス・リスク・コンプライアンス活動横断で状況をリアルタイムで集計、可視化し、様々な切り口(システム、プロセス、組織等)で分析するためのダッシュボードを整備します。これにより、従来は一定期間を経て報告される定型的なレポート内容を基準に判断をせざるを得なかった状況を解消し、意思決定の迅速化等の課題やリスクへの対応力の向上を図ることができます。さらに、統合ダッシュボードに経営陣やリスク管理担当、セキュリティ担当など役割に応じた管理項目を設定し、実運用に即した内容とすることで、より高い運用効果が期待できます。その他に、全社の取組み情報の俯瞰が可能となるため、対外説明能力の向上も期待できます。
D.定型業務等のオートメーション化
GRCテクノロジーが提供するワークフロー、アラート、レポーティング等の機能を活用することにより、従来、人手で対応せざるを得なかった期日管理、フォローアップ業務、定型レポート作成といった定型業務の効率化が期待できます。
GRCテクノロジーの機能の活用による効率化の例
- 期日管理・フォローアップ作業:課題やリスク対応等の期限管理をシステム化し、担当部署や海外子会社等へのリマインドやフォローアップ通知の自動発信が可能。
- 集計作業および定型レポート作成:プロジェクトの進捗状況やリスク評価結果等をリアルタイムで集計が可能。また、各種定型レポートについても統合リスク情報基盤に登録済みの情報から自動作成が可能。
- 指標値のモニタリング作業:リスクモニタリングに用いているリスク指標の閾値管理をシステム化し、指標値の状況に応じてアラートの自動発信が可能。
- 承認手続き等:ワークフローによる、各種承認・決裁手続きにおける回付作業等の自動化が可能。
また、GRCテクノロジーに加え、RPAを活用することも有用です。RPAでは、様々な形式の情報(各種Office文書、イメージデータ、各種システム等)を自動的に処理することが可能であり、従来のシステム開発と比較して迅速な導入・仕様変更が行えるため、より機動的な業務の効率化が期待できます。
RPAの活用による効率化の例
- モニタリング指標の収集: RPAを活用し、モニタリング指標を収集することで、人手や従来のシステムでは限定的になりがちであった定量モニタリングの範囲の拡大が可能。
- ログモニタリングの実行: IT全般統制等の対応においても同様に、RPAの活用でログモニタリングの工数削減、頻度の向上が可能。
E.ビッグデータ・リアルタイム分析
GRCに蓄積されるリスク情報は、Analytics ToolsやAIによる分析のインプットとしても有用です。さらに、社内外のビッグデータと組み合わせて分析することで、モニタリングやリスク対策の高度化が期待できます。
期待できる効果
- 精度・質の向上:過去のリスク事象の分析に基づく成功確度の高い対応策の導出や、多様なリスク情報の相関分析等を行い、ヒトでは予測困難な傾向やリスクの導出が可能。
- 対応範囲の拡大:従来の人手による対応では行き届かなかった範囲にまでモニタリングを拡大することが可能。
- リアルタイム化:社内業務等を常時監視し、アラートによるリスクや課題検知の早期化が可能。
最近では、リスク管理領域での適用事例のみならず、AIによる事業プロファイルに応じた各国の関連法令や改正情報の収集など、コンプライアンス領域での適用事例も出始めています。
3.まとめ~「デジタルGRCトランスフォーメーション」成功のポイント
従来の対応における非効率や対応の遅れなど様々な課題を解消し、デジタル時代に合わせた次世代のガバナンス・リスク・コンプライアンス対応態勢を確立し、「デジタルGRCトランスフォーメーション」の効果を最大化するのは容易ではないチャレンジとなります。全社横断的な業務改革プロジェクト捉え、経営陣の力強いリーダーシップのもと中長期的なロードマップに沿って推進していくことが重要です。
変革時の留意点
- 日本ではGRCをツールによる個別領域のシステム化と捉えられがちだが、GRCを単なるシステム化ではなく業務改革の手段と捉え、ガバナンス・リスク・コンプライアンス活動の最適化を目指す必要がある。
- 真の効果を得るには全社横断的に既存のプロセス、体制、役割分担等の見直しが必要であり、マネジメント層が強いリーダーシップを発揮し、あらゆるステークホルダーと目指す態勢や計画内容について合意形成することが重要である。
- 全社横断で変革を図ることで真の効果が得られるが、一気に最終形を目指すのは難易度が高いため、変革の目標達成に向けた中長期的なロードマップを策定した上で、個別領域から段階的に適用領域を増やしていくことが肝要である。
執筆者
KPMGコンサルティング株式会社
ディレクター 関 憲太
マネジャー 熊谷 頼毅