【セミナー抄録】事故再発防止のためのインシデント管理の新基準

記事をシェアする:

8月30日（火）13:00-14:00に開催されたWebセミナー「事故再発防止のためのインシデント管理の新基準〜全社で取り組む事故再発防止および事故発生対応による事業継続の一手〜」の抄録です。

 

経営層から注目されているリスク管理

リスク管理とは、財政上、法律上、戦略上、セキュリティー上のリスクを特定、評価、コントロールするプロセスです。リスクは、財政上の不確実性、法的責任、戦略管理の誤り、事故、自然災害など、あらゆる原因から発生します。このリスクの複雑さは、企業が成長するにつれて増してきます。市場は絶えず変化しますし、規制は増え続けます。この状況下でのビジネス環境では、企業はリスクを課題として認識し管理する能力を必要としています。

多くの企業では、経営層がリスク管理に深く関わっていて、リスク管理上の問題に細心の注意を払っています。社会から信頼を得ることが取締役会の優先事項となり、信頼強化の手段として、リスク管理が経営層から注目されるようになっています。それに伴って、リスクに合わせて経営目標を確立している企業が増えています。5月に開催したセミナー「労働安全の即戦力！ AIによる危険源の見える化」では、経営課題に安全の確保を掲げる三井化学様の安心安全な労働環境づくりについてご紹介をしました。2012年に爆発火災事故が発生し、二度とこのような事故を起こさないよう「安全はすべてに優先する」という経営方針を掲げ、経営トップから工場現場の従業員までの全員が無事故・無災害の実現を徹底して追求されています。

 

リスク管理を強化する原動力

リスク管理を強化する原動力は、1つのインシデントやビジネス環境の変化です。例えば、規制の変更によって、企業は突如コンプライアンスに違反する事態になることがあります。労働事故や規制の変化以外にもさまざまなリスクがあります。火災などの事故、不可抗力の自然災害、グローバル調達の異変などによる操業停止は、売上機会の損失、引いては会社存続の危機に直結します。その他、SOX対応や財務情報の相違といった財務リスク、事務事故、システム規定違反といったセキュリティーに関する内部不正、個人情報・顧客情報など重要情報の漏洩、知的財産権などの情報管理違反、顧客への不適切な商品販売や外部委託先の管理といったリスクがあります。

予期せぬ1つのインシデントが企業の不意を突いた場合、訴訟や罰金が科せられ、監督官庁からの監視力が強まります。金融業界では業務停止命令を受けることも見受けられます。また、企業の評判を落としパートナーや顧客からの信頼を失墜する、そして株価が急落するなど市場からの信頼を失うことになります。この1つのインシデントですが、企業内でポジティブな変化をもたらすこともあります。ペナルティーを負うことで、企業全体がリスクを認識できるようになるのです。監査や倫理調査によって、取締役会や経営層がリスク管理への関与を強化するケースや、合併や売却などの組織変更が信頼に関する懸念を明らかにし、行動を促すケースがあります。

ただし、企業がリスク管理を進められないのは、きっかけとなるインシデントが発生していないからではありません。どの企業もインシデントを経験しているのですが、経営層の問題認識が薄いために、再び同じインシデントを経験するリスクが高くなります。一方で、成熟した企業は、インシデント後に迅速に対応することによって信頼を強固なものにし、再発のリスクを最小化します。

 

リスク管理を成功させるポイント

リスク管理イニシアチブを成功させるポイントは2点あります。プロアクティブなリスク管理を実行するには、リスクをより大きな戦略に関連付ける必要があります。リスクを戦略と統合することで、リスクの軽減について組織的に対策を打つことができ、リソースを最大限に活用できます。ある調査によると、リスクと戦略を組み合わせた組織は、インシデントにうまく反応している割合が高くなっています。さらに、企業は、インシデントに反応するだけではなく、反復的なプロセスでリスク管理に取り組むと、インシデントを適切に予測して防止することができるようになります。

前者が反応に重きを置き、常に危機モードにありますが、後者は予測的で予防的です。予測アプローチの方が社会の信頼を得る可能性が高まることが分かっています。インシデントの予測には、リスクベース・アプローチが有効です。リスクベース・アプローチとは、リスクを判断し、リスクに基づいて意思決定をする手法のことです。従来は、過去の経験、ベストプラクティス、仮説ドリブンといったルールベースで意思決定がされていました。これでは、型にはまった経営になりがちで、変化する環境下では判断を誤ります。これからのリスクベースのアプローチは、過去から将来を予測、プロアクティブに、事実に基づいた推論を行うことであり、自ら考える経営を実践できます。リスクの高低を判断し、リスクの高いお客様に厳格な対応を行うリスクベース・アプローチによって、リスクの高い分野にリソースを投入することで、費用対効果を高めます。

さて、リスク管理ツールとしてExcelを利用している企業は多いですが、Excelへの依存は、経営層の取り組みに現場がついていきていないことを物語っています。現場の取り組みを促すために重要な視点、それは誰もが使えるUIを持ったツールであること、そしてもう1つがデータの民主化だと考えます。企業は、アクティブなユーザーが増加し、組織全体に散らばり、一貫性のない機能を持つツールを使用しているのを目の当たりにしています。その状況に直面した企業は、レポート中心のツールを止め、あらゆるタイプのユーザーが全社的なリスクにアクセスでき、パーソナライズされた誰もが使えるUI、ユーザーエクスペリエンスに基づいたUIを提供する必要性を理解しています。もう1つのデータの民主化ですが、ある一部の専門家だけがデータを活用するのではなく、誰もが自ら活用する状態のことです。つまり現場が主役であり、データの活用により現場主導で取り組むことが可能となります。ただし、目的に沿ったデータを正確な抽出や、データの正確性を担保するリスク・コントロールが求められてきます。

 

インシデント管理から全社ガバナンスへの発展

三井化学様の工場の現場で活用されている労働災害リスクアドバイザーは、IBM Watson Discoveryを活用して労働災害事例やヒヤリハットの情報、トラブルの報告書などをインプットデータとして活用し、傾向対策と分析によって労働安全を推進されています。労働災害リスクアドバイザーを使って、現場の作業者が朝会で今日の作業内容を入力すると、類似する災害情報を確認して対策を打つことができます。危険性があるので気をつけていきましょうという共通認識を持つ、あるいはヒヤリハットの情報から傾向分析、対策立案につなげる取り組みをされています。この先進的な取り組みは現場での取り組みですが、それだけで終わらせずに、インシデント管理は全社でのガバナンスにまで発展させて行くことが求められています。

 

ERM（Enterprise Risk Management）成熟度モデル

1. クライシスベーストERM
2. コンプライアンスベーストERM
3. コントロールベーストERM
4. トレランスベーストERM
5. パフォーマンスベーストERM

このエンタープライズリスクマネジメント（ERM）の取り組みは、成熟度モデルに従った強化アプローチで体系的に示すことができます。はじめのクライシスベーストERMがインシデント管理の世界です。この第一歩のインシデント管理ができた後、その先の世界として、コンプライアンスベーストERMで、規制遵守ができているかのチェックをかけます。次にコントロールベーストERMの取り組みがあります。リスク管理のカルチャーを根付かせ、業務オペレーションのリスクを捉えて、それに対するリスクの低減策をコントロールする取り組みです。この体制整備の先にあるリスクの許容度をしっかり管理していく取り組みとしてトレランスベーストERM、そして戦略的なリスクという観点で最終的に行き着くところはパフォーマンスベーストERMです。これは戦略的なリスクのアップサイドを捉える、すなわちトップラインにつなげるところまでを、このERMフレームワークの中で完遂させることができます。

 

現場と経営層・監査をつなぐAIテクノロジー

リスク管理を進めるためには、体制整備が重要な要素になります。GRCを実現するためにピラミット構造を実現できるか、3ラインディフェンス（1線の現場、2線のリスク管理、3戦の経営層および内部監査）の階層を管理・コントロールしていくことが鍵を握ります。リスク管理がなぜ必要なのかについて考えていきます。リスクは不確実性であり、マイナスの面もあればプラスの面もあります。戦略的リスク、つまりアップサイドのリスクも管理していくのが理想的な姿です。このリスク管理の枠組みは、安心・信頼できるブレーキを整備していくことが重要です。安心して止まれるブレーキがあるからこそ、加速できますので、経営の重要な要素になります。

インシデント管理からERM、リスクの全体管理まで広げるためのアプローチを掘り下げます。1線では業務のリスクの可視化が重要です。いかにして現場で起きている事故を可視化して、リスク情報に転換してフレームワークに乗せていけるかが重要な要素です。AIのようなテクノロジーの力を使いながら進めていくとよいでしょう。このリスクベースアプローチにより、事故の未然防止、発生件数の低減、損失金額の減少といった効果が出てきています。

この3ラインディフェンスとプロセスの視点で流れを説明します。現場からオンボーディングで事故のエントリーが入ります。リアルタイムで上がってくる報告は、AIテクノロジーにより2線3線へシームレスにつながります。2線がモニタリングをして、重大事故につながるものなのかを見極めます。従来の人の目からのナレッジをAIに取り込んで、属人性を脱却したモニタリングプロセスに回す仕組み作りが重要となります。事故の情報は、単なるデータに終わらせずに、AIを使って、ここからリスクを抽出、ボトムアップにつなげる取り組みもできるようになってきています。3線の経営層のレベルからトップダウンで管理されるのが、重要リスク（全社リスク、戦略リスク）情報です。自然災害リスクやパンデミックなどの全社またいだ重要リスクが、20から30項目、多い場合では50項目を管理しています。その情報と積み上がってくる現場のリスク情報とつなぎ合わせて、重要リスクに現場のリスクがぶらさがってくる、リスクのインベントリーを作ることが実現できる世界になってきています。

 

IBM OpenPages with Watsonを活用したリスク統合管理

この全社リスク管理は課題認識として何年も持たれてきましたが、AIテクノロジーのアシストがないと実行が難しい状況でした。今日では、テクノロジーを融合して、リスクを統合して体系だった管理につなげることで、全社のリスク管理に広がっていきます。このアプローチを実現できるツールが、IBM OpenPages with Watsonです。製品にWatsonを組み込んで、現場のインシデントのエントリーからリスクに抽出、集約して、リスクのワークフローを回すことができるツールになっています。

本製品は、300を超える企業で利用されています。インシデント管理は第一歩として多くのお客様が活用されていますが、それに限らず、ERMのプラットフォームとして、内部監査や内部統制（SOX）など幅広く導入されています。リスクおよびコンプライアンス・ソリューションの効果は通常示しづらいですが、Forrester社のレポートでは、既存のOpenPagesユーザーへのインタビュー結果から、定量的にコスト削減効果として3年間で170から180万ドル、年間円換算で数千万円後半の効果が出てきています。

 

北米の大手銀行様の導入事例

北米の大手銀行様では、先進的なリスク管理の取り組みは金融機関が進んでいます。監督官庁からの強制力が働く業界でもあり、リスク管理の取り組みも先行しています。AIテクノロジーを活用した監査プラットフォーム作りの例として、オペレーショナルリスク管理と内部監査機能を回して、AIテクノロジーを融合して効率的かつ高度化させています。

特に、内部監査を基点としたガバナンス強化を目的として監査を推進するプラットフォームを構築し、インシデントからERMへのアプローチをしています。従来の情報からリスクを発見・抽出し、そのリスクの低減施策の品質を高め、実効性を高める対応策を見つけます。分析対象のリスクの定義情報や対応施策、コントロール情報は、テキスト情報が中心です。自然言語解析はWatsonの得意分野であり、情報からリスクを見つけ出す分析ができます。

また、リスクの関連性について相関分析をしながら、リスク情報を関連づけていくことで、現場からのボトムアップで吸い上げたリスク情報とトップダウン重要情報の関連性を明らかにできます。この銀行様では、試験的に導入後、しばらくして、リスク管理情報が洗練化しました。これまで管理していた情報が点在していたところから、ツールで情報の一元管理、かつ監査のクオリティーが高まっています。このような大掛かりな取り組みはすぐには難しくても、小さくインシデント管理から情報の可視化から始めて、最終的に全社ガバナンスを効かせて進める仕組み作りをしていくことが求められています。

 

Q＆A

Q1：インシデント管理が各拠点で個別に管理されていて、全社で統一した基準で、根本的な問題が把握しづらいが、このような課題は解決できますか。

A1：GRCツール導入が最適です。全体の一元的な問題管理のためには、情報集約することが最優先で必要です。テクノロジーを有効に活用して、インシデント管理が実現できる世界であると考えています。

 

Q2：内部監査でリスクベースアプローチの導入に踏み切れていないのですが、他社ではどこから手をつけていますか。

A2：リスクベースアプローチの導入が進まないこともよく聞きます。置かれている状況はお客様によって異なります。トップダウンの重要リスク管理を先行して進めて、後追いで現場のリスクを統合していく道筋、あとは、インシデント管理の入り口から小さく入って、統合的なERMへの道筋もあります。

 

Q3：全社的にリスク管理のカルチャーを根付かせるのが困難ですが、良い打開策はないでしょうか。

A3：全社のリスク管理は、カルチャーの要素が大きいです。なかなか解決しない問題ではあり、現場にリスク管理のカルチャーを根付かせるのは、聞きなれない言葉が多いなどの問題があり、テクノロジーを活用することが有効な手段となります。現場はで事故や問題が起これば情報を上げることだけを徹底すれば、それをリスクとして管理していくのは2線のコンプライアンス部門が進めていけば回っていきます。もし現場の方に全社リスク管理体系がこうなっていて、今回の事故がリスクのこの部分にあたるようなことまで求めると、インシデントのチケットフローも回らないなどの状況に陥ります。媒体としてテクノロジーを組み合わせることが重要です。

 

Q4：3線モデルの活用にシステムが使えるということですが、その活用方法を教えてください。

A4：1線2線3線それぞれの役割に応じて、同じプラットフォームで使うことを前提に作られています。同じインシデントを見る場合も、1線の現場と3線の内部監査で見える情報が違います。画面の制御をして、必要な情報を見られるようにワークフローを回すようなシステムです。

 

以上は、8月30日（火）13:00-14:00に開催されたセミナーの抄録です。

本内容に関するお問い合わせやご相談は、こちらのフォームにご記入ください。