現在企業が直面する喫緊の問題として、デジタルトランスフォーメーション、いわゆるDXがあります。
このDXを実現しようとしたとき、従来のリスクマネジメントでは妨げになることがあるので、新たなリスクマネジメントが必要とされるのです。
その具体的な理由や概要について、解説します。
企業のリスクとDXの関係
現在、多くの企業はデジタルトランスフォーメーション、通称DXへの早急な取り組みを余儀なくされています。
それは、新型コロナウイルスの感染拡大が原因です。
以前から、DXに取り組む企業は少なくありませんでした。
とはいえ、それほど急がなければならないものでもなかったため、変化はゆっくりとしたものでした。
しかし、新型コロナウイルスの感染拡大によって、DXを急がなければならない状況となったのです。
この事態に対応するべく、リモートワークの導入が推進されています。
しかし、リモートワークの導入は、単に自宅で仕事をする制度を導入するだけではありません。
他にも様々な用意が必要ですが、まずは書類をデータ化、つまりペーパーレス化する必要があります。
それに伴って、企業には多くのリスクが発生します。
データ保護リスクや倫理リスク、事業継続リスクなどがあり、企業はこういった変化に対応していかなければならないのです。
DXで企業が変革をする場合、デジタルリスクが増えていく事が懸念されます。
具体的には、情報流出や不正アクセス、生産システムのウイルス感染などが考えられるでしょう。
そのため、デジタルリスクマネジメントを最優先に考える必要があるのです。
DXのために目指すべきデジタルリスクマネジメントとは?
DXで生じるリスクは、大きく4つに分類されます。
データ保護リスク、新技術適用リスク、ビジネスモデル変革リスク、プロセス変革リスクです。
それぞれ、どのようなものかを詳しく解説します。
データ保護リスクは、企業内や企業間でのデータの流通の機会が増えることで生じる、情報流出のリスクです。
特に、中小規模のサードパーティにこのリスクが潜んでいるのです。
パブリッククラウドやAPI技術を活用することで、脅威にさらされる可能性はさらに高くなります。
そのため、デジタルエコシステム全体でセキュリティ等の対応をしていかなくてはならないでしょう。
新技術適用リスクは、AIやIoT、5Gなどの新技術を適用する際に生じるリスクです。
機能が充実し、通信速度や利便性も向上するのですが、新たな脆弱性や道の脅威にさらされることにもなります。
リスクが発現すると、ビジネスインパクトは計り知れないものとなります。
そうならないように、リスク評価の実施は必須となるでしょう。
また、レジリエンス向上に取り組むことも重要です。
ビジネスモデル変革リスクは、DXの推進によって従来のビジネスの延長線上にないビジネス環境へと変革されたときに生じるリスクです。
場合によっては、業界を超えた環境にも進出することとなるでしょう。
これまでとは異なるビジネス環境となるため、新しいルールやセキュリティリスクの特定・評価が必要とされます。
そのうえで、リスクコントロールの実装やモニタリングを行わなければならないのです。
プロセス変革リスクは、従来のプロセスからRPAやAIなどのデジタルレイバーを導入したことによる自動化でプロセスが変更した際に生じるリスクです。
この場合、まずはデジタルレイバーに対する指示が適切ではない場合にリスクが生じます。
関連システムの変更が連携されない可能性がある、というリスクも考えられるでしょう。
さらに、不正アクセスなどのリスクもあるため、従来のシステムと同様にIT全般の統制による対応が求められるのです。
DXのリスクマネジメントプロセスとしては、まずDXプログラムごとにそれぞれのリスクの特定と評価を行います。
このとき、業種や施策内容に応じた観点で行うのが望ましいでしょう。
続いては、リスクへの対応策を検討して、対処の優先順位を付けていきます。
そうしたら、各対応策のオーナーへのアサインやアクションアイテムの棚卸、スケジュールへの落とし込みなどのロードマップを策定しましょう。
プログラムを実行し、モニタリングをすることでプログラムの実行状況、および課題などを把握していきます。
こういったプロセスを運用することで、初期段階でリスク認識をしてそれをコントロールするとともに、有事に備えてレジリエンスを高めていくことができるのです。
デジタルリスクマネジメントの課題
デジタルリスクマネジメントを進めていくうえでは、いくつかの課題が出てきます。
例えば、大きな企業ではDXにおけるリスク対策には全社レベルで取り組んでいるところが過半数を占めるのですが、企業規模が縮小されるにつれて対策が不十分になっていくのです。
デジタルリスクマネジメントを妨げる課題もいくつかあり、特に多いのがリソース不足です。
実行するにあたって、十分なリソースを確保できていないところが多いのです。
また、デジタルリスクマネジメントの実行には、様々な人材が必要です。
しかし、その設計・マネジメントができる人材や、実行するために必要な関係者を巻き込むことができる人材などがいない、という問題もあります。
さらに、そういった人材の採用や育成をするための予算を確保できないという問題もあります。
海外では、リスク認識の甘さや規制対応への理解不足などによって、多大な損失を被った例もあります。
例えば、とある銀行では新しいプラットフォームが開発されたことで500万人の顧客口座とデータを移行したのですが、大規模なシステム障害が発生してしまいました。
その障害により、オンラインバンキングサービスは数週間利用できなくなったのです。
更に、その後も数カ月にわたって断続的な障害が発生しました。
その結果、信用が大きく損なわれて約8万人の顧客が他行へと流出してしまったのです。
他にも、他国への事業展開を考えて会計管理システムとパートナーを変更した電力・ガス会社では、システムの欠陥や給与支払いの間違い、サプライチェーン機能の欠陥による取引プロセスへの多大な影響、さらには財務報告の遅れまで生じ、9億ドル以上の損失を被ることになったのです。
まとめ
DXを実現するにあたって、デジタルリスクマネジメントが欠落していると、大きな損害を被るケースもあります。
DXに伴って、従来型のリスクマネジメントでは対応しきれない部分も増えてきます。
それに対応するために、デジタルリスクマネジメントが必要とされるのです。
実現の前に、必ずデジタルリスクマネジメントを評価し、対策を施しましょう。
