{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
企業が持続的な成長をしていくためには、リスクマネジメントの観点が不可欠です。企業が直面するリスクには、気候変動やテクノロジーの進化といった外部環境に起因するものもあれば、組織の縦割りや事業ポートフォリオといった社内事情に起因するものもあります。
こうした社内外のリスクに対して、企業価値を向上させるための変革のドライバーとなるのが、リスクマネジメントのデジタル化とデータの利活用です。なぜリスクマネジメントをデジタル化する必要があるのか、経営戦略の視点でどのようなメリットがあるのか、そして推進するにはどうすればいいのか。これらの点について解説します。
日本企業において、DXといえば業務プロセスの効率化を指すと思われがちです。もちろんそれ自体は重要ですし、実際にそうした意図でのDXは進んでいますが、グローバルに目を向けてみると、デジタルをリスクマネジメントに活用している事例が目立ちます。
日本ではリスク管理が手作業で行われているケースが多く、デジタルへのシフトの必要性が認識されているとは言えない現状があります。一方、PwCがまとめた「2022 Global Risk Survey」の調査データで見ると、世界的にリスクマネジメントのデジタル化がいかに重視されているかが分かります。
例えば、今後数年間でGRC(ガバナンス・リスク・コンプライアンス)のためにテクノロジー評価を行うと答えた組織は70%となっており、リスク部門の仕事にテクノロジーとデジタル機能を追加するための投資を増やしていると答えた最高経営責任者の割合は74%にものぼります。
では、なぜ世界的にこうした傾向が顕著になっているのでしょうか。現在多くの企業が挑戦している価値創造経営のプロセスは、パーパスやビジョンを基にマテリアリティを策定し、これを具体化した中期経営計画に則って事業活動を行うというもので、ここで重要なポイントとなるのが中長期的なリスクを的確に把握できているかどうかという点です。つまり、リスク対応が不十分な状況を放置するということは、マテリアリティや中期経営計画の実現を妨げることになりかねないことを意味します。
日本のリスクマネジメントがこうした経営戦略と紐づくような形にならない理由はさまざまです。例えば、事業活動で発生する「個別のリスク」と戦略策定や事業計画にかかわる「中長期的なリスク」が別々に扱われていることが挙げられます。個別のリスクは各事業部や総務部が担当し、中長期的なリスクは経営企画部が担いますが、この両者がリンクしていないという現状があるわけです。
また、リスクに対する解像度が低い点も大きな課題と言えるでしょう。リスクの対象は、品質や人材、サプライチェーン、コンプライアンスなど多岐にわたりますが、これらの一元化が十分でないため、リスク管理部門への報告や内容の理解、施策としてのリスク対応が遅れがちなのです。
さらに、一口にリスクといっても、自社に対する影響の大きさによって優先度が変わります。リスク自体はゼロにはできないので、影響が小さいリスクは一時的に対応を先送りしたり、機会として生かせるリスクは戦略的に事業計画に織り込んだりといった判断もあり得ます。しかし、リソースが不足しているため、ここまでの手を打てる日本企業はまだまだ少ないのが現状です。
こうした課題がある中、PwCでは企業全体のリスクを統括的に一元管理し、変化に対応できるレジリエントな経営活動を実現するため「エンタープライズリスクマネジメント」関連のコンサルティングサービスを提供しています。この観点の下、企業が抱えるリスク対策の課題に対し、PwCではリスクマネジメントのデジタル化とデータの利活用の推進を提唱しています。その背景としては、大きく以下の3つが挙げられます。
1つ目は、変化に対応する必要性が待ったなしであるという点です。外部環境や社内のビジネスの変化は年々大きくなっており、中には予測が難しいものもあります。以前は少人数でも担当者の感覚で対応できていたかもしれませんが、諸環境が複雑化している現在、適切な管理ツールやシステムがなければ、限られた人的リソースで変化に対応するのが困難になっているという背景があります。
2つ目は、リスクベースの意思決定を強化する必要性の高まりです。リスク管理部門が効果的な意思決定をしていくためには、精度の高い情報に基づく評価が必須です。この評価を的確に行うことで、リスクの解像度も上がり、優先度も的確に判断することが可能となるため、どのようにしてリスクをベースとした評価プロセスを構築するかが重要です。
3つ目は、デジタルへの意欲の高まりです。今後は技術革新やデジタル化が加速度的に進展することが予想されます。価値創造経営のためには、デジタルツールやソリューションを活用することで得られる意思決定のスピード向上やデータドリブンなリスク判断体制は大きな推進力になるはずです。
実はこの3つの背景は、投資家に代表される社外のステークホルダーからの要請ともリンクしています。今後の価値創造経営のためには、リスクマネジメントと経営戦略は切っても切れない関係だからです。
また、統合報告書や有価証券報告書といった開示においても、リスクマネジメントを経営戦略や機会にリンクさせることは外部からの評価ポイントになるため、リスクマネジメントのデジタル化とデータの利活用の推進は、まさに社会的な要請だと言えるのです。
ここで見てきた3つの背景や社会的要請を踏まえると、社内外の多様なデータソースを蓄積・評価し、分析やレポートとして活用する一連の流れにおいて、リスクマネジメントをデジタル化して経営戦略に結び付けることの重要性が見えてくるのではないでしょうか。
リスクマネジメントのデジタル化とデータの利活用が進むと、具体的にどのような効果が生まれ、どのようなメリットや意義があるのかをもう少し具体的に見ていきましょう。大きく「リスク評価」「リスク対応」「リスクシナリオ・KRI(キー・リスク・インディケーター)」「意思決定・レポーティング」の4つのフェーズに分けて説明します。
1つ目の「リスク評価」では、デジタル化によって評価プロセスやモニタリングが自動化され、評価結果を対応状況に連動させながら進捗やリスクの重要度を一元管理することが可能となります。リスク調査の際、手作業によるアンケートの集計にリソースをとられて結果の分析に至らないという課題は、これでクリアできます。
また、データの所在が統一されることで信頼性が高まるため、経営層の意思決定においても最適な活用が可能となります。
2つ目の「リスク対応」については、対応の報告が年中行事化・形骸化してしまうという手作業の課題を克服します。
デジタル化を進むということは、リアルタイムでタスク進捗が確認できるようになるということです。これにより、リスクオーナーに対して対応策を自動提案したり、対応状況の見える化や緊急対応すべきリスクの把握が可能となったりするなど、経営面でのメリットが生まれます。
3つ目の「リスクシナリオ・KRI」でも大きな効果が見込めます。リスクシナリオは、原因・事象・結果で考える必要がありますが、共通のフレームを作成してデジタル管理をすれば、データドリブンな活用が可能となります。また、リスク指標であるKRIも、デジタル化で上流システムとのデータ統合が進むので、継続的な自動更新が実現します。
リアルタイムでリスク監視ができている状態であれば、リスク発現の予兆も捉えやすくなりますし、実際にリスクが発生した際にも自動でアラートが出るなど、スピーディな経営判断に基づくレジリエントな対応が可能です。
4つ目の「意思決定・レポーティング」では、ダッシュボード管理の恩恵が挙げられます。手作業では、経営層向けの報告書でカバーできる範囲が限定的ですし、変化の速度に対して情報の鮮度もすぐに落ちてしまいます。しかし、リスク管理全体をシステム化することでヒートマップやトレンドの推移といった情報がダッシュボード上で可視化され、リアルタイムに更新されるため常にフレッシュなデータが参照可能です。
経営目線で自社の戦略や事業への影響が把握しやすくなるのはもちろん、ダッシュボードのサマリーから個別リスクへのドリルダウンもできるので、リスク情報に合わせて戦略をアップデートすることにもつながります。
ここまで述べてきた各フェーズでの効果やメリットを俯瞰すると、デジタル化の恩恵としてリスクマネジメントと経営戦略が直結することがご理解いただけると思います。
最後に、リスクマネジメントのデジタル化とデータの利活用の進め方についても触れておきます。どう進めていけばいいのかは企業によっても違いますが、一般的な方法としては「全体構想」「設計」「構築」「Post Go Live」の4つのステップに分けられます。ケアすべきポイントを説明しましょう。
1つ目の「全体構想」では、ビジョンの策定とデータモデルの構築を実施します。ビジョンは、目指すべきリスクマネジメントの姿や経営管理サイクルの定義、それを支えるイネーブラーシステムについて、経営層やシステム部門も含めた意識統一を行います。リスクマネジメントはどうしてもリスク管理部門だけが携わると思われがちなので、経営から各事業部まで全社的な取り組みである点を周知させることがポイントとなります。
また、統合的なリスクマネジメントを進める上ではリスク評価が必要となるため、全体構想の段階で指針となるデータモデルやデータ辞書を整備しておくことも重要です。
2つ目は「設計」です。ここでは、全体構想で整備したデータモデルを基に、何がリスクになるのか、リスクが業務に対してどのような影響を及ぼすのかというリスク評価メトリクスを準備します。その際、単一のリスク指標だけでは評価が不正確になることもあるので、複数のデータ項目を組み合わせてリスクの発現を検知する基準を決めておくといいでしょう。
また、三線体制やリスクオーナーなど、全体のガバナンスに応じたアクセス権も、設計段階で定義しておくべきです。
3つ目の「構築」でのポイントは、長年続いたマニュアル業務をデジタル化していくため、すべてを一気に変えるのではなく、アジャイルで推進することです。実際のデータを使ったリスク評価の結果やレポートを確認しながら、徐々にアジャストしていくと無理のない形で移行が進むでしょう。
システムの構築と並行してカルチャーの変革も求められます。業務移行のハードルを越えるには、経営トップからの強いメッセージや現場向けのトレーニングも必要です。
4つ目は、「Post Go Live」での定期的な更新や改定です。外部環境やリスク発現の状況は常に変化するため、リスクシナリオを定期的にメンテナンスしてアップデートすることで、リスクマネジメントの効果を最大化できます。次世代のリスクマネジメントに向けては、AIの活用といった高度化・効率化も検討していくことになります。
リスクマネジメントのデジタル化やデータの利活用を進める意義は、単にプロセスを変えて内部統制の強化を図るためだけではなく、リスクマネジメントと経営戦略を融合させることにより、さまざまな効果やメリットを得ることにあるという点について述べてきました。
会計や人事、外部環境といった個別のリスクは従来の方法でも対応できるかもしれませんが、これらを統合してリスク管理から経営上の意思決定、情報開示にいたるまでハンドリングするにはデジタル化は必須です。
社内システムの大幅な変革を伴うことに不安を持たれる経営者の方もおられると思います。また、実際、リスク管理だけのためのシステムを構築するのは費用対効果の面で負担になることが予想されます。ただ、多くの企業は社内のDXを推進する中でプラットフォームやデータレイクを有するケースも多いので、そこにリスク情報を統合する形にすれば、コストやオペレーションの面で効率的なデジタル化を図ることは可能です。