ホワイトハウスのサイバーセキュリティアドバイザーや、Gartnerのフェロー兼バイスプレジデントを務めた経験を持ち、現在はMetricStreamのチーフエバンジェリストであるFrench Caldwell氏は、企業にクラウドコンピューティングやモノのインターネット(IoT)、人工知能(AI)などの新たなテクノロジが浸透する中、IT部門の責任者とビジネスリーダーの両方が、リスク管理計画を見直し、これらのテクノロジが事業目標に与える影響について再検討する必要があると述べている。
従来は、リスク管理に関する会議は四半期ごと、あるいは1年ごとに開催されるのが普通であり、継続的にモニタリングを行うことはあまりなかった。Caldwell氏は、多くの企業で新たなテクノロジの導入やデジタル変革の取り組みが進んでいる状況では、これは賢いことではないと述べている。「新たなビジネスの取り組みに対するリスクは、時とともに変化する」とCaldwell氏は言う。「新たな取り組みをスタートさせれば、新たなリスクが登場する。あらかじめリスクを特定するとともに、事業目標に対するリスクを継続的にモニタリングする必要がある」
最近実施されたMetricStreamの調査では、企業がガバナンス、リスク管理、コンプライアンス(これら3つを合わせて「GRC」とも呼ばれる)への投資を行う主な理由として、リスクの見逃しや、新しい事業が呼び込む新たなリスクへの対応を改善することが挙げられている。「5年前なら、どちらもリストの上位には挙がらなかっただろう。規制コンプライアンスが重視されたはずだ」とCaldwell氏は言う。「しかし今日では、企業はリスク情報を適切に入手し、新たな取り組みへの投資に対するリスクや規制の影響を把握したいと考えている」
このため最近では、最高経営責任者(CEO)が企業のリスク管理に関与することが増えているという。しかし、「多くの場合、リスク管理とコンプライアンスに対する技術部門のリーダーの考えと、ビジネスリーダーの考えには隔たりがある」とCaldwell氏は述べている。
例えば、最高情報セキュリティ責任者(CISO)とCEOの観点からコンプライアンスについて考えてみよう。CISOにとって、コンプライアンスとはIT部門のセキュリティコントロールを実効性のあるものに保ち、適切にテストを実施し、監査の際にしっかりと記録を残すことだ。しかしビジネスリーダーは、コンプライアンスを規制リスクとして、あるいは新しいルールや、ルールを遵守しないことが事業目標を達成する能力に及ぼすリスクとして捉えている。
「この問題については、多くの企業が成熟し始めている。CISOや最高情報責任者(CIO)は、ITのリスクと事業目標やビジネスプロセスのコントロールを結びつけ、この結びつきや、事業目標に対するITリスクの将来的な影響を明確に示そうとしている」とCaldwell氏は述べている。
MetricStreamの最新のレポートから、GRCのプロフェッショナルに新たな課題を突きつけている、6つのテクノロジトレンドを紹介する。
提供:iStockphoto/NicoElNino