「Digital社会に信頼(トラスト)を築く」をミッションに掲げ、リスク領域における国のルールメイキングや企業のガバナンス構築を行うPwC Japan有限責任監査法人 RA(Risk Assurance)部門。
今回は、同組織の部門長であり、またPwCビジネスアシュアランス合同会社 Compliance Technical Solutions RA(CTSR)の部門長でもあるパートナー 綾部泰二様より、組織のアイデンティティやメンバーといった概要や強み、現在のマーケット状況と今後目指す姿、組織におけるキャリアなどについてアクシスコンサルティングの井内がお聞きしました。
RA部門長 パートナー 綾部泰二様のご経歴
井内
まずは、綾部様のご経歴をお伺いしてもよろしいでしょうか。
綾部様
私の経歴は、PwC Japan有限責任監査法人(以下、PwC Japan)の前身である中央青山監査法人の子会社であるシステム会社からスタートしました。
中央青山監査法人ではシステムコンサルタントとしてパッケージ導入やIPOのサポートなどを行っていました。その後、1年間他の大手監査法人を経て、PwC Japanに参画しました。
井内
現在のお立場やミッションについて教えていただけますでしょうか。
綾部様
大きく二つのミッションがあります。一つはPwC Japanグループのサイバーセキュリティ&プライバシーのCo.リーダーとして、そしてもう一つは、PwC Japan内のITリスクを専門とするチームであるRA(Risk Assurance)の部門長と、その子会社であるビジネスCTSR(Compliance Technical Solutions RA)の部門長を務めています。
井内
御社/グループで重要なお立場を担われていますが、御社で長く在籍され、現在のキャリアを構築されるまでに至った理由は何だと思いますか。
綾部様
正直にお話をすると、マイノリティだからこそのメリットはあったと思います。監査法人は公認会計士が中心ですが、一方でITリスクやサイバーセキュリティのプロフェッショナルも必要とされています。しかし、ITリスクやサイバーセキュリティを扱える者が少なかったため、結果的に大事にされてきた。そこは追い風としてありましたね。
「組織のサイズとして日本一。ここからはITリスクの象徴的な組織になりたい」
井内
綾部様がリードされるRAの概要をご紹介いただけますか。
綾部様
私たちのアイデンティティは「ITやデジタルに関わるリスクの専門家」です。それを踏まえ、RAは、サイバーセキュリティ&プライバシー、ITリスク&ガバナンス、会計監査におけるシステム監査の三つのサービス体系から構成されています。
とはいえ、サイバー攻撃もシステム障害も、元をたどればITやデジタルが引き起こすリスクです。そのためサイバーセキュリティやITガバナンスというように、明確にスキルを区分けするのではなく、メンバーは皆、リスクマネジメントという共通のスキルセットを持ってそれぞれのサービスを提供しています。
井内
RAを構成するメンバーのバックグラウンドはいかがでしょうか。
綾部様
RAは、SIerやコンサルティングファームの出身者が多く、監査法人の出身者が少ない点が特色として挙げられますね。というのも、私たちのミッションは、監査の枠を超えてデジタル化された世の中でトラスト(信頼)を構築していくこと。それを実現するためには、従来の監査法人のカルチャーや動き方ではなく、すでに社会基盤を構築してきた経験のあるコンサルタントやSIer出身者といった方たちを求めているからです。
また、RAは人員規模においてもセキュリティ領域で業界トップだと自負しています。監査法人で400人規模のITリスク組織を抱えているところは他にないと思いますよ。
井内
PwCコンサルティングのDigital Trustチームだけでも約200人のITリスクのプロフェッショナルがいますから、PwC Japanグループ全体を合わせると、さらに他社との差が生まれるわけですね。
綾部様
そうです。もちろん、人数が多いだけでは意味がないので、「量も質も高めよう」と常々口にしています。よくメンバーに富士山の写真を見せながらこう伝えています。「私たちは組織のサイズとして日本一。ここからはITリスクの象徴的な組織になっていこう」と。それぐらい大きな志と覚悟をもって臨んでいます。
国の委員を務めるパートナーが多数在籍、リスク領域のルールメイキングに関与できる
井内
RAのビジネス上における特徴や強みをお伺いしてもよろしいでしょうか。
綾部様
特徴としては第三者性があることです。つまり、アドバイザーとして客観的に物事を捉え、コメントできる力が私たちの強みになります。それが顕著に現れているのが、RAのパートナーのほとんどが国の委員を務めているところにありますね。そこで国のルールメイキングに携わっています。
中央省庁から「RAから出向者を出してほしい」という依頼も少なくありません。それはこれまで多くの企業を見てきた経験から、偏った見解ではなく「一般的にはこうです」と自分たちの言葉で話せるからこそだと思います。
井内
組織として、国の委員が多数輩出されるというのは特徴的ですね。
綾部様
そうですね。例えば他の大手のリスクコンサルティングファーム出身の丸山満彦パートナーは、内閣官房に出向し、内閣官房サイバーセキュリティセンターの立ち上げや政府統一基準の策定、改定に関与しています。そうした縁や何かのきっかけで「PwC JapanのRAには、こういったプロフェッショナルがいるのだ」と知れわたり、出向依頼や委員のお声がけにつながるケースが多くあります。他社でも、国の委員として活躍している人はいますが、あくまでも個人としての活動といったところだと思います。一つの部署から国の委員をこれほど多く輩出している組織は類を見ませんね。
井内
多岐にわたってRAのメンバーがご活躍されているのですね。
綾部様
他にも世界的なスポーツイベントでは、リスク評価、会場設備の設置状況といったセキュリティの領域においてPwCコンサルティング、RA・CTSRとの共同プロジェクトで対応しました。最終的に主催団体から感謝状をいただいたのですが、メンバーは皆、一丸となってやりがいを持って取り組むことができたと思います。今後も、日本で開催される大きなイベントに関して、私たちは裏側からサポートしていきます。
RAはプロフェッショナルでありながら、クライアントを導く表現者でもある
井内
国のルールメイキングに携わっていると伺いましたが、あらためてクライアントサイドにおけるマーケットの動向について教えていただけますでしょうか。
綾部様
クライアントからの相談内容は多岐にわたりますね。私がこの仕事を始めた23年前は、ようやく仕事でパソコンを使い始めた頃。当然、スマートフォンもなく、今のようにクラウド上で多数の企業と同じ基盤を使うということは全く想像できませんでした。一方、最近では、生成AIを導入するためにはどのようなルールが必要なのかという問い合わせがトレンドになっています。
つまり、世の中のITが変化すればリスクも変化し、そこに必ず仕事が生まれる。私たちのビジネスとしての引き合いは常に多いですね。リスクに限って見れば、RAだけでも売上は他社を圧倒していますので、案件の多様性がある分、ケイパビリティを素早く伸ばせる環境だと思います。
井内
昨今の経営アジェンダとして、やはり「トラスト」は重要なキーワードだと認識しております。そういった観点から、今後RAとして強化されたい領域や、提供していきたい価値について教えていただけますか。
綾部様
信頼回復に向けたトラストサービスです。元々、私たちがサイバーセキュリティやITガバナンスを行っているのは、トラストサービスの一環だからです。しかしながら、デジタル化された社会の中で「ここは安全です」「信頼できます」と保証したり、意見書を出したりするだけがトラストの実現ではありません。例えばある企業でシステム障害が発生したとします。それに対して、再発を防ぐために「自ら是正して対応しました」という第三者報告を出すことがあります。つまり、これもトラストサービスの一つです。
仮に企業が世の中において、信頼を失う瞬間があったとしても、企業が社会の中で必要とされているのであれば、私たちは企業の存続をサポートしていく。そういった領域においても私たちは価値を提供していきたいと思っています。
井内
企業をサポートする立場として、強く意識されていることはございますか。
綾部様
そうですね。私たちはプロフェッショナルという立場ですが、ある意味、表現者であるべきだと思っています。少し言い換えると、難しいことを分かりやすく伝えて相手の行動を変えられるのがプロだと考えています。私たちはアドバイザーという立場として、クライアントの意欲を高めて、クライアント自身を変えていかなければならない。そのためには、プロフェッショナルでありながらもタレント性や人としての魅力を持ち合わせていることがより重要になってきたと思っています。
例えば、RAには、元アイドル、元舞台女優、元ミュージシャン、元プロゴルファーという方たちがいます。つまり、元々表現者だった方たちに、私たちの専門性を身に付けていただくことで、さらに魅力的な形でクライアントに専門性を伝えられるのではないかと期待しているのです。
RAはπ型人材を目指し、CTSRはI型人材を目指す
井内
綾部様はPwCグループ全体のセキュリティCo.リーダーも務められています。PwCコンサルティングとの関係性や連携の事例について教えていただけますか。
綾部様
PwCコンサルティングとの連携で一番顕著なのは、提案書を連名で出せることです。コンサルタント側がクライアントの課題解決をメインとする一方、私たちはアドバイザーという立場でクライアントを導いていきます。その違いから、セキュリティやガバナンスの実装の部分はコンサルタント側が担い、顧客自身でやらなければならない部分に関しては私たちがアドバイザーとして入る。そういったフォーメーションを組むケースが多いですね。
また、私たちが監査法人として第三者性を求められるケースもあります。例えば、ある評価に対して恣意的な評価がされていないか、客観的な評価を私たちが行い、その後、コンサルタント側がクライアントの改善支援に入っていくというフォーメーションです。
井内
さらに、綾部様はPwCビジネスアシュアランス合同会社のCTSRの部門長も務めていらっしゃいます。PwC Japan監査法人では対応しきれない会計・デジタル領域のサービスを提供すべく設立された部門と伺っていますが、RAとの違いについても教えていただけますか。
綾部様
大きな違いはキャリアの面にあります。CTSRは、I型人材を目指した組織です。ある分野において特化した専門性を極めてもらうために、売上ノルマはなく、プロジェクトマネジメントやメンバーのマネジメント管理がないことが特徴になります。また、より専門性を活かしてもらうためにCTSRでは、クライアントとスコープを決めたり、費用を決めたりといったことも行いません。プロモーションにおいては、基本的にマネージャー未満は定期昇給を設けているため、昇給のタイミングなどを気にせず安心して専門性を培っていけるようになっています。
一方、RAは、π型人材を目指した組織です。一つの専門性ではなく、複数の専門性を身に付けてクライアントに貢献してほしいと考えています。RAでは、売上ノルマもありますが、その分、ノルマに合わせて給与も高く設定しています。また、プロモーションにおいては、資格要件や英語要件なども必要となります。
井内
CTSRからRAに転籍するケースもあるのでしょうか。
綾部様
もちろんあります。これまでCTSRからRAへ4名転籍した実績があります。ところが毎年、CTSRメンバーに「RAへ移りたいかどうか」と尋ねるのですが、直近2年は誰も手を挙げていない状況ですね。その証拠として、毎年、従業員満足度を測定するのですが、昨年はRAよりもCTSRのポイントが上回りました。前述の通り、RAとCTSRとではキャリア形成が異なり、それぞれに適したメンバーに参画してもらっている経緯があるため、結果としてCTSRという組織に対して居心地の良さを感じているメンバーが多いのかもしれませんね。
井内
メンバー自身がキャリアを選べるということですね。
綾部様
そうです。逆にRAからCTSRに移って、そこで成長しているメンバーもいますね。どうしても子会社を作ると、子会社の方が給与テーブルが低いため、親会社よりも下に見られがちですが、そうした制度やカルチャーはあってはならないと思い運営してきました。現在はそうした上・下という認識がなくなりつつあり、ある種、CTSRのアイデンティティが確立されてきたと感じます。
井内
PwC Japanグループ内では様々な連携をされているようですが、グループ外との協業などもあるのでしょうか。
綾部様
ありますね。例えば先進的なサイバー領域のテクノロジーは、ベンチャー企業の方が進んでいたりするため、そうした企業とのお付き合いはあります。代表的な事例では、マルウェアに対抗するセキュリティツールを大学生がメインとなって開発している企業があるのですが、実は国のある組織がその企業のソリューションを使っています。ベンチャー企業の中には大手企業にはない尖った知識を有している企業もありますので、個人的にも興味があり、お付き合いをさせていただいています。
井内
ベンチャー企業にとっても御社と協業するメリットはありそうですね。
綾部様
そうですね。やはりベンチャー企業は、先進的な技術を持っていてもまだ知名度が低いため、私たちとコラボレーションすることでネットワークを広げることはできるかと考えています。
加えて、昨今のサイバーセキュリティ対策では、PwC Japanグループ内だけではなく、ベンチャー企業も含めビジネスネットワークを構築し、クライアントワークを行っていくことが重要だと考えています。
自分の強みを伸ばして、ユニークさを武器にする
井内
キャリアの話も出ましたが、社内のメンバーに対して、マネジメントや育成をするにあたり、綾部様が意識されていることについて教えていただけますでしょうか。
綾部様
私たちは「監査」という名称が付いているため、ともすると真面目にこつこつと業務をこなす人が評価されると思われがちです。しかしそうではなく、私はメンバー一人ひとりが持つ魅力を強みとして評価するよう心がけていますね。
また、メンバーに対して「自分が夢中になれることに時間を費やしてほしい」という話をよくしています。例えば自分自身に課題があったとしても、3年間続けて課題が解決できなければ、その課題を解決しようとせず、他人の力を借りたり、もしくは目立たないようにしたりしましょうと。なぜなら、人は夢中になって楽しくできることについては疲れを忘れて取り組むことができるからです。そうした楽しさを自分たちの仕事の中で見出して欲しい。自分の強みを伸ばせば、それがユニークさとなって他人にはない武器になるはずです。そうした人材を育成していきたいと思っています。
井内
自分の強みを伸ばすことは、結果的に組織やクライアントにとってもプラスになるということですね。
綾部様
そうですね。ですから、組織の中には専門性を突き詰めながらも、マネジメントが苦手な人もいます。そういった方にはサブジェクト型エキスパート、いわゆるSMEマネージャーとして様々なプロジェクトにアドバイザーとして入り、知識面でサポートしていただくプロセスも用意しています。
井内
先ほど取材の中で、リスクマネジメントといったスキルについてのお話もありました。RAでキャリアを積むことで得られるものは何だと思いますか。
綾部様
キャリアの広がりだと思います。最近では、チーフリスクオフィサーとして事業会社のリスクマネジメントチームや、大手クラウドベンダーのセキュリティチーム、リスク管理チームに転職される方も少なくありません。私たちの組織には、インシデントレスポンスの対応能力が高い人が多いため、相当なノウハウを持った人材として事業会社からは喜ばれるのでしょう。
一方で、会計監査という業務は、クライアントに対して中長期的なビジネスアドバイザーとして関わるため、事業会社のビジネスの変遷を見ながら、共に成長できるという側面があります。そのため、RAには10年以上働いている方も多く、結果的に勤続年数が長くなる傾向があります。
井内
長期的にクライアントと関係を構築できることが組織の魅力である一方、アサインが長期化するのではないかという懸念の声も出てきそうですが、いかがでしょうか。
綾部様
それは心配ありません。PwC Japanグループでは、期初にコーチとアサイン方針を確認するため、メンバーの要望に合わせてアサイン調整がなされます。
井内
アサイン期間は、平均でどのくらいでしょうか。
綾部様
会計監査業務では平均2~3年ほどでしょうか。やはりクライアント企業のビジネスをきちんと理解できていなければ、リスクマネジメントが正しくできているか判断できないからです。さらにグループ会社全体を含めて考えると、それなりに時間は要すると思いますね。
一方、私たちのアドバイザリー業務は契約期間に準じ、数か月であるケースが多い印象です。私たちがクライアント企業のリスク評価を行って、改善ができているか確認するケースの場合は、その間は期間が空きますし、コンサルタント側が改善に向けて動くケースがあります。
井内
そうすると、アサイン期間は比較的柔軟で、メンバーの希望も聞きやすいのでしょうか。
綾部様
そうですね。とはいえ、実際に企業にインシデントが起こり、業務停止処分になってしまった場合、私たちはそのサポート業務も行います。すると、クライアントからは必要とされますし、感謝される度合いも大きいのです。そのためメンバー自ら、プロジェクトから外れるということはほとんどないのが実情ですね。
メンバーの志向に合ったワークライフバランスを実現
井内
RAのワークライフバランスについて意識されていることはありますか。
綾部様
メンバーのキャリア志向や生活志向に合わせたアサイメントを実現しています。例えば、子育てと仕事を両立させるためのワークライフバランスへの対応だけでなく、ご両親の介護で地方の実家に戻らなければならないようなケースにおいても、リモートワークで地方から仕事ができる体制を整えています。
また、残業においてメンバーから「ここまで」という話があれば、それ以上のアサイメントは行いません。さらに、アサインプロセスでは、マネージャーと本人だけで決めるのではなく、セーフガードとしてコーチの承認がない限りアサイメントが決まらない仕組みになっています。
コンサル業界全体を見回すと、転職される動機の一つとしてアサイメントに不満を持たれる方が多くいます。RAでは皆さんが長く働かれている要因として、そうした工夫があるからなのかもしれませんね。
井内
働き方についてはいかがですか。
綾部様
リモートか出社かという観点では半々ですね。クライアントがリモート対応の場合は、基本的に顧客のニーズに合わせています。一方でメンバーの育成を考えると、特に若い方は先輩と一緒に仕事をすることが貴重な経験になると考えています。そのため、チーム単位でオフィスに来てディスカッションをしていますね。
井内
柔軟に対応されているのですね。
綾部様
やはり、リモートだけでは限界があります。直接会ったことのない人のために働くことができるか。情熱を持って仕事に取り組むことができるか。そう考えるとお互いに直接会った方が仕事はしやすいと思うのです。そのために私たちは、メンバーが集う接点を積極的に作りつつ、業務はリモートで効率的に取り組めるようにしています。
例えば、部門ごとのオールスタッフミーティングというイベントでは、出席率は8割を超えています。またアンケート調査によれば、コロナ禍以降に入社したメンバーにおいても会社の飲み会に参加したことがないという人はほとんどいません。お互いに顔を合わせた上で一緒に仕事をするというスタイルがだいぶ浸透してきたなと思います。なので、懇親会や勉強会を開くと多くのメンバーが集まってくれますね。
強いパッションがあるから、人を惹きつけることができる
井内
RAではどのような人材を求めているのでしょうか。
綾部様
「デジタル社会の中で、トラストを実現していくのだ」という強いパッションがある方です。私たちの業務は、クライアント企業の人たちに動いてもらう仕事でもあるので、情熱がなければ人は話を聞いてくれません。信頼関係を構築することが難しいデジタル社会の中で、クライアントのために貢献したいという強い想いを持っている方に参画してもらいたいですね。
井内
先ほどSIerやコンサルタントの経験者が多いというお話でしたが、そうした方の中には転職活動をする上でコンサルティングファームを選択肢に入れられる方も多いと思います。どういった違いがあるのでしょうか。
綾部様
例えば、課題というハードルがあるとしましょう。コンサルティング業務はアスリートとしてクライアントの代わりにハードルをとび越えたり、クライアントと一緒にハードルを跳び越えたりします。一方、アドバイザリー業務は、アスリートではなく、トレーナーとしてクライアントにハードルの跳び方を教えて、クライアントが跳べるようにサポートをしていきます。
つまり、私たちはクライアントに伴走しながら仕事をするのではなく、複数のクライアントを同時に見ていくからこそ、業界におけるスタンダードをいち早く理解し、アドバイスに変えていくことができる。そうした違いから、当社に入社される方はコンサルタントではなく、アドバイザリー業務を選択されるケースが多いと思います。
井内
ありがとうございます。それでは最後に、RAに興味をお持ちの方にメッセージをお願いいたします。
綾部様
RAには多様な人たちが集まっています。そうした中ではお互いを尊重できなければ、組織としての強さやユニークさは生まれません。相手をリスペクトできる人に来ていただきたいですね。ITやリスクマネジメントのスキルが今はなくても、入社してから身に付けることができるため、心配はいりません。情熱を持っている方に、ぜひ私たちの門を叩いてもらえたら幸いです。
