今回はPwCあらた有限責任監査法人(以下PwCあらた)システム・プロセス・アシュアランス部(以下SPA)の部長である綾部様にお話を伺ってきました。
目次
綾部 泰二様のご経歴
大手監査法人に入所後、システム子会社へ出向し、主にビジネスプロセスの変革などを実施。
また、銀行、保険、証券会社、大手メーカー、大手通信、大手自動車など、業種を問わずサービスを提供している。
現在はサイバーセキュリティ、プロジェクト監査、ITガバナンス、システムリスク管理関連業務の責任者として多数のクライアントにサービスを提供している。
特にITガバナンスの知見を生かしたサイバーセキュリティにおけるガバナンスを検討することを得意としている。
またインシデントが発生した場合の再発防止策検討や有効性評価の実績を多数有する。
2019年7月よりPwC Japanグループのサイバーセキュリティ Co-Leaderを務める。
共通の高い専門性を有し、複雑化するデジタル社会へ信頼を付与するSPA
SPAについて教えてください。
SPAはデジタル・ITの知識を活用し、社会や企業の真の課題・リスクを識別し本来あるべき姿を提言することで、社会課題への対応から企業の固有のリスク対応に至るまで、業界問わずさまざまなトラストサービス(信頼を付与するサービス)を提供しています。現在では、関連部門であるコンプライアンス・テクニカル・ソリューションズSPA(CTSS)を含めると約450名程度の規模となっており、人員としては業界最大規模と言えると思います。また、PwCあらたは、システム監査とアドバイザリー業務を分断せず1つの部門に統一しています。これは組織のケイパビリティとそこに属する個人のケイパビリティの両方を広げることにつながっており、私たちの強みになっています。
中途採用ではITのバックグラウンドを持つ方やコンサルティングファーム出身の方が多いです。特にSI出身者などは、監査法人という独立した立ち位置で、クライアントが本当に必要としているソリューションを提供することができるという理由から入社しているケースが多いです。加えて、ディスカッションする相手が上場企業の管理職やマネジメント層となることから、視座を上げて経営の根幹に関われることも入社理由の1つと感じています。実例で行くと、上場企業において、クライアントとともにリスクマネジメントを推進する部署を創出していくプロジェクトもあります。これはクライアントや社会からの信頼性を維持し、向上させる「トラストサービス」を提供している私たちだからこそできることであり、コンサルティングファームではなかなか経験することができないことだと思います。
さらに中央省庁への出向者も多く出しており、世の中のニーズと制度の架け橋的な存在になっていると感じています。
私自身これまでSPAでITリスクの評価やITガバナンスの構築、プロジェクトリスクの評価など幅広い業務に関わってきましたが、これが身に付いたなというものを一つ挙げるとするならば、ITを有効活用するには会社や組織がどうあるべきか、という組織について論ずることのできる力だと思っています。組織論は企業によって異なるため絶対がない一方で、いずれの企業においても共通の経営課題であるため、一生涯通じて活用できるスキルと言えます。
クライアント企業が抱えている課題感の変化
クライアント企業が抱えている課題感の変化について教えてください。
ITやテクノロジーの技術、製品はこの20年間で大きく変化してきています。私が入社した時はまだクラウドという概念がなかったのですが、今ではクラウドやアプリ、スマホなどが主流になっています。ほかにもサイバーセキュリティや地政学リスクなども直近のテーマとして挙げられます。このような変化によって新たなリスクが出てきており、クライアント企業の課題感も変わってきています。
一方で変化していない課題もあり、一例としてIT人材の確保が挙げられます。特殊技能を持っている人たちをいかに定着させるか、人材モデルをどのようにして事業の中に埋め込んでいくか、多少中身が変わっても、根本的な課題は変化していないように感じます。
また、システムリスクの顕在化、すなわちシステム障害が与えるリスクも以前と変わらず課題として挙げられます。
このようにITやテクノロジーは1度身に付ければ長く使える知識がある一方で常にトレンドを追い掛けなければいけない側面も有しており、常に知的好奇心を満たしてくれる分野だと思います。
経営課題としてITリスクの領域が注目されている背景
経営課題としてITリスクの領域が注目されていますが、この背景についてどのようにお考えですか。
現在この領域の引き合いが非常に強くなっており、より多くの要望にお応えできる環境にしたいという気持ちが増しています。ここまでニーズが高まっている背景としては、企業がITやデジタルなしでは仕事ができなくなっているからだと思います。何をするにも必ずITが絡みますので、それに対するリスクやガバナンスが経営課題の1つとして注目されています。最近ではCIOやCISO、CDOなどのようにそれぞれの領域を専門に担当するマネジメントを据え置く企業も増えてきており、会社としてITやデジタルの体制整備が重要課題の1つとして捉えられている証と考えられます。それにより私たちプロフェッショナルファームへの依頼も増えてきているのではないでしょうか。
デジタルイシューとは具体的にどのようなもの?
その中でも特に増えているデジタルイシューとは具体的にどのようなものでしょうか。
デジタルリスクの一例として、デジタルによって業務が実装されていることに対してコンプライアンスを守れているかどうかがあります。例えば、プライバシーに関するコンプライアンスやAIの倫理観などです。これらのリスクに対してしっかりガバナンスを確立していくことことが経営責任となります。加えてサイバーセキュリティの課題も挙げられますが、これは国境を越えた知見も必要となるため、グローバルネットワークを持つ私たちのようなファームへの依頼が増えてきています。私たちはクライアントがトップランナーであり続けるために、アドバイザーとして、課題を越えるために必要な要素を伝える役割を果たしています。これがコンサルタントと異なる点であると考えています。
トレーナーとしてクライアント企業の成長をサポートするSPA
コンサルタントとの違いについて具体的に教えてください。
コンサルタントをアスリートと例えると、私たちアドバイザーはトレーナーという立ち位置であると考えています。つまりコンサルタントはクライアントの代わりに課題を解決する存在であり、私たちはクライアントが課題を解決できるよう導く存在であるということです。
また私たちは基本的に常駐ビジネスを行っていません。これは1社についてだけ詳しくなっても専門性が偏ってしまうためです。同時に多くの企業を対応することで専門性を深めていき、さまざまな会社に通用する方法としての専門性を得ることから、真の専門家としてのアドバイスが可能となります。このようにさまざまな企業に通用する高い専門性を有していることから、政府の委員や制度設計のサポートなど、国と関わる仕事を担当している者が多数存在することも大きな特徴の1つです。
よく「攻めのコンサル」や「守りのコンサル」という言葉が使われますが、これについていかがお考えでしょうか。
コンサルとの違いを分かりやすくするために、私たちの業務は「守りのコンサル」と例えられますが、実際は多少の違和感を覚えています。トレーナーとしての立場から企業が活躍できる状況を担保し、世の中への存在意義をサポートしており、これはむしろ攻めであると感じているためです。
今後ますます高まってくる社会のニーズに対応するため、SPAとしてはどのような人材育成を行っていますか。
会計監査におけるシステム監査やシステムリスク、セキュリティリスクの評価業務を経験していただき、ITリスクがビジネスリスクにどのように影響するかについて学んでもらいます。長年PwCが培ってきたノウハウやライブラリーをいち早く学ぶことで、OJTだけでは得られない経験を積むことができます。また、SPAの中で勉強会が頻繁に開催されています。これは特定のテーマについてまとめた内容を共有し、共通の知識を身に付けるという取り組みです。このような勉強会はボランティアベースで行われています。
どのような方にご入社していただきたいですか
これまでの内容を踏まえ、どのような方にご入社していただきたいですか。
ITスキルを有していることは前提となりますが、何よりパッションを持っている方を求めています。日本企業をリスクマネジメントによって下支えしていき、次世代に優良企業を生み出していく思いがある方にぜひご応募いただきたいです。私たちはアスリートではなく、トレーナーとしての立ち位置でサービスを提供しますので、実際に課題を解消し改善するのはクライアント企業になります。このクライアント企業に対して、トレーナーとしてより良くしていきたいという強いパッションを実現できるフィールドは幅広く提供できます。
今後ますますデジタル化が進められていく社会に対して、私たちは信頼の構築と付与をしていきたいと思っています。信頼できるデジタル社会を作っていきたいという熱い思いを持たれている方にはぜひ門戸をたたいていただければと思います。
※この記事は2023年9月時点の社名を利用しています。