~リスクマネジメントでのお話~
こんにちは、GRCプラットフォーム部の徳永です。
弊社のミッションは「複雑な外部環境リスクからガバナンスのDX化を通じて企業を守る会社です」となっていますが、
本日はもう少し具体的な例を通じて弊社のミッションについてご説明をしたいと思います。
例えば全社的なリスクマネジメント(ERM)を行う場合を考えてみましょう。
現在の理論ではいわゆる3線モデルに従った統制を取ることが正攻法となりますので、
図のように1線(事業)、2線(リスク管理)、3線(監査)がそれぞれの役割を果たすことが前提となります。
具体的には事業側で保有しているリスクの洗い出しと対応策の実施方針を2線がサポートし、
さらには対応策の実施をリスク管理側でモニタリング、さらに監査部門がそれを再チェックするようなプロセスが必要になります。
相互に連携するだけでなく、担当の取締役からの指揮命令、および定期的な報告を行うことになります。
また、2線・3線については外部監査を含めた監査委員会への報告を行う場合も多いです。
これを実現した状態が、適切なガバナンスが行われている状態と言えるでしょう。
しかし、現実としては1年に一回事業部がExcelに入力した情報をメールで集め、Excel上で集計してとりまとめたものを会議資料として出力し、
リスクマネジメント委員会で承認をもらうという1方向のプロセスになっている例が多いです。
この業務プロセスの進め方では、取りまとめ中に発生したリスクの顕在化や大きさの変化が反映されず、
それが報告されるのは1年後になってしまうとか、事業側でリスクの洗い出しが網羅的に行われているのかチェックするタイミングがない等、
PDCAサイクルを回す時間や工数を取ることができないという問題が出てきます。
この状態からシステム化(DX)することで、単に工数の削減というだけでなく、抜け漏れの防止や重複の排除といったデータのクレンジングによる精度向上、
最新の分析情報の可視化、承認や進捗確認の省力化などを通じてリスクマネジメントそのものの完成度を向上することが可能です。
勿論これだけでなく、参加する社員への教育や動機付けそしてカルチャーの醸成と言った部分も合わせて必要になります。
まずは「リスクに関するあらゆる情報が正規化されて1つのデータベースに入っている」状態に持っていく事が最初のGoalであると考えています。
さらにはAPIを経由して他のサービスやAIエンジンなどと連携することで、予兆検知を実現することも可能性が出てきます。
弊社のクラウドサービスEnterprise Risk MTでは、こうしたリスクマネジメント活動のDX化の支援を提供していますが、
単に製品パッケージに合わせるだけでなく、これまでExcelを使っていた活動で蓄積されたスコア化のロジックや閾値など、
各企業様のノウハウを生かした形で弊社エンジニアがシステム移行をお手伝いしています。
他のガバナンス領域における例についても、時間を作ってご説明できればと考えています。