DX推進のための必須課題となるデジタルリスクマネジメントの要諦

3線ディフェンスを採り入れたガバナンスの構築を

Ridgelinez
プリンシパル 藤本 健 （左）、コンサルタント 宇田川千穂 （右）

　この調査からは、データ保護リスクやクラウドリスクといったテクノロジー関連のリスクは広く認識されているが、規制リスクや倫理リスク、事業継続リスクなどのビジネス関連のリスクについては相対的に重視されていない傾向もわかった。

　また、テクノロジー関連リスクはIT部門、ビジネス関連は営業・事業部門といったように関与部門のサイロ化が生じている実態も浮き彫りになった。藤本氏は、「全社横断的なリスクマネジメント体制やプロセスの整備、運用が求められています」と警鐘を鳴らす。

　一方で宇田川氏は、「今回の調査結果からは、4割前後の企業が、リスクマネジメントが攻めの経営にインパクトをもたらすと認知していることがうかがえます。DRMを後回しにすると、むしろDXが停滞しかねないと理解しているのです」と語る。

　この調査結果などを踏まえたうえで、RidgelinezはDXを成功に導くDRMの要件として、以下の5つを挙げる。

(1) デジタルリスクカタログの整備
(2) DRMを有効に機能させるための3線ディフェンスを採り入れたガバナンスの構築
(3) DX施策ごとにDRMを運用するプロセスの整備
(4) DX施策ごとに1線側にDXリスクオフィサー（DRO）を設置
(5) DROのレポートラインはCDO（チーフデジタルオフィサー）

　(1)のデジタルリスクカタログとは、データ関連、ビジネス関連を網羅して想定リスクを洗い出したものである。

　これを整備したうえで、各DX施策に関与するDROが、施策のリスク評価、対応策の検討、ロードマップの策定、施策実行などを主導する。

　その際、DROが関与する1線（DX施策）側の取り組みを、2線（リスク管理部門）側がレビュー、モニタリングする。さらに、内部監査部門が3線としての役割を果たし、ガバナンスをより強固にするという体制である。

　ここで生じるのが、二重、三重のリスクマネジメントによって、DXの推進にブレーキがかかるのではないかという懸念である。

　藤本氏は、「DX施策におけるリスクとの向き合い方は、既存のビジネスとは異なります。未知の領域に挑むのですから、評価の段階でリスクは避けられないものと考え、ある程度許容しながら施策を進めるバランス感覚が必要です。そのためには、リスクが顕在化した際に、速やかに検知して対応するビジネスレジリエンスが求められます」と語る。

　DROのレポートラインをCDOとするのは、リスクに対する評価と、コントロールの加減について、経営層の判断を仰ぐためである。

　Ridgelinezは、デジタルリスクガバナンス体制づくりや、ビジネス関連リスクに対応するデジタルコンプライアンス、サイバーセキュリティ対策、ビジネスレジリエンスなど、企業のDRMを包括的に支援するコンサルティングとソリューションを提供している。

　藤本氏は「DX推進のためには、DRMを同時に進めることが欠かせません。DXのエキスパートとしての立場から、その最善策を提案させていただきます」と語った。