パンデミックとリモートワークで経験したリスクが将来の GRC を形づくる

How will recent risk trends shape the future of GRC

2022/03/24 HelpNetSecurity — かつてないほど、リスクマネジメントは、組織にとって重要なものとなっている。かつてないほど、私たちの世界では、変化のスピードが速くなっている。組織が直面するリスクの種類には、サードパーティ/サプライチェーン/レギュレーション/プライバシー/オペレーション/サイバー/金融/環境など、日々進化している。そして、これらの問題は単独で存在するのではなく、相互に関連したリスクであり、全体的な対応が求められる。

安全衛生上のリスクであるパンデミックが、下流へ向けて影響を及ぼし、関連するリスクへの扉を開くことになった。そこには、リモートワークに関連する IT リスクや、サプライチェーンの問題に関連する破壊、労働力の管理の問題などがある。これらのリスクを単独で管理しても、組織が成功するために必要な大局的な見地は得られない。
そこで、GRC の将来を形作るであろうトレンドと、その課題に対応するための方法をまとめてみた。

サイバー・セキュリティのリスク

今年に初めに、ランサムウェア攻撃/大規模な IT 障害/データ漏洩の脅威が、Allianz Risk Barometer の史上2度目となる、世界の企業における最大の懸念事項としてランク付けされた。

サイバー・セキュリティのリスクを増大させる要因の1つに、すぐに無くなるとは思えないリモートワークがある。HP Wolf Security の調査によると、数多くの従業員が安全とは言えないネットワークに接続し、セキュリティのポリシー/テクノロジーを仕事の妨げとみなしていることが分かった。その中には、それらの対策を回避しようと努力する者さえいる。また、IT チームの 91% が、事業継続のためにセキュリティが危殆化するというプレッシャーを感じており、そのうちの 83% が、ネットワーク侵害の時限爆弾としてリモートワークを見なしていることが分かった。

データ侵害の件数が話題になっただけではなく、2021年はサイバー・セキュリティに関連する大統領令やイニシアチブが増加した。これらの命令は、政府と契約している企業にダイレクトな影響を与えるが、それらの企業をサポートする企業にも、間接的な影響が及ぶと思われる。連邦レベルにおける、サイバー・セキュリティ規制への注目の高まりは、組織にとって大きなチャンスとリスクの源泉をもたらす。

サイバー・セキュリティへの投資は増加している。この傾向について、さらなる証明が必要なら、今すぐにサイバー・セキュリティの専門家を雇用してみてほしい。有能なリスク管理者や CISO の需要は、供給をはるかに上回っており、わずか1年半~2年前よりも、彼らは遥かに高い給与を要求している。

ESG (Environmental, Social and Governance) 報告

リスク・マネジメントにおいて、ESG (Environmental, Social and Governance) をめぐる議論は近年高まっており、その勢いが衰える気配はない。排出量の削減から、多様性/公平性/包括性の目標の追求や、汚職の取り締まりまで、ESGに真剣に取り組まない組織には、取り残されてしまうリスクがある。企業が ESG の取り組みを、どのように管理し報告するかにより、投資戦略/取締役会/消費者行動/雇用決定までもが左右される。

持続可能を標榜する投資は4兆ドルに達し、BlackRock のような企業は、ポートフォリオを構成する企業に対して、温室効果ガス削減計画の策定や ESG レポートの定期的な発行などを求めている。それと同時に、Z 世代は急速に労働人口を増やしており、以前の世代よりも遥かに多くの人が、自分たちの価値観に合った組織で働くことを選択している。

組織が ESG の道を歩み始めるのに役立つ、様々なフレームワークが存在するが、米国企業にとって標準となるフレームワークは存在しない。それらのフレームワークは、特定の業界にとって最重要なガイダンスを提供するが、継続的に ESG を監視し報告する方法については、それほどの洞察を与えてはくれない。

そのため、企業は既存の取り組みを統合し、データを取り込み、評価を行い、ESG 関連リスクを特定するための、強固な GRC ソフトウェアを必要とする。しかし、現状において ESG が脚光を浴びていることで、企業は約束したことと実行したことが、一致していることを示す必要がある。

人材の確保と喪失

あらゆる業界において、大量辞職は大きな打撃を与えた。人材流出は、組織にとって巨大なリスクである。適切な人材がいなければ、戦略的なビジョンを実行することができない。その上、メンバーの入れ替えはコストと時間を浪費し、すでに従業員数が減少している部門に負担をかけることになる。

最近の離職者の中には、自身の人生における優先順位を見直し、より良いワークライフ・バランスを求めるようになった時期と重なる人もいる。ある調査によると、従業員の約半数が転職を考えており、その理由の約 40%は、パンデミック時に雇用主が、自分たちの心配事に関心を示さなかったからだと答えている。

また、オンボーディングとオフボーディングの流れが強まることで、他のリスクも発生する。こうしたプロセスに ITチームがリソースを集中させると、新規プロジェクトやサイバー・セキュリティ対策などの、優先されるべき事項に費やす時間が少なくなってしまう。また、リモートワークを導入した後に、オフィスへの復帰を計画している企業も、柔軟な働き方を求める従業員からの反発に直面することになる。このような従業員の期待に応えるために、企業は不動産のリスクについても管理が必要となる。

私たちの業界において、有能なセキュリティおよびリスク・マネジメントの専門家を求める競争が、かつてないほど激化している。そのようなスキルを持った候補者は、どこでも働けるし、給料も指値で決められる。この傾向は 2022年を通して続くと思う。どの分野においても、現状の人材維持のための戦略を検証し、それらのプログラムの成功を追跡し、変更すべき箇所を特定しながら、瞬時に対応することに価値がある。

弾力性と敏捷性

この2年間で学んだことは、すべてのリスクを回避することは不可能だということだ。組織は、最も差し迫ったリスクに対する評価と計画を検討する際に、レジリエンス (回復力) の文化を醸成する必要がある。

リスク・マネジメントでは、アジリティとは転倒を回避する能力のことであり、レジリエンスとは転倒から回復する組織の能力のことである。パンデミックに遭遇したことで、あらゆる組織が余儀なくされたのは、あらゆる種類の事象に対してレジリエンスを発揮し、障害に負けずに業務を再稼働させる方法を見出すことだった。レジリエンスでは、エンタープライズ・リスク管理との統合が必要とされるため、従来からのビジネス継続性の概念を超えるものとなる。

レジリエンスは、アジリティと並んでリスク・マネジメントに属するものである。なぜなら、リスクを戦略的な優位性として活用する企業の能力を、レジリエンスとアジリティの組み合わせが支援するからである。レジリエンスが、復旧に焦点を当てた戦術的アプローチであるのに対して、アジリティは、不確実性を戦略的に捉えるものであり、組織における計画の立案を支援するものである。

レジリエンスの文化とは、どのようなものだろうか。GRC の専門家であり評論家でもある Michael Rasmussen は、レジリエンスの高い組織を人体システムに例えて、すべての部門が連携し、独立し、同時に機能するような組織だとしている。

レジリエンス文化の強さとは、1つのシステムを単独で見るのではなく、部門を越えて見渡し、サイロを取り払い、リスクに対する全体的なアプローチを受け入れる能力にかかっている。レジリエンス文化を求める組織には、サイロやスプレッドシートでは実現できないレベルの、堅牢なプロセスと自動化のサポートが必要となる。そのためには、ビジネスのあらゆる部分を接続し、何が危機に瀕しているかを、大局的に把握できる GRC ソフトウェアが必要となる。

ここ数年で、リスク面積がダイナミックに拡大している。組織はサイロを壊し、ビジネスプロセスを全体的に理解しようとしている。そして、リスク・マネジメントが上手くいかないと、リスクが生じることを学びつつある。全体論的なアプローチと、レジリエンスとアジリティへの注力、そして堅牢な GRC ソフトウェアがあれば、その企業は GRC を形成し続けるリスクのトレンドに立ち向かい、リスクを戦略的な優位性として活用できるようになる。

タイトルにある GRC:Governance/Risk/Compliance は、それぞれの企業が持つべき重要な概念になってきています。そして、今にフォーカスすると、パンデミックとリモートワークが、新たに登場した大きな要素/要因になります。なお、この記事に元データを提供する「Allianz Risk Barometer 2022」ですが、ダウンロードしてみたら「Japan:1. Cyber incidents →/2. Natural catastrophes ↓ 3. Business interruption → 」となっていました。

%d bloggers like this: