リスクマネジメントのデジタルトランスフォーメーション―経営を取り巻くリスクの変化とデータ利活用の方向性
はじめに
昨今の企業の社会的価値への関心の高まりやESG投資の拡大、「企業内容等の開示に関する内閣府令」の改正や「記述情報の開示に関する原則」の公表を受け、リスクマネジメントの高度化への社会からの要請が高まっている一方で、リアル・ビッグデータが価値創造の源泉となるデジタル経済の進化や顧客本位の価値観の浸透などを通じて、日本企業を取り巻く環境は従来から大きく変化しており、経営者が気にするべきリスクも急速に多様化し、影響度も増大してきています。
また、AIやデータアナリティクス技術・インフラの進化に伴って、パターン認識・予測・最適化といった領域でデータ・アナリティクスの活用が始まっており、リスクマネジメント、その中でもリスクの予兆管理において、デジタルトランスフォーメーションを日本企業が実現させることは、自社を競争優位に導き、企業価値の向上につながります。日本企業を取り巻く環境変化のもとで、リスクの予兆管理に役立つデータとはどういったものでしょうか。本稿では、日本企業の経営を取り巻く環境変化とリスクの変化、そしてリスクマネジメントにおけるデータ利活用の方向性について解説します。
1 日本企業を取り巻く環境変化とリスクの変化
日本企業を取り巻く四つの環境変化
日本企業を取り巻く環境は従来から大きく変化しています。主な環境変化として、デジタル経済の進化、顧客本位の価値観の浸透、多様なステークホルダーとのビジネスエコシステムの進展、働き方改革の進展の四つが挙げられます。
まず、デジタル化された商品・サービスがインターネットを介して流通するデジタル経済の進化です。米国のGAFAM(Google、Apple、Facebook、Amazon、Microsoft)や中国のBAT(Baidu、Alibaba、Tencent)に代表されるデジタル・プラットフォーマーが、インターネット上に存在する大量のビッグデータの収集・活用を通じた加速度的な価値創造(量が質に転換する)により成長しています。デジタル・プラットフォーマー等が、AI開発・利用の基盤となるさまざまなツールをオープンソースやクラウドサービスで提供することで、そのユーザー企業もビッグデータをIoTやクラウドで収集・蓄積し、利活用することが容易になってきています。デジタル経済では、リアル・ビッグデータが価値創造の源泉となり、従来の自社のビジネスモデルの持続可能性を脅かし、成り立たなくさせるデジタル・ディスラプションを引き起こします。
また、デジタル経済の進化に合わせて、ユーザーの個人情報を利活用した商品やサービスが世に浸透してきています。それに伴い、EUの一般データ保護規制(GDPR)等のプライバシーを含めたデータ保護(個人情報、人事情報、戦略などの機密情報の保護)が企業の経営者にとって重要な課題となっています。
さらに、SNS、動画共有サービスが浸透し、企業に関する情報がソーシャルメディアで先行する時代となっている点も見逃せません。SNSの影響力は増しており、企業の言行に問題があると思った人がSNSなどで情報を発信し、モンスター・インフルエンサーと呼ばれるソーシャルメディア上で影響力の大きい人やマスメディアがさらにそれを拡散することで「炎上」が起こります。この炎上は、BtoC企業に限らず、BtoB企業にとっても脅威であり、ソーシャルメディア上でのレピュテーションのモニタリングと合わせて、ソーシャルメディアを活用したレピュテーション形成も重要となります。
次に、顧客本位の価値観の浸透です。顧客保護や顧客本位の業務運営が重要だという価値観が世の中に浸透することで、既存の法令には抵触していないものの、消費者保護、市場の公正性・透明性の確保の観点、社会的責任に照らして不適切であるために、社会的な批判を受け、信頼を失うような企業の事例が出てきています。また、企業の経済的価値だけでなく、環境・社会に対してどのような価値を企業が生み出しているか、社会的価値への関心が高まっています。企業の社会的価値・責任への関心の高まりと相まって、今後さらに顧客本位の価値観の浸透が進むと思われます。
例えば、金融機関等には顧客の利益を最優先する「顧客本位の業務運営」(フィデューシャリー・デューティー)の確立と定着が求められており、その表れの一つと言えます。いままで特に問題にならなかった商品・サービスの提供であっても、これからは顧客・消費者からの反発を生み、社会的な批判を受けてしまうことがあり得ます。このように、企業のステークホルダーの一つとして、顧客や消費者の重要性が高まってきています。
三つ目の環境変化は、多様なステークホルダーとのビジネスエコシステムの進展です。総務省の平成30年版情報通信白書によれば、情報通信技術(ICT)の進展によって、1)オープン化の進展、2)新たな付加価値提供に向けた多様なプレーヤーの参加、3)交換する価値形態の多様化──を背景に、多様なステークホルダーによるさまざまな機能やアプリケーションや統合化を提供するデジタルプラットフォームを通じて、多様な取引関係が生まれつつあるとあります。このようなビジネスエコシステムの変化によって、企業運営に関わるステークホルダーが増えています。
また、社会課題の解決に向けて、各組織が個別にアプローチするだけではなく、コレクティブ・インパクトというアプローチが新たな試みとなっています。コレクティブ・インパクトとは、立場の異なる組織(行政、企業、NPO、財団、有志団体など)が、組織の壁を越えてお互いの強みを出し合って社会課題の解決を目指すアプローチです。デジタル化によるビジネスエコシステムの変化と社会課題の解決という二つの背景から、企業の多様なステークホルダーとの関わりは今後ますます増えていくと思われます。
最後は、働き方改革です。時間外労働の上限規制と年5日の年次有給休暇取得義務などの働き方改革関連法が2019年4月1日に施行されました。ICTを活用し、労働生産性を向上させること、柔軟な働き方を従業員に提供することが経営者に求められています。従業員が不満を持てば、より良い職場環境を探して転職してしまったり、SNSなどを通じて不満のある状況を発信したりすることが想定され、ひとたび自社が「ブラック企業」と思われたら、優秀な人材を維持・採用することは難しくなります。このように、働き方改革の進展によって、企業のステークホルダーの一つとして従業員の重要性も高まっています。
日本企業の経営を取り巻くリスクの変化
これまで見てきたような企業を取り巻く環境の変化によって、日本企業の経営者が気にすべきリスクも急速に多様化し、またその影響度が高まっています。事業計画・事業目標の達成の阻害に直接つながる財務的なリスク(市況動向による需給・為替・価格変動、取引先の信用リスク等)にとどまらず、従来とは異なった新しい領域から経営者にとって思いもよらない重大な問題が発生するリスクが高まっています。
例えば、ICT・ビッグデータを活用した新しい商品・サービスの開発・運営に伴うリスクです。前述したように、ビジネスのデジタル化に伴うデータに関連するサイバー攻撃・個人情報漏洩リスクは経営者にとって重要なリスクとなっています。また、ソーシャルメディアによる影響力の増大、社会の価値観の変化と相まって、レピュテーション・リスクが高まっており、これらはひとたび問題になると一瞬で企業の社会的な信頼の棄損につながってしまう重要なリスクの一つになっています。
次に、ステークホルダーに係るリスクについて言えば、まず、顧客に係るリスクという観点でコンダクトリスク(広義のコンプライアンス・リスク)が挙げられます。コンダクトリスクは金融業界で、「顧客保護」「市場の健全性」「有効な競争」に対し、ネガティブな影響を及ぼす行為が行われるリスクを指します。自社のビジネスモデルの持続可能性が棄損しつつある中で、経営者が無理な事業計画・目標を維持しようとすると現場の従業員が法令に抵触していないものの社会通念上不適切な行動をとることで、コンダクトリスク事象につながります。金融業界に限らず、製造業やサービス業で発生した品質不正問題や個人情報の不正利用はコンダクトリスクの一つだと言えます。コンダクトリスクは、自社のビジネスモデル・経営戦略と表裏一体の重要なリスクの一つという認識に基づき、経営者目線で対応するべきリスクで、企業文化に起因するものでもあり、このことは、企業文化に大きな影響を与える経営者の姿勢(tone at the top)が問われていることを意味します。
また、ビジネスエコシステムの変化、コレクティブ・インパクトの進展から、多様なステークホルダーの関わりが増えることで、サプライチェーン・リスクやサードパーティ・リスクも高まってきます。サードパーティとは、サプライヤー、サービスプロバイダー、代理店、契約社員、JV先、エージェントなど多岐にわたります。サプライヤーや業務委託先がビジネスエコシステムの根幹に組み込まれることで、さまざまな新たなリスクにさらされることになります。サードパーティとの関係で発生するリスクの例としては、データ漏洩のような情報セキュリティリスク、不安定な財務状況、サプライチェーンの崩壊、環境保護および社会的責任(従業員の人権・健康安全、児童労働など)の問題、規制・コンプライアンスの懸念、贈収賄・不正・汚職など多数挙げられます。
さらに、企業にとって、従業員も重要なステークホルダーの一つになっています。多くの企業で、優秀な従業員は自社のビジネスモデルのインプットの一つであり、働き方改革の進展の中で、生産性向上、柔軟な働き方をうまく実現できないとなると、長時間労働、ハラスメント、人材流出などの労務リスクが高まります。ソーシャルメディアによる影響力を通じたレピュテーション・リスクの高まりと相まって、優秀な人材の採用を困難にさせるリスクにもつながり、企業の経営者にとっては、これらのリスクは持続可能性の棄損に直結する重要なリスクになってきます。
これらのリスクは、ひとたび発現すると企業の社会的な信頼の毀損につながるような大きなインパクトがあります。経営環境の変化が激しい中、日本企業の経営者には影響度が大きいさまざまなリスクを予兆し、適切に対応策の一手を打てる体制の構築が強く求められていると言えます(図表1)。
2 リスクマネジメントにおけるデータ利活用の方向性
「デジタル化」の企業経営への影響として、自社のビジネスモデルを揺るがすデジタル・ディスラプション、新たな商品・サービス領域でのサイバー攻撃・個人情報漏洩リスクやレピュテーション・リスクといったリスクの変化、そして、意思決定・リスクマネジメントへのデータ利活用の進展、の三つが挙げられます。3点目が、言い換えると、リスクマネジメントのデジタルトランスフォーメーション(DX)です。
多様なステークホルダーとともに、新たな商品・サービスの短期・機動的な開発・運営を進める中では、経営者による意思決定やリスクマネジメントも機動的でフォワードルッキングであることが求められます。日本企業によく見られる、年に1~2回のみ開催される委員会でのボトムアップでの報告中心のリスクマネジメント体制では不十分になります。ビッグデータとデータアナリティクスを活用した機動的でフォワードルッキングなリスクマネジメントへの変革、つまりは、リスクマネジメントのDXの実現は、日本企業の経営者にとって重要な経営課題の一つだと考えます。
なお、改訂版COSO-ERM※(2017年)には20の原則がありますが、原則18において、組織を競争優位に導き、より機動的な意思決定を行うために役立つ情報を有効活用する、とあります。また、情報に変換されるデータには、構造化されたデータだけではなく、電子メールやソーシャルメディアのテキスト、写真、動画などの構造化されていないデータも含まれます。日本企業の経営者がリスクマネジメントのDXに取り組む際の参考となります。
第1節で述べたような日本企業の経営者を取り巻く環境変化の下で、リスクマネジメントに役立つデータとはどういったものでしょうか。第2節では、リスクマネジメントに役立つデータとデータ利活用に取り組む上での心構えの2点について述べていきます。
リスクの予兆管理へのデータアナリティクスの活用
まず、日本企業の経営者が日頃目にする情報やデータはどういったものでしょうか。おそらくは、財務会計や管理会計の財務情報が主ではないでしょうか。それらは、勘定科目や組織で集計された情報であり、その基となるトランザクションデータまでを経営者自らリアルタイムで確認できるのは日本企業では稀だと思われます。トランザクションデータとは、業務に伴って発生した取引の詳細を記録したデータであり、顧客との間での受発注、納品の他、購買、生産、従業員の間での給与支払い、経費精算などが含まれます。これらの財務会計や管理会計の財務情報、またその基となるトランザクションデータは業務運営の「結果」を示すものです。結果を示す情報やデータに基づくリスクマネジメントや経営意思決定がこれまでは主でしたが、変化が激しく新たなリスクにさらされる昨今の経営者にとっては、まるで、嵐の中、バックミラーを見ながら飛行機を操縦しているようなものだと言えます。
経営者自身が操縦する飛行機が墜落しそうになってから、何が起きたのか、なぜ起きたのかを分析し、対応策を打とうとしても時既に遅しです。そのような自社にとって影響度が大きいリスク、つまり経営者の視点から重要なリスクを予兆し、他社よりも早く適切な手を打てることが、自社の持続可能性を高め、企業価値の向上につながります。変化が激しく新たなリスクにさらされる環境では、リスクマネジメントにおける予兆管理の重要性がより高まります。
これまでの経営者は、結果の情報やデータを「可視化」(=何が起きたのか)し、傾向や結果の原因を特定するための「現状分析」(=なぜ起こったのか)を主にしてきました。AIやデータアナリティクス技術の進化に伴って、昨今では「将来予測」(=何が起こるのか)、「評価・推奨」(=何をすべきか)、「認知・最適化」(=どのように変化に適応するか)といった領域でデータアナリティクスの活用が始まっています。従来型のデータ分析が過去の見える化である一方で、AIやデータアナリティクスは、パターン認識・予測・最適化であり、「発見型」のアプローチだと言えます。ビジネスにおけるAI活用においては、データ(インプット)とアナリティクス(プロセス)の両面での高度化が不可欠ですが、ここでは、データ(インプット)について深掘りしていきます。
非構造データとトランザクションデータの利活用
データにはどのような種類があるでしょうか。企業のデータアナリティクスのインプットとなるデータは、大きく社内から収集するデータと社外から収集するデータ、構造データと非構造データの大きく四つに分類することができます。構造データとは、構造定義を持ち、RDB(Relational Database)などに格納され、活用できるデータです。一方の非構造データは、構造定義されておらず、規則性を持たないデータであり、文章、音声、画像等に代表されます。トランザクションデータは、社内・構造データに位置付けられます。AIやデータアナリティクスの進展によって、社内の日報や電子メールなどの文章データ、画像や音声データ、またIoT等のセンサーデータ、そして社外のSNSなどのソーシャルメディアの文章データ、音声・画像等の非構造データのビジネスへの活用が始まっています(図表2)。
リスクマネジメントのDXにおいては、大きくは、社内外の非構造データの活用とトランザクションデータ(社内・構造データ)の活用、の二つの側面があります。非構造データとトランザクションデータの双方を組み合わせたデータ解析や非構造データ処理を通じて、これまで気付くことがなかった新たな相関・パターン、グルーピングで予兆し、それを基に対策を打つことでリスク発現の予防に役立てます。これまでの可視化・現状分析のアプローチでは、経験に基づく直感から生まれる仮説を基に、限られたデータから効率的に仮説検証することで、傾向や原因を特定してきたわけですが、これらのビッグデータを活用したデータアナリティクスによって、これまでとは違った数学的目線でリスクの傾向を認識し、リスクの予兆管理に活かすことが期待できます。
まず、社内外の非構造データについて、顧客や従業員に関わる文章データ・音声データ・画像・動画等のビッグデータの、第1節で取り上げた日本企業の経営者を取り巻くリスクの予兆管理への活用が期待できます。今後はこれらの非構造データをさまざまなリスクの予兆管理に活用する動きが活発になると思われます(図表3)。
次に、トランザクションデータの活用は日本企業ではどのように進むでしょうか。日本企業において、これまでグローバルでグループ会社のトランザクションデータの集約・リスクマネジメントへの利活用があまり進んでいないという状況に鑑みると、日本企業の経営者がそのメリットがコスト対比では十分でないという判断をしてきたものと理解できます。昨今のクラウドを活用したビッグデータ、AIやデータアナリティクス技術の浸透によってリスクマネジメントのDXの取り組みの検討が始まることで、社内外の非構造データと結果を示すデータの双方を組み合わせた上でパターンを認識し、結果を予測するために、並行してトランザクションデータの利活用も加速化されるものと予想されます。
リスクマネジメントのDXにおいて留意すべきこと
今後、日本企業がリスクマネジメントのDXに取り組む上で、留意するべきことは何でしょうか。
まず、リスクマネジメントに役立つデータはこれまで見てきたように、社内外の多岐にわたる非構造データやトランザクションデータが対象になるため、リスクマネジメントを担当する一部署のみで完結できる取り組みではないという点です。経営者の視点で重要なリスクが何かにもよりますが、そのリスクの予兆管理に必要なデータに関連する全ての部署がデータ整備に協力することが不可欠となります。
また、データマネジメント・ガバナンスを担う組織機能との連携も必要となります。もし、まだCDO(Chief Data Officer)ライン、データマネジメント・ガバナンス機能が社内に存在しない場合は、これらの組織機能を担う部署の創設も併せて検討が必要です。データ信頼性が担保されない中では、非構造データやトランザクションデータの利活用の大きな障害の一つになりえます。
最後に、日本企業においてAIやデータアナリティクスを検討・導入する上では、そもそも、AIやデータアナリティクスは「発見型」であるという前提に立ち返り、以下の6つの成功要諦を参考に取り組むことを推奨して本稿の結びとします。
AIやデータアナリティクスを検討・導入する上での成功要諦
- 経営判断から開始
- 本格導入前にデモによる価値転換
- 現場の直感とデータによる意思決定の融合を促進
- データ信頼性を担保したビッグデータの活用
- トライアル&エラーを許容する組織文化の醸成
- 検討開始時からリスクヘッジ方針を検討
※ 2017年9月6日に米国COSO(The Committee of Sponsoring Organization of the Treadway Commission:トレッドウェイ委員会支援組織委員会)から公表されたERMフレームワークの改訂版。ERMとは「組織が価値を創造し、維持し、実現する過程においてリスクを管理するために依拠する、戦略策定ならびに実行と一体化したカルチャー、能力、実務」であると定義されている。
関連サービス