※本記事はG2.comの記事を、 ITreview Laboが意訳した転載記事です。

ビジネスの世界における変化のスピードは、気の遠くなるような速さです。

サードパーティサプライヤーからサプライチェーン、規制問題、プライバシー問題、業務上の課題、サイバー攻撃、財務上の心配、環境コンプライアンスなど、ビジネス上のリスクは日々変化し続けています。

これらの問題は孤立しているわけではなく、相互に関連したリスクであり、包括的な解決策が必要です。ガバナンス、リスク、コンプライアンス（GRC）に対する意識的かつ総合的なアプローチの必要性は、組織にとってかつてないほど重要なものとなっています。

ビジネス環境の変化に伴い、企業はGRC戦略を進化させ、相互に関連するリスクを包括的に把握し、そのリスクの財務的な影響を理解し、あらゆるレベルでより多くの情報に基づいた意思決定を行う必要があります。

ここでは、リスクを戦略的な優位性に変えるための予防的アプローチとして、GRCのトレンドをご紹介します。

1. GRCの課題に立ち向かうための回復力と俊敏性のある文化

どのように努力しても、すべてのリスクを回避することはできません。企業は、最も差し迫った脅威を考慮し、それに備えるために、レジリエンス（回復力）の文化を醸成する必要があります。

リスクマネジメントにおけるアジリティ（俊敏性）とは、組織が衝突を回避する能力を意味します。一方、レジリエンスとは、組織がそこからいかに回復するかということです。

インフレ、経済の不確実性、そしてスタグフレーション（成長の急激な鈍化）という世界的なリスクに備えるためには、障害から最小限のビジネスインパクトで回復するためのレジリエンスを構築する必要があります。

近年、レジリエンスの重要性が増しています。それは、全社的なリスク管理と統合され、組織全体にわたって機能し、何が危機に瀕しているかを包括的に把握することができるのです。アジリティとレジリエンスは、互いに補完し合うものでもあります。

アジリティは不確実性を戦略的に捉え、レジリエンスは部門を越えて取り組む戦術的な手段を提供します。また、レジリエンスは、組織のすべてのステークホルダーの行動を必要とするため、文化でもあるのです。

GRC の専門家である Michael Rasmussen 氏は、この文化を人体に例えて次のように述べています。

75%の組織がサイロ化したテクノロジーシステムがリスク管理の課題となっていることを認識している一方で、この問題に対処するために企業レベルの行動を起こしているのは35%に過ぎません。

PwCは、企業がインテリジェントテクノロジーとリスクに対する「俯瞰的」な視点を活用した場合、その企業の取締役会と経営陣は、ステークホルダーの信頼、より高い回復力、より良いビジネス成果をもたらす組織の能力に対して高い信頼性を持つ傾向が5倍高いことを発見しました。

2. CIOの役割は進化している

CIO（Chief Information Officer）のようなテクノロジーリーダーは、ソフトウェアの実装やプロジェクト管理といった「二次的」あるいは「バックエンド」な役割のみではもはやありません。現在では、企業の意思決定の中心に位置し、マーケティング、セールス、製品開発、財務など、ビジネスの中核を担う重要な意思決定者となっています。

2022年版「CIOの現状」レポートによると、CIOの役割は、ビジネス・イノベーションとオペレーショナル・エクセレンスのバランスを取ることだと考えています。ITリーダーの4分の3は、組織がITの問題に周期的に焦点を当てることにかかわらず、デジタル変革の取り組みの加速によって、その役割が新たな重要性を維持すると予想しています。

また、80%以上のCIOが、イノベーションを重視するチェンジメーカーと見なされていると回答しています。

このように、従来のITサービス提供からより戦略的な役割への劇的なシフトにより、CIOはビジネス目標に集中することができるようになりました。テクノロジー・リーダーが経営幹部にビジネス・ケースを提示するようになると、他の経営陣に貴重な洞察を提供し戦略的目標を達成するための、リスク定量化アプローチの恩恵を受けることができます。

低、中、高、赤、黄、緑のような旧来のリスク測定尺度は主観的で、利害関係者はリスクの決定がビジネスニーズに合致しているのかどうか、不確かなままでした。リスクを金銭的に定量化することで、収益に与える影響を示す共通のリスク言語を持つことができます。

この共通言語は、ビジネスの意思決定において重要なリスクに関する見解の共有につながり、CIOの役割をさらに高めることになります。

また、リスクの定量化による共通言語は、経済情勢により企業が予算の見直しを迫られる中、シナリオの立案や分析もスムーズに行うことができます。リスク軽減戦略は、コストやリスク軽減の度合いによって大きく異なります。リスクの定量化により、CIOは統制の実施状況を比較し、適切な緩和策を検討し、取締役会にフィードバックすることができるのです。

3. サードパーティリスクの重要性が増し、より厳しい監視の目が向けられる 

施設管理、物理的セキュリティ、法務サービス、技術サポートなど、組織はますますサードパーティに依存するようになっています。

第三者サービスを導入することで、社内のプログラム開発に負担をかけることなく、専門スキルや専門知識を活用することができ、ビジネスの競争力を高めることができます。しかし、組織のあらゆる側面に関わる第三者やベンダーとの関係が広がれば広がるほど、組織の潜在的な脆弱性は大きくなっていきます。

ベンダーと連携することで、ベンダーのリスクが自社のリスクとなるのです。しかも サードパーティは、ますますサードパーティ自身と連携するようになってきています。あなたのサードパーティ（およびそのサードパーティ）が経験するあらゆる違反や障害は、あなたのビジネスを危険にさらすことになります。サードパーティの脆弱性によって直面する金銭的な損失に加え、組織は運用の回復力と風評被害をリスクにさらすことになります。

73%の企業が、サードパーティが不必要に広範な特権や権限で顧客データを過度に制御していることに懸念を表明しています。また、半数近くの組織が過去1年以内にデータ侵害を報告しており、4分の3が特権的アクセス権を持つサードパーティによる侵害が原因であると回答しています。

情報漏えいに起因する直接的なビジネス上の脅威に加え、顧客の信頼を失う可能性は、規制による罰金や風評リスクよりも直接的かつ定量的にビジネスに影響を与える可能性があります。IBMによると、情報漏えいのコストの38%はビジネスの損失によるものです。これは、平均152万ドルに上ります。

サードパーティベンダーに対する顧客の信頼を築き、維持するためには、サードパーティリスクマネジメントへの積極的な取り組みが必要です。経済の不確実性が高まる中、どのベンダーがビジネスに重要で、どのベンダーを排除すればマイナスの影響を最小限に抑えられるか、サードパーティ企業をビジネスとしてよく見極める必要があります。

組織が現在のベンダーを評価し、新たな関係を承認するためのねじを締めるとき、サードパーティーリスクマネジメントが重要な役割を果たします。包括的なGRCソフトウェアの一部であるサードパーティリスクプログラムは、企業のサプライヤーに関するすべての重要な情報を一元管理し、パフォーマンス、コスト、リスクの管理を容易にします。

効果的なサードパーティリスク管理は、一貫したベンダースクリーニングプロセス、有意義なベンダーの優先順位付け、継続的なモニタリングの3つの要素で構成されています。

審査プロセス

サードパーティは組織の隅々にまで行き渡っているため、誰もがリスクマネジメントの役割を担い、抜け落ちがないようにする必要があります。企業として、サードパーティを評価するための評価基準やフレームワークに合意する必要があります。また、主要なパフォーマンス指標を決定する必要があります。

契約を見直し、約束を守っていないベンダーを特定し、サービスレベル契約（SLA）をより厳格に実施・管理することもできます。適切な包括的GRCソフトウェアを使用すれば、チームメンバー全員が必要なデータ、ツール、共通言語にアクセスし、これらの評価を行うことができます。

優先順位をつける

ほとんどの企業は、何十社ものベンダーと取引をしています。サードパーティリスクマネジメントを成功させる最善の方法は、重要なベンダーに優先順位をつけることです。このランキングを使用して、ベンダーの重要性を反映したスコアリングプロセスと手順を開発することができます。

以下のステップを踏んでください。

• 各サードパーティとの関係を、自社の業務にとってどの程度不可欠であるかに基づ いてランク付けする。
• 各ベンダーのデータまたはネットワークへのアクセス（システムおよび権限レベル） をリストアップする。
• 各ベンダーについて、インシデントが発生した場合に影響を受ける可能性のある業務や機能の詳細を記載する。
• この情報をもとに、各ベンダーの脆弱性を評価するために必要な詳細情報を決定する。

継続的なモニタリング

ほとんどの企業は、ある程度のデューディリジェンスを実施していますが、多くの企業は、サードパーティのリスクを年1回のチェックリスト以上に監視していません。そのような場合、情報は古くなり、ベンダーはコンプライアンスに違反し、ビジネスが危険にさらされる可能性があります。

第三者リスクを継続的に監視することで、取引開始時に収集した情報ではなく、リアルタイムのデータに基づいて、進化するリスクの表面を把握し、必要に応じて脆弱性を軽減し、緊急時対応策を策定することができます。

TPRM（Third-party Risk Management）はチームスポーツである

第三者リスクの管理は、ビジネスリーダー、内部監査チーム、法務、コンプライアンス、IT部門など、すべての人に影響を及ぼします。適切なツールと明確なコミュニケーションによって、企業はベンダーのリスクを管理し、自社と顧客を守ることができます。

4. ESG規制の強化 

全体的なGRCの一環としての環境・社会・ガバナンス（ESG）に関する話題は最近増えており、ESGへの取り組みが雇用の決定、消費者行動、取締役会の審議、投資戦略などを後押ししています。

2022年初頭、ブラックロックのような企業が持続可能な投資を優先することを声高に主張する一方で、ESGファンドに関する主張と実際の報告との間に矛盾が生じ、規制当局の関心を呼び起こすことになりました。

証券取引委員会は、ESGファンドのガイドラインを示す2つの規則案を提出しました。これらのガイドラインは、投資会社とそのファンドに含まれる企業が、持続可能性に関連する名称を使用する前に、持続可能性の主張を実証することを求めるものです。

80%以上の消費者が、企業はESGガイドラインを積極的に形成するべきだと考えており、ほぼ全員（91%）のビジネスリーダーが、自分の組織はESG問題に対処する責任があると信じています。さらに、86％の従業員が、自分たちの価値観を共有する企業で働きたいと考えています。

汚職の取り締まりから、多様性、公平性、包括性（DEI）目標の説明責任の維持、排出量の削減まで、企業はESGのモニタリングと報告を真剣に行わなければ、遅れをとる危険性があります。

様々なフレームワークが、どのESG要素が特定の業界にとって最も重要であるかを示していますが、米国にはESGに関する確立された基準はありません。フレームワークは一般的な報告目標を提供しますが、継続的なESG管理の実践に関する見識を提供するものではありません。

モニタリングと報告を容易にするために、組織は全体的なGRCプログラムの一部としてESGに取り組むべきです。既存の取り組み、データ、目標を堅牢なGRCソフトウェアに統合することで、ESGの進捗とリスクについてより深い洞察を得ることができます。

企業がESGの約束と行動が一致していることを証明する報告書を提供するようになれば、こうした努力は報われるでしょう。

5. ハイブリッドワークによる人的リスクとサイバーリスクの発生 

レジリエンスの高い組織には、あらゆる業務領域でフレキシビリティと適応性を備えた構造が必要です。ハイブリッドワークは、従業員にフレキシビリティを提供する一方で、オペレーショナルリスクを増大させます。

ハイブリッドモデルで「新常識」を確立しようとする組織は、データを保護し、従業員を公正に管理し、DEIの目標を達成するために、変化と俊敏性を受け入れなければなりません。

タレントマネジメントの課題 

ハイブリッド型ワークモデルは、管理職が出社とリモートの従業員と対等な関係を築き、維持するというデュアルワークフォースの課題に対処するために、新たな人材リスクが発生します。ハイブリッドワークモデルの危険な点は、「歩き回って管理する」スタイルに依存することで、これはリモートワーカーにとって不利になる可能性があります。

このような不一致を避けるために、組織はリーダーに投資する必要があります。リーダーにはトレーニングや能力開発を提供し、バーチャルリーダーシップのスキルを身につけさせ、リモートワーカーとのより良い関係性を構築できるようにします。

また、業績評価に対するアプローチも変える必要があります。社員がオフィスにいる時間を重視するのではありません。社員がどこで働いていようとも、自分の義務を果たしているかどうかで評価するのです。

DEIイニシアティブの障害

ハイブリッドな労働環境を推進するマネージャーは、不注意にも、企業文化との強い結びつきを持つオフィスワーカーと、企業への愛着が薄いリモートワーカーという2つの「クラス」を作り出してしまうことがあります。

女性や有色人種は在宅勤務にやりがいを感じ、白人男性よりもリ モートで仕事をする傾向があります。このような選好は、一部の不特定多数の従業員の社内流動性を妨げ、全社的なDEI目標の進捗を危うくする可能性があります。

このリスクに対処するために、データを使って社内の流動性、業績評価、福利厚生が公平であるかどうかを判断します。

データを分析した後、問題を特定し、職場の戦略をより公平なアプローチへと適合させます。これらの質問を定期的に見直し、チームが軌道に乗っているか、新たな懸念事項が発生していないかを確認しましょう。

サイバーセキュリティとコンプライアンスの脅威

データ漏洩、大規模なIT障害、ランサムウェア攻撃は、2022年に世界中の企業が直面するリスク問題の上位にランクインしています。サイバーセキュリティリスクの増大につながるリモートワークは、今後も増加することが予想されます。Gallup社によると、リモートワークが可能な従業員の4分の3以上が、少なくとも2022年まではリモートワークまたはハイブリッドで働く予定であると回答しています。

TessianのSecurity Behaviors Reportによると、ITリーダーの半数以上が、リモートワークをするようになってから、従業員がサイバーセキュリティに関する危険な習慣を身につけたと考えており、従業員の3分の1以上がそれに同意していることがわかりました。従業員が自宅で仕事をする場合、オフィスのセキュアな接続環境から比較的離れたところにいることになります。

リモートワークの社員は、個人所有のデバイスで仕事の資料にアクセスする傾向が強くなります。さらに、喫茶店やその他の公共の場所で働く従業員を加えると、サイバー災害のレシピができあがります。

HP Wolf Securityの調査によると、従業員の約3分の1は、セキュリティポリシーが障害になっていると感じており、多くの従業員がセキュリティ対策を回避しようとさえしていることが分かっています。このセキュリティ企業によると、ほぼすべてのITチーム（91％）が事業継続を維持するためにセキュリティを妥協する必要に迫られており、10チーム中8チームがリモートワークを情報漏洩の可能性を秘めた「時限爆弾」として認識しています。

データ漏洩やランサムウェアの攻撃から身を守るには、組織のサイバーセキュリティの実践とポリシーを更新することから始まります。

• 多要素認証の導入。
• 従業員のトレーニングには、最新のサイバーセキュリティ対策を反映させる。
• 最後に、報復を恐れずに不審な通信や自身のミスを報告できるよう、ITスタッフをサポートする体制を整える。

リスク管理の優先順位

リスク管理は、すべての人の責任です。レジリエンス（回復力）の文化を育み、第三者との関係をコントロールすることで、リスクに対する姿勢は改善されます。CIOに変革者としての権限を与え、強固なESGモニタリングとレポーティングの実践を約束すれば、リスクは戦略的な優位性を持つようになります。

組織の最大の資産でありリスクでもある従業員に適切な注意を払うことで、DEI の進展を保護し、進化し続けるサイバー脅威に対抗し、複雑なハイブリッド環境においてチームの効率性を維持することができます。

組織のサイバーセキュリティを向上させることは、最優先事項であるべきです。シングルサインオンを選択し、より安全で簡単な認証を実現しましょう。

執筆：Matt Kunkel　Matt is the Co-Founder and CEO of LogicGate. Prior to LogicGate, he spent over a decade in the management consulting space building technology solutions to operationalize regulatory, risk, and compliance programs for Fortune 100 companies. Given his extensive background in the GRC space, Matt regularly speaks and consults on risk and compliance topics.

元記事：5 GRC Trends: How Will Governance, Risk, and Compliance Evolve?