ビジネス成果を向上させるデータ／アナリティクスのリスク管理とは？：Gartner Insights Pickup（323）

[Saul Judah, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　「居眠り運転しているかのようだ」といわれて喜ぶデータとアナリティクス（以下、データ／アナリティクス）のリーダーはいないだろう。実際、彼らは起きている時間の大半を、データやアナリティクス、人工知能（AI）のチームを指揮したり、ビジネス価値を高めるプログラムを運営したり、経営幹部にそれを伝えたりするために費やしている。

　だが、問題もある。データ／アナリティクスリーダーは、投資を通じてビジネス価値に適切に取り組んでいるが、一般的に、こうした投資を失敗させ得るリスクには効果的に対処していない。

　2023年3月、Gartnerが発表した「 CDAOアジェンダ調査（最高データ／アナリティクス責任者〔CDAO〕などのデータ／アナリティクスリーダーに対する調査）」によると、回答者はデータ、アナリティクス、情報ガバナンスを、組織のデータ／アナリティクスに取り組む上で最も重要な成功要因と位置付けている。説明責任や決定権、行動変容を通じたガバナンスが、ビジネス成果の達成に大きく貢献するという認識が広がっているのは朗報だ。

　だが、コンプライアンスとリスク管理の改善を、今後12カ月間にデータ／アナリティクスの取り組みで注力すべき上位5つの目標として挙げたCDAOは、19％にとどまる。これに対し、Gartnerが発表した「2023年の取締役向け調査」によると、非常勤業務取締役の64％が、2023年と2024年にリスク選好を高める考えを示している。

　主要業績評価指標（KPI）やミッションクリティカルな優先事項とデータ／アナリティクス資産の関係を理解することは確かに重要だ。だが、全く同じ文脈で、主要リスク指標を理解する必要もある。簡単に言えば、リスクと価値は同じコインの裏表だ。それなのにほとんどの場合、データ／アナリティクスリーダーはそのように考えていない。

　最近では、生成AIへの過度な期待や高まる関心を背景に、内部監査チームがデータ／アナリティクスに注目するようになっている。だが、行動を起こすべき理由はそれだけではない。データ／アナリティクスの効果的なリスク管理フレームワークが必要なのは、ビジネス上、それが極めて理にかなっているからだ。

リスクの文脈を理解する

　データ／アナリティクスのリスクは、ビジネス成果との関連で理解する必要がある。そのためにはまず、組織の戦略的なビジネス成果を理解し、その達成を支える主要なステークホルダーと業務プロセスを特定する。これらは組織ごとに異なり、そのためにリスクもまた組織ごとに異なるからだ。

　ビジネス成果は、エコシステムにおけるデータ／アナリティクス資産（顧客連絡先データなど）の構築、利用、管理に依存する。組織が直面するリスクシナリオに即してビジネス成果を分析する必要がある。リスクはどれも同じというわけではないため、この分析に当たっては、リスクの評価と優先順位付けを、重大性と組織のリスク許容度の観点から行わなければならない。

リスクへの対処方法の選択肢を案出する

　ビジネス成果に最も影響をもたらすリスクについて、自社としての対処方法の一連の選択肢を考案する。その際は基本的に、ビジネスやデータ／アナリティクス、テクノロジーに関する主要なステークホルダーと何度も率直に話し合い、理想的なリスク解決策や資金的に可能な対処方法、組織的、文化的に可能な対処方法の適切なバランスを見つける必要がある。

　これらの話し合いは、具体的な内部統制メカニズムやリスク移転など、リスクへの対処方法の幾つかの選択肢を特定するのに役立つ。リスク文化やガバナンス、教育とトレーニング、コミュニケーション、テクノロジー、プロセスの改善により、リスク要件を満たす方法を、どのように変えられるかを検討する。

リスク管理と内部統制の環境

　通常、データ／アナリティクスのリスク管理機能の導入は多大なリソースと時間を要するプロセスであり、これを過小評価してはならない。だが、このプロセスは、既存のエンタープライズリスク管理と内部統制（以下、リスク管理／内部統制）の環境にデータ／アナリティクスのリスク管理フレームワークを導入できれば、はるかに容易になる。

　ただし、必要な導入作業や、それらを誰がどのように行うか、どの部署が関与する必要があるかを把握しておかなければならない。

リスクをモニタリングし対策を講じる

　データ／アナリティクスの効果的なリスク管理／内部統制環境を整備するには、データやアナリティクス、AIのリスク、関連するリスク判断に加え、それらがビジネス成果に与える影響を十分に理解する必要がある。だが、これらのリスクは動的であるため、リスク判断がリスクのしきい値を超えることによって、リスクとステークホルダーのリスク選好度との関係がどう変化するかをモニタリングし、適切な対策を取れるようにする必要がある。

　そのため、リスク対応プロセスでは、常時モニタリングによる継続的なリスク分析と、テクノロジーの機能によって実現される、フィードバックに基づくリスク対策の自動実行が重要な役割を果たす。

　ただし、リスク管理テクノロジーの実装よりも、リスク文化の理解と振る舞いの改善を優先するべきだ。モニタリングや制御のためにテクノロジーを活用することが有効なのは確かだ。だが、効果的なリスク管理や対応をするには、何よりも、人々とそのリスクに関連する振る舞いの根本原因とを理解することが前提になる。

出典：Managing data and analytics risk improves business outcomes（Gartner）

筆者　Saul Judah

VP Analyst