イシュー(問題点)マネジメント コントロール(問題管理)

「ちょっと待ってください。これは心理学の講座ですか?」 そう思う方もいるかもしれませんが、今回の記事も、いつもと同じくらいわかりやすいものにするよう努力します。

先週、「問題管理」をテーマにした新しいブログ シリーズを開始しました。「問題の落とし穴」という問題を見事に示した、Steveによる本シリーズ最初の記事はこちらからご覧ください。今週は、統制の不備を補うプロセスについてお話しします。これは、問題管理で見逃されがちな側面です。

基本的なリスクと統制の考え方では、リスクに対応する複数の方法が必要になります。一般的にはこれらのリスク対応方法を「統制」と呼んでいます。通常(必ずというわけではありません)、特定のリスクに対して認識できる統制が増えるほど、優れていると考えられます。当然のことながら、一部の統制がその他の統制よりも重要であると見なされます。一部の統制が重要なために、いつでもその統制の準備が求められるようになると、その統制は「鍵となる統制」、「最優先の統制」などといった注目を集める名前で呼ばれるようになります。

統制は失敗する可能性があり、また実際に失敗することもあります。このことは避けられないため、多くの場合、重要な統制に2次的な統制を組み合わせておくと役立ちます。この2次的な統制は、最優先の統制を補い、統制の失敗の影響を低減します。これは、非常に賢明な方法で、ビジネスだけでなく日常生活のほぼすべての側面で行われています (一般的な例として、自動車の速度制限、シートベルト、エアバッグ、チャイルドシートの組み合わせが挙げられます)。

統制の問題が避けられないのであれば、外部の行為者の基準でなく、自分自身の基準でそれらを見つけることが望ましいでしょう。予想外の危機ほど、組織を急速にパニックに陥れるものはありません。また、ほとんどの事後分析で、統制の失敗が要因や根本原因として指摘されます。つまり、統制を日常的に試し、それらが正しく機能することを確認しなければなりません。このことが、コンプライアンスの基本原則を支えます。統制の問題(不備)を発見したら、これらの問題に対応する改善プロセスも用意する必要があります。残念なことに、このようなプロセスを用意せず、問題にうまく対処していると信じている組織が、気づかない間に運任せにしているケースがあります。

たとえば、ある企業が新しいテクノロジーに投資した結果、重要な統制の問題が発生し、そのテクノロジー以外にも新しい高額なシステムを導入することだけが、改善案として提案されているとします。その場合に、定量的な判断基準が単なるコストだけだとしたら、その企業のリーダーは十分な情報に基づく意思決定を行う準備ができているとはいえません。つまり、このリーダーは身動きがとれないまま、よりよい情報がより多く集まることを期待します。この企業は借り入れをして、測定不可能なメリットのために多額の予算を費やすというリスクを冒すべきでしょうか? それとも、立ち止まってもう少し検討すべきでしょうか?もしかすると、新しいデータが魔法のように現れて、意思決定が容易になるかもしれません。しかし、このことが購入を大幅に遅らせる可能性を高め、プロセス自体に内在するリスクの度合いを高めるのです。

こうした状況こそ、GRCプログラムの価値が本当に発揮される場面です。統制の不備が引き起こすリスクに対して、リーダーが信頼できる指標を持ち、リスクのコストと解決策のコスト(価値)を比較できればどうでしょうか?この企業がすでに所有している他のリソースを利用してリスクを部分的に低減できればどうでしょうか? より少ない投資で残りの不備を十分に補うことができるかもしれません。測定できる程度にまでリスクを低減できるだけでなく、その他の投資自体に内在する価値の上限も高まり、ROIを引き上げる可能性もあります。どちらにしても、経営陣はその他多くの戦略上の選択肢と意思決定とのバランスを取る、より優れた枠組みを持つことになります。選択肢があれば、意思決定を引き出す優れたインテリジェンスがあるときに、盲目的に推測しようとする経営陣はいません。

ビジネスと市場が変動し、セキュリティの脅威が高度化するにつれて、このようなリスク、統制およびエクスポージャーの組み合わせは常に変化しています。健全な問題管理プログラムには、強固な復旧戦略が統制の代替案を迅速に探し出す機能とともに盛り込まれています。こうした統制の代替案が、窮地で優先的な統制を補足したり、あるいは完全に補ったりします。このような統制の補足関係と内在的な制限を特定し、これらすべてを統合する基準を理解するには、リスク、資産、統制をすべて洗い出し、強力なレコード体系で管理することが欠かせません。GRCの機能はこの領域にも最適で、プロセスの実現、効率化、リスクの低減を通して価値を提供することができます。

以前に、組織がその潜在的な競争優位性を活用するには、GRCプロセスの成熟が必要であるというお話をしました。皆さんの組織が健全なビジネス プロセスを通じてコンプライアンスの体制をすでに確立し、監査をまったく恐れなくなった状況を思い浮かべてみてください。コンプライアンスはもちろん、リスクを伴う成長戦略に対して、推測ではなく、情報に基づく、リスクが合理化された意思決定を下せる能力を備えることで、組織のリーダーは自信を深めてビジネスを先導することができます。世界的に競争が激化し、セキュリティ侵害が大きなニュースとなる今日において、組織のリーダーにとって、これほどの価値をもたらす安心材料はありません。

こちらのショート ビデオでは、RSA Archerを問題管理プロセスに役立てる方法の詳細をご紹介しています。ぜひご覧ください。

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments