DX推進のカギを握るデジタルリスクマネジメントの実践

DX推進におけるデジタルリスクマネジメントの必要性とその具体的な取組みについて、事例や考察を交えて解説します。

DX推進におけるデジタルリスクマネジメントの必要性とその具体的な取組みについて、事例や考察を交えて解説します。

日本は、国家戦略として、新たなデジタル技術や多様なデータ活用により経済発展と社会的課題の解決を両立していく「Society5.0」の実現を掲げています。また、経済産業省は2020年に「デジタルガバナンス・コード」を打ち出し、企業におけるデジタルトランスフォーメーション(Digital Transformation; 以下、「DX」という)への自主的取組みを促すとともに、経営者に求められる対応を提示しました。
対応が遅れていた日本企業のDXも、新型コロナウイルス感染症(以下、「COVID-19」という)の影響を受けて加速しつつあり、経営者はさらなる取組みとその成果が求められています。本稿では、DX推進におけるデジタルリスクマネジメントの必要性とその具体的な取組みについて、事例や考察を交えて解説します。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

ポイント

「Society5.0」の実現に向けて自ら変革する
企業は、デジタル技術による社会および競争環境の変化に対応し、自らを成長・発展させていくために、DX推進に取り組むことが強く求められています。

DX推進を成功させるには
「スピード・柔軟性」と「リスクコントロール(デジタルリスクマネジメント)」をバランスよく両立させることが重要です。そのためには「DXに伴い発生するリスクへの対応(Control for Digital)」と「リスク管理の仕組みのDX(Control by Digital )」の2つの側面からのアプローチが非常に有効です。

各企業でDX推進戦略を確立し、継続してDXおよびデジタルリスクマネジメントに取り組む
特に、DXおよびデジタルリスクマネジメントの基盤とも言えるデジタルガバナンスの整備と、そのための人材の育成・獲得に取り組んでいく必要があります。

経営課題としてのDX推進

1. Society5.0とデジタルガバナンス・コードの実現
日本政府は、平成28年1月「科学技術基本計画」において、目指すべき未来社会の姿として「Society5.0」を提唱しました。「Society5.0」とは、IoT、ロボット、人工知能(AI)、ビックデータ等の技術を活用してサイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決の両立を目指すものです。
「Society5.0」の実現に向けて自ら変革(DX)し新たな成長を実現する企業がある一方で、環境変化・デジタル化に上手く対応できずに既存ビジネスが伸び悩んでしまっている企業も出てきています。このような背景を受けて、経済産業省は「デジタルガバナンス・コード」を取りまとめました。これは、企業がDXへの取組みを自主的・自発的に進めることを促すものです。経営者は、継継的な企業価値の向上・成長のため、目標設定・組織整備・人材確保などを通して率先してDXに取り組むことが求められています。

2. リスク対応としてのDX推進
働き方改革における利便性・効率性を目的としたリモートワークはあまり進みませんでしたが、COVID-19というリスクへの対応を目的としてリモートワークが推奨されたことにより、半ば強制的に一部のDX(リモートワーク環境の整備やペーパーレス対応)が推進されました。急ごしらえではあるものの、遅れていた日本企業のDXを一歩進めるきっかけになったことは確かでしょう。

DX推進のためのデジタルリスクマネジメント

1. DX推進から生ずるリスク
「Society5.0」実現に向けて、あるいは外部環境の変化を1つのきっかけとしてDXが進み始めているものの、DXが期待どおりに進んでいる企業は決して多くありません。「新たな技術を活用した」「前例のない」取組みが多いこと、またビジネス環境や外部環境の目まぐるしい変化に対応しなければならないことから、多くのDX推進ではスピードと柔軟性が重視されます。一方で、これらを重視しすぎるあまり、通常の取組みであれば組み込まれているはずのコントロール(牽制や承認のための体制・プロセス、記録の取得など)が置き去りにされてしまっているケースが散見されます。コントロールの欠如は、重大事故や不正の発生、あるいはこれらの発見遅延につながりかねません。
急ごしらえのリモートワーク対応においては、「例外」「緊急対応」と称して、これまで会議体・対面・紙ベースで実施されていた確認・承認・記録というコントロールが「デジタル化」されるのではなく「省略」されてしまっているケースも見られます。また、リモートワークに伴う情報持ち出しやBYOD(業務への個人端末利用)がなし崩しに行われ、情報漏えいやコンプライアンス違反のリスクが増大しているケースも見られます。

2. デジタルリスクマネジメントの必要性と2つの側面
DX推進を成功させるためには、スピード・柔軟性を重視しつつ、バランスよくコントロールを組み込むことが不可欠です。KPMGでは、DX推進のためのリスク管理の取組みをデジタルリスクマネジメントと定義しています。デジタルリスクマネジメントには大きく2つの側面があります(図表1参照)。

【図表1】Control for Digital/Control by Digital

デジタルリスクマネジメント図表1

(1) Control for Digital
前述したような、DX推進に伴い発生するリスクをコントロールするための仕組みです。DX推進に必要なスピード・柔軟性を可能な限り阻害しないようバランスを考慮した制度設計(体制・プロセス・ルール)を行うこと、組織規模や実態に合わせた取組みとすることが重要です。一般的にトライ・アンド・エラーを繰り返すことが多いDX推進プロジェクトでは、現場の判断が重視され、大小さまざまな変更が頻繁に発生します。スピードと柔軟性を尊重しつつ、リスクの早期発見・早期対応を実現するリスクマネジメントの仕組みが求められることになります。

(2) Control by Digital
デジタルリスクマネジメントのもう1つの側面は、リスクに対しデータやデジタル技術を用いて最適なコントロールを実現する取組みです。リスクマネジメント活動のDXとも言えるでしょう。たとえば、データ・プラットフォームを構築し、社内外のさまざまなデータを自動的に収集・分析・可視化することができれば、リスク管理部門や品質管理部門が膨大なデータの中から「不正の兆候」や「不備につながる異常値」を発見することが容易になると期待できます。また、業務におけるさまざまな申請・承認プロセスのデジタル化による正確な記録取得の実現は、不正防止や内部統制強化に資すると考えます。
企業におけるDX推進を成功に導くためには、両側面からのデジタルリスクマネジメントへの取組みが非常に有用であると考えます。

デジタルリスクマネジメントの構成要素と具体的な取組み

企業がDXに取り組む目的とその範囲は、業務改革・新規事業の立上げ・企業価値の創出など非常に多岐にわたります。同様に、DXに必要とされるデジタルリスクマネジメントも非常に多岐にわたります。KPMGでは、デジタルリスクマネジメントの構成要素を以下の5つに分類し、定義しています。各要素のポイントと取組み事例をご紹介します(図表2参照)。

【図表2】デジタルリスクマネジメントの構成要素

デジタルリスクマネジメント図表2

デジタルリスクマネジメント

  • DXの推進により生じるさまざまなリスクを管理・監督し、リスクの多寡に応じて必要な統制を整備・運用すること
  • DX推進と並走するもの、あるいは、DXの一部として必要な仕組み

1. デジタルガバナンス
デジタルガバナンスは、DXおよびデジタルリスクマネジメントを推進するための組織体制・プロセスを整備・高度化する取組みを指します。
これからDXに取り組もうとする企業、あるいは高度化を目指す企業は、まず自社のデジタルガバナンスを確認・評価していただくことを推奨します。デジタルガバナンスは、DXおよびデジタルリスクマネジメントを支える基盤と言えるものであり、他の構成要素に取り組む場合も、デジタルガバナンスをセットで検討することが必要となるからです。全社的な組織体制・プロセスを考える場合、個々のDX推進プロジェクトの体制・プロセスを考える場合のいずれにおいても、経営者・リスク管理部門・ビジネス部門・システム部門それぞれがかかわること、役割と責任を明確にすることが求められます(図表3参照)。

【図表3】デジタルガバナンスの評価項目例

ビジョン デジタル化のビジョンと事業機会・リスク認識等の共有
リスク評価 デジタル化に伴うリスク評価と対応計画の策定
デジタル活用環境 データおよびITソリューションの利活用環境や開発・運用体制およびプロセス、リスクコントロールの整備状況
デジタル人材育成 デジタル化のリスクに対する内部統制・セキュリティ・プライバシー・各種法規制等の知見やその人材育成
成果指標 デジタル化の目標、リスク指標、組織目標や人事考課等への考慮、コーポレート系部署のデジタル化目標
ガバナンス 経営層のリーダーシップと担当組織(2線・3線)の機能配置

出所:経済産業省「デジタルガバナンス・コード」の項目を網羅し、KPMG独自の診断項目を追加

個々のDX推進プロジェクトにおいてリスクマネジメントの仕組みを考える場合には、推進のスピード・柔軟性を阻害せずにバランスよくコントロールを組み込む制度設計が求められます。
KPMGでは、DX推進プロジェクトにおいて「シフト・レフト」の考え方が志向されることを推奨しています。すなわち、プロジェクトの早い段階(時間軸の左側)からリスク管理部門がかかわり、プロジェクトと並走するかたちで、節目節目でチェックを行う体制です。DXのように変更の多いプロジェクトにおいては、従来型の「最後に(リリース前に)チェックする」体制では、変更経緯を追いかけるだけで時間がかかってしまい判断を遅らせかねません。また、最終段階で不備が見つかってもリカバリーできない可能性も高いため、シフト・レフトでの取組みがリスク軽減につながることが期待できるのです。

2. データマネジメント
データマネジメントは、データ分析やデータ品質管理のための環境整備、データ活用を進めるためのデータカタログ(収集・分析に活用する社内外のデータの属性や形式等を定義したもの)の整備、そしてこれらを実行するためのデータ管理体制の整備やデータ分析人材の育成等の取組みを指します。
これまでのリスクマネジメント活動では、リスク管理部門や内部監査部門が情報収集と現状把握に多くの時間を費やしてきました。現場部門と日程調整をし、ヒアリングを行い、活動記録を査閲する。サンプリングに基づき全体の統制状況を推測し、リスクを検討し、報告書としてまとめるといった作業です。
データ・プラットフォームおよびデータ分析技術を活用したリスクマネジメント活動においては、社内外の各種データを自動的に集約・集計することで、効率的・継続的な情報収集と現状把握の実現を志向します。データ処理結果を高頻度(日次・週次など)で更新・可視化することで、予実の乖離や異常値の発生有無を継続的にモニタリングし、迅速に認識できるようになります。トライ・アンド・エラーを繰り返し、頻繁に状況確認・見直し・方向転換が生じるDX推進プロジェクトにおいて、情報収集と現状把握の負荷を軽減し迅速化できることは、後続フェーズであるリスク評価への着手および意思決定の迅速化につながり、非常に有用であると考えます。
また、データ収集・分析プロセスが自動化され、時間・場所・人的リソースの制約から解放されることで、サンプリングではなく全件データに基づくリスク分析・評価が可能になります。これは、迅速かつ適切な意思決定につながると期待されます(図表4参照)。

【図表4】データ・プラットフォームの活用例

デジタルリスクマネジメント図表4

3. インターナルコントロール
インターナルコントロールは、リモートワークやペーパレスへの対応に伴う内部統制の再整備や、内部統制制度のデジタル化・自動化への取組みを指します。
前述のとおり、COVID-19への対応としてリモートワーク導入やペーパレス対応を駆け足で進めた企業が多い中で、リモートワークの実態を把握できていない、新たなリスクを認識できていない、あるいは「一時的な対応」としてリスクに目をつぶっているケースが散見されます。一方で、長期的な対応を見越して、あるいは今後も発生するであろう「従業員の出社不可」というリスクに備えて、リモートワークを新しい働き方として取り入れ、情報セキュリティルールの見直しに取り組む企業や、申請・承認プロセスの電子化(ワークフローシステムや電子署名ツールの導入など)に移行している企業も増えています。またペーパレス対応(文書のデジタル化)に加えて、文書管理システムを導入すること(文書管理のDX)で、文書の作成・承認・変更・削除といったライフサイクル管理を実現している企業もあります。

4. コンプライアンス
DXにおけるコンプライアンスは、データ利活用に伴う各種法令・規制への対応や、データ不正利用防止のための取組みを指します。
市場動向調査やマーケティング活動において、ビッグデータの活用やカスタマージャーニー分析は非常に有用ですが、顧客データの利活用にあたっては一般データ保護規則(GDPR)や個人情報の保護に関する法律をはじめとする各国プライバシー関連規制に留意する必要があります。また、ペーパレス対応の一環として国税関係帳簿書類のデータ保存を進めるにあたっては、電子帳簿保存法の要件を満たさなければなりません。企業は、コンプライアンス管理体制の中に、データ利活用に関する法令・規制の特定・改定状況のモニタリング・遵守すべき要件の周知徹底を組み込むことが求められます。

5. テクノロジーマネジメント
テクノロジーマネジメントは、サイバーセキュリティ対策全般や、新興技術の導入・活用に際してのリスク対策を指します。
たとえば、旧来のサイバーセキュリティ対策は「社外の第三者を想定した社内/社外の境界線におけるセキュリティ対策(ファイアウォールや侵入検知システム)」が重視されていました。DXの一環としてリモートワーク(モバイル端末やBYODからのリモートアクセス)やクラウドサービスの利用が促進されたことを一因として、社内/社外の境界線が曖昧になり、「ゼロトラストでのセキュリティ対策」がより強く求められるようになっています。
また、RPA導入による作業自動化は業務効率向上・生産性向上に役立ちますが、同時にRPA導入による内部統制上のリスク(たとえば、デジタルレイバーにアクセスを許可するデータ範囲や作業データの格納場所の設定不備による情報漏えい、RPA設計者の異動・退職等に伴う業務のブラックボックス化など)もあります。これらを認識し、対策を立てておくことが必要です。
新しい技術の導入・活用が多いDXの取組みにおいては、利便性/効率性の向上を目的としたテクノロジーの活用と、それにより生じるリスクへの対応の両立が不可欠です。

さらなるDX推進に向けて

COVID-19の影響を受け「従業員の安全確保と業務継続」というリスク対応を主目的として促進されたDXではありますが、COVID-19の収束とともに「元に戻る」のではなく、今後は業務改革・新たなビジネス形態の創出・機会獲得など、企業自らの変革・発展を目的とした取組みに昇華させていくこと、「Society5.0」の実現につなげていくことが重要です。
各企業には、是非自社のDX推進戦略を立案するとともに、企業のDX推進に必要な人材を育成・獲得し、全社的・継続的に取り組んでいただきたいと思います。また、DXへの取組みは、これまでの働き方や業務プロセスに大きな変革をもたらすものであることに鑑み、経営者の皆様には、DXで生じる変化を受け入れる企業文化や風土の醸成にも取り組んでいただくことが必要であると考えています。

本稿が皆様のDX推進およびデジタルリスクマネジメント実践のご参考になれば幸いです。

執筆者

KPMGコンサルティング
パートナー 熊谷 堅
ディレクター 藤田 直子

お問合せ