統合リスクマネジメントを導入する

業績が優れている組織というのは、リスク管理も適切であるため、ビジネスでもよりスマートな意思決定を下せるものです。 社内オペレーションや業者、会社の財政、サイバーセキュリティといった多岐にわたるリスクと対峙するとき、このような組織は統合的なアプローチを取って対処します。

統合リスクマネジメント（IRM）とは組織全体のリスクを管理する戦略的かつ協働的手法ですが、リスクマネジメント チームはこの手法を取り一元化されたプラットフォームでリスクに関連するデータを視覚化、共有し、コンプライアンスを確保すると共に、経営陣には戦略と業務進捗を報告していきます。

会社が対峙するリスクを視覚的に把握できるトップクラスの組織は、先ず何に対処していくべきか、さまざまなシナリオがどのように展開していく可能性があるのか（新しい事業所の設立や新しい業者との契約など）を心得ています。 あらゆる可能性を把握し、迅速に対処しているからこそ、リスクによる損害から組織を守り、競合他社に追随を許さずトップに立ち続けられているのです。

一方、多くの組織はガバナンス、リスク、コンプライアンス（GRC）機能の完全統合に苦慮しており、方々の業者やテクノロジープロバイダーに頼っているのが現状です。 Trakia Journal of Sciences の調査によると、80% の企業が全社的にリスクを統合することは有益かつ必要であると回答していますが、そのような取り組みを行っている企業はまだあまり見られず、 リスクマネジメントをすべてのビジネス プロセスに統合している組織は、わずか 15% しかありません。

リスク対処への足並みが揃わないアプローチから統合リスクマネジメントアプローチへと移行するにはどうしたら良いのでしょうか。以下、シンプルなステップを一部ご紹介します。

1. 現状を分析する

GRC ソリューションに活用しているテクノロジーをすべて監査しましょう。 組織に対して純粋に価値があるものを把握するために、テクノロジー サービスでツール間で完全に統合できるものはどれか、それを使用するのは誰か、使用する頻度はどのくらいか、ツール間に重複する機能はないかなどを確認してください。

2. 技術的に限界がある点についてフィードバックを得る

リスクマネジメント チームと話をして、データ収集やワークフローの自動化、分析報告書の作成など導入ソリューションを使用するにあたり困っていることがないかを確認してください。

3. 経営陣からの同意を得る

不足を補うべき点がわかったら、経営陣と会議を設け、統合ソリューションへの投資について同意を得るようにしましょう。 統合リスクマネジメントというソリューションが会社の競争力獲得にどう貢献できるかを看破しさえすれば、その価値をもって経営陣を説得できることでしょう。 統合リスクマネジメントへとアプローチを移すということは、リスクマネジメントの役割をただコンプライアンスに力を入れるものから組織全体に資する戦略的パートナーへと進化させられるのです。

4. 統合リスクマネジメント ソリューションを評価する

現在導入しているソリューションの不足点を把握したら、次はその穴埋めをし、チームの業務効率と戦略性を高めるサポートができる統合リスクマネジメント プラットフォームを特定しましょう。 多くの GRC ソリューションは統合リスクマネジメント ソリューションとしての完全な定義には当てはまりません。基準を満たす統合リスクマネジメント ソリューションを探し当てるには、次の点を評価してください。

• 会社の GRC ニーズに応え、即座に実行できる自動化されたエンドツーエンドのワークフローを設計できる
• 高度なデータアナリティクスを通じて、求める答えを瞬時に得られる
• データや自動化されたワークフローを一元管理できる
• 複数のソースから取得するデータを統合し、現状の GRC の全体像を把握できる
• データをストーリーボードで視覚化情報として表示し、そしてレポートとして出力できる

5. ソリューションを選定する

会社規模や業界、予算といった各種条件に照らし合わせて業者を評価すれば、正しい選定をするために必要な情報を得られます。 選定したソリューションが会社で扱う各種システムを 1 つに統合するにあたり、適切にサポートしてくれるのかを確認しましょう。

6. 抱えるすべてのリスクを一覧にまとめる

現状抱えるあらゆるリスクを一元的に包括的に把握し、各部門のマネージャーから係るリスクについてのフィードバックを得るようにしましょう。そうすれば、組織全体で把握すべきリスクを確実に追跡できます。 導入する統合リスクマネジメント ソリューションは業界の一般的なリスクを包括的にカバーしているかもしれませんが、大事なのは特有の要因もリスク対象としてまとめられることです。 こうした特有の要因も含めてリスクをまとめた上で、重要度に応じてリスクに優先順位をつけて対処を始めましょう。

7. 関係者を特定してアクション プランを立てさせる

リスク要因ごとに、リスクを監視して、重要度が高まったときに軽減計画を管理するために、責任をもつ関係者を特定しなければなりません。 担当する関係者ごとに適切なリスクの判定基準を設け、リスクが高まったときの対処に段階的なアクション プランを提示しましょう。

8. 業界固有のコンプライアンス ワークフローを設定する

統合リスクマネジメント ソリューションには業界やニーズを基にした既成のコンプライアンス チェックリストが必要です。 会社のビジネスに対して筋が通っているコンプライアンス ワークフローを設定しましょう。

9. 従業員に教育・指導を施す

ソリューションを選定したからと言って、従業員がそのソリューションを確実に使いこなせるとは限りません。オンボーディング時に優先順位別に教育を施す必要があります。 リスクマネジメント機能について学習するセミナーを実施しましょう。フォローアップとして特定の従業員に小グループ制または個別トレーニングも提供し、新しいシステムを使って進める個々の担当業務について理解を深めさせることも重要です。 使用しないツールを段階的にでも完全に廃止してしまう前に、新しいプラットフォームを使用してもらうように機会を作りましょう。

分散した複数のシステムや資産のネットワークから統合リスクマネジメント システムへの移行には課題もありますが、移行を進めるだけの価値は十分にあります。

統合リスクマネジメント ソリューションへの移行により、組織全体のリスク要因を広く把握し、効率的にコンプライアンスに取り組めるようになります。その結果、従業員には会社の成長につながる戦略的ビジネス プランに注力できる時間的余裕と必要な情報が手に入ります。