Ridgelinezは3月25日、調査レポート「DXを実現するためのデジタルリスクマネジメントの要諦」を発表した。デジタルトランスフォーメーション(DX)を着実に推進する上で、デジタルにまつわるリスクマネージメント(以下、DRM)が不可欠だとしている。
この調査は、2020年10月に売上高1000億円以上の企業でDX推進でのリスクマネージメントに関与する課長職以上にアンケートしたもので有効回答は950人。レポートでは、DXへの取り組み状況やDRMの成熟度などについての分析結果と提言をとりまとめている。
同日の記者会見でプリンシパルの藤本健氏は、企業ビジネスのデジタル化やデータの活用、デジタルにまつわる世界的な規制化といった動きが広まる中、適切なリスクマネージメントに取り組まなければ、DXによるビジネスの停滞や中止といった大きな影響を受けると述べた。デジタルにまつわるリスクは多岐にわたるとし、DXの進展に応じた仕組みや対応なども求められるとした。
DXの進み具合とリスクマネジメント成熟度の相関性(Ridgelinez説明資料より)
調査結果では、DRMの成熟度の高い企業が15%とどまる一方、低い企業は74%に上った。また、DXの取り組みが進んでいる企業はDRMの成熟度が高く、取り組みが遅い企業は低いとの相関性もあるとした。回答企業が最も重視するリスクは「データ保護」(21%)で、他には「ビジネス変革」(14%)や「プライバシー」(13%)、「生産性低下」(12%)、「クラウド」(11%)などが挙がった。
DRM責任者を置く企業は79%に上るが、DRMのプロセスを整備する企業は50%にとどまった。48%はDRMが企業競争力につながるとも回答した。藤本氏は、回答企業がビジネスへのメリットを念頭にDRMへの取り組みを進めている、前向きな状況にあると解説した。
藤本氏によれば、デジタルリスクは「データ保護」「新技術適用」「ビジネスモデル変革」「プロセス変革」に大別できるという。データ保護リスクは、例えば企業の内外でデータ流通が加速しサイバー攻撃などの標的になるといったものになる。新技術適用リスクは、脆弱性や未知の脅威などでビジネスへの影響も想定し難いとする。ビジネスモデル変革リスクは、新たな規制強化といった将来におけるビジネス環境の変化になるという。プロセス変革リスクは、例えば、RPA(ロボティックプロセスオートメーション)の管理不備など、IT統制の観点も求められるものになるとする。
DRMの取り組みでは、まずこれらリスクの洗い出しと評価、分類を行い、各種リスクに応じた具体的な対応策などを検討、整備し、継続的にモニタリングする。モニタリングによってリスクが顕在化する初期段階を検知し、ビジネスへの影響を最小限にしていく。また、DX推進部門が第1線となってDRMに取り組みつつ、例えば第2線としてリスク部門、第3線として内部監査部門が対応するような「3線ディフェンス」の構造が有効だとした。
デジタルリスクマネジメントにおける「3線ディフェンス」(Ridgelinez説明資料より)
また、DXの進展状況によってフォーカスすべきリスクテーマとそのマネージメント方法なども変わるとする。例えば、データ活用に取り組む段階ではデータ保護リスクが主要なテーマになり、人工知能(AI)のような新技術を取り入れる段階では新技術適用リスクが主題になる。DXの取り組みが進むと、リスクテーマも複合的になっていくという。
加えて藤本氏は、DRMがDXの推進を妨げるものではないとする理解も不可欠だと説く。テクノロジーを活用した新規事業の立ち上げといったようなDXの取り組みは、スピード感が重視されるだけに、一見するとリスクマネージメントがDX推進側に足かせと受け取られかねない。どの程度のリスクを許容するのかといった見極めや、組織のトップにはDX推進とリスクマネージメントのバランス感覚も必要と説く。
DXの進展段階とリスクマネジメントプロセスの関係(Ridgelinez説明資料より)
DRMに取り組む上では、こうしたさまざまな視点や検討、実施などの項目があり、藤本氏は、DXを着実に推進していくために適切なリスクマネージメントに臨んでほしいと呼び掛けた。