図1はリスク・コンプライアンス・プログラムにおける優先順位を尋ねた結果である。抜きん出て多いのが「データやプライバシーの保護やセキュリティー」、次いで「事業継続およびオペレーショナル・リスク」「贈収賄(bribery)・汚職(corruption)・不正行為(fraud)」などとなっている。

画像を拡大 図1. リスク・コンプライアンス・プログラムにおける優先順位を尋ねた結果(出典:NAVEX Global / 2021 The Definitive Risk & Compliance Benchmark Report)

少々意外だったのは、「ダイバーシティ・公平さ(equity)・インクルージョン」や「環境・社会・ガバナンス」に対する優先順位が最も低いことである。これらは近年特に世間での関心が高まっている分野なので、もう少し上に入るかと思っていた(注3)。

たとえ社会全体として取り組む課題がたくさんあるとは言っても、企業経営の現場ではもっと切迫した、切実な課題が山積みということなのであろう。実際、他の設問では回答者の33%が、過去3年の間にデータ漏えいやサイバーセキュリティー上のインシデントに直面したと回答している。

次の図2は、リスク・コンプライアンス・プログラムの見直し、テスト、および改善にどのような情報源を用いるかを尋ねた結果である。回答者の77%が3種類以上の情報源を用いているとのことであり、「規制の改定(に関する情報)」「リスクアセスメントの結果」「コンプライアンス・プログラムの監査」が上位3位となっている。

画像を拡大 図2. リスク・コンプライアンス・プログラムの見直し、テスト、および改善に用いる情報源(複数回答)(出典:NAVEX Global / 2021 The Definitive Risk & Compliance Benchmark Report)

規制の改定に対応していくのは、どのような企業においても行われなければならない最低限のレベルであるが、リスクアセスメントや監査の結果がリスク・コンプライアンス・プログラムの見直しなどに使われるということは、回答者が所属している組織の多くでこれらが定期的に実施されているということであり、プログラムが組織経営に定着していることが伺える。

なお、「組織の文化を測定する」(Measures of Org. Culture)という項目がある。これに関して本報告書では、コンプライアンスに関する健全な文化は、リスク・コンプライアンス・プログラムの有効性を表す究極の指標(ultimate indicator)であるものの、それ自体が無形のもの(intangible)であるために測定が困難であることが指摘されている。