KPMGコンサルティング｜　Financial Services ビジネスユニット Regulation & Governance グループ 谷口様、小峯様、栗原様　｜【金融×リスク】の最先端アドバイザリーチーム

前職はSIer企業にて、SEとして働いていました。主にクレジットカードの基幹システムの開発に携わっており、プログラミング、設計、要件定義、プロジェクトマネジメントなどの一連の業務を経験しました。前職では大規模システム開発のマネジメントの難しさを実感し、システム開発に関する問題やトラブルを見聞きするなかで、それらを事前に防ぐリスク管理という領域に興味を持ちました。それがきっかけとなり、リスク領域のコンサルティングに定評のあるKCに転職することにしました。KCに入社してからは一貫して金融機関向けにリスクコンサルティングのサービスを提供しています。
直近では、金融機関の大規模システム開発に係るリスク評価や、金融機関のITガバナンス態勢の整備・評価などを担当しています。

新卒で外資系金融機関に入社し、システム開発の受け入れテストを行う専門部署で経験を積みました。そこからユーザー側の部署に移り、システム企画の仕事をする中で、合併による大きなシステム統合のプロジェクトを経験しました。勘定系の1つのシステムにおいて責任者を務めましたが、プロジェクトの管理態勢に問題があるのではないかと感じることがありました。その管理態勢を改善するためには、経営陣の意思決定が必要となっていたため、社内の人間より外部の第三者が問題提起して取り組んだ方が、スムーズに課題解決ができるのではないかと思うようになりました。これがきっかけでコンサルティング会社を志望するようになり、そのなかでもリスク領域に定評のあるKCに魅力を感じ、入社しました。
現在はITリスクマネジメント領域の業務に携わることが多いのですが、直近では国内外の情報セキュリティやサイバーセキュリティに関する外部環境情報などを収集して、金融機関に対する課題提起やその課題に対して、どのような対応を行っていけば良いのか助言を提供するアドバイザリー業務を担当しています。

新卒で日系SIer企業に入社し、3年半ほどSEとして金融機関向けの業務アプリケーション開発を行いました。業務を通じて、基本設計や詳細設計といった設計フェーズやプログラミング、移行作業に携わり、システム開発の一連の流れを経験しました。その一方で、開発業務にとどまらない広い視点で仕事がしたいと考えるようになり、コンサルティング業界を志望しました。前職の経験から、金融機関のシステムではセキュリティやプログラム品質において非常に高いレベルを求められるということを実感しておりましたので、リスク領域での専門性を高めたいと考え、KCに入社しました。
KCに入社してからはサイバーセキュリティの評価サービスを担当しました。その業務がきっかけで金融機関のサイバーセキュリティ態勢の評価や様々な評価ツールに興味を持ったので、自ら希望してこれまで複数のプロジェクトに携わっています。

R&GはFinancial Services ビジネスユニットの中に位置しており、金融機関に特化したサービスを提供しています。R&Gというのはレギュレーション＆ガバナンスの略で、主にテクノロジーに関連した規制対応、リスクマネジメント、ガバナンス態勢の構築等を支援しているチームです。
さらにR&Gの中でサービス開発を目的として3チームに分かれています。1つ目がDX（デジタルトランスフォーメーション）リスクチーム、2つ目がGRC（ガバナンス・リスク・コンプライアンス）チーム、そして3つ目がサイバーセキュリティチームです。従来のITリスク管理に対して新しいデジタル領域のリスクを管理していく上で何が必要か検討するチームと、従来のITリスク管理をデジタル化していく上でどのような方法があるのか検討するチーム、最後にニーズが高い分野であるサイバーセキュリティをテーマに扱うチームで構成されています。これらのチームは、金融業界に特化したサービスを扱っていますが、業界横断のサービスを扱っている他のビジネスユニットと協業することもあります。例えば、業界横断でサイバーセキュリティを専門に扱うTRSというビジネスユニットと連携してプロジェクトを進めることも多いです。基本的にマネジャー以上はいずれかのチームに所属し、コンサルタントとシニアコンサルタントについては希望制で所属することになっています。私はDXリスクチームに所属しており、今日参加している2名は、それぞれ別のサービス開発チームに所属しています。

私はGRCチームに所属しています。現在は、コンプライアンス・リスク管理・内部監査等について、テクノロジーを活用しながら統合管理、高度化できないかということを検討しています。

最初に携わった案件がサイバー関連だったということもあり、サービス開発でもサイバーセキュリティチームに所属しています。直近ではKPMGがグローバルで開発したサイバーセキュリティ管理態勢評価ツールについて、国内金融業界向けにローカライゼーションなどを行っています。

人工知能（AI）のリスク管理態勢を評価する案件に携わっておりました。金融機関でAIの利用が進む中、欧州連合（EU）のAIに関する規制など、各国でAIガバナンスに関する規制やガイドラインが出ている状況です。金融機関が自社のAIに対してどのような管理ルールやリスク評価のプロセスを導入すれば良いのかという観点で、金融機関が整備しているAI管理のルールやプロセスを我々が評価し、改善に向けた支援をしております。
もう少し詳細にお話致しますと、案件では、各国のガイドラインやKPMGグローバルが開発したAIガバナンスのフレームワークをベースにして評価を行いました。AI構築・運用に関する知見が必要であるため、社内のAIモデル構築経験者や、同じKPMGジャパンのあずさ監査法人のモデルリスク専門家、KPMGグローバルのフレームワーク開発メンバーと協業して評価を行いました。現在は比較的AI利用の進んでいる大手の金融機関を中心にニーズがあり、サービスの提供を進めている状況です。

GRCツールをITリスク管理業務に適用する案件に携わりました。GRCというのはガバナンス・リスク・コンプライアンスの略なのですが、GRCツールとは1つのツールの中で企業が抱えるリスクを統合管理し、リスク状況の把握を促進することが可能です。私が担当したクライアントは、当時海外法人の管理に課題がありました。例えば、年に一度行われるシステムリスク評価の際にはメールでExcelやWordデータを送受信しており、期日管理やコミュニケーション、取りまとめ、その後の分析に苦労されておりました。そのため、経営においても、どのようなリスクが高まっているのか適時に把握しづらい課題を抱えていたのです。GRCツールを導入することで、1つのプラットフォームの中でリスク評価の進捗や評価の結果からリスクの高まっている領域を管理することができるようになり、業務の効率化だけでなく、リスク管理の高度化を達成することができました。

私はSWIFTのセキュリティプログラムに基づくサイバーセキュリティ態勢評価の案件に携わりました。SWIFTを利用する金融機関にはサイバーセキュリティ強化を目的としたCSP（カスタマーセキュリティプログラム）が定められており、ここで求められるコントロールの遵守状況の評価をご支援するという内容でした。プログラムで求められるコントロールとクライアントの環境を正しく理解することを意識して、評価を進めました。また、評価対象には、クライアントの海外拠点も含まれていたので、海外のご担当者ともコミュニケーションをとりながら評価を進めていきました。

例えば、審査業務や不正検知業務などにAIを導入している事例や、コールセンターでの電話の冒頭部分にAIを導入している事例があります。また、金融機関の取引先の間で、ニーズが合っている企業同士を引き合わせるようなマッチングにAIを活用している事例もあります。

そのようなプロジェクトもあります。例えば、ITガバナンスの整備など全社的な仕組みを整備する案件ですと、CIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）の方から直接課題を伺ったうえで、現状分析や改善提案の各局面で協議させていただきながらプロジェクトを進めることがあります。また、システム監査など全社的なシステムリスクの管理態勢を評価する案件では、評価結果を、CIOやCISOだけではなく、社長に対して直接報告させていただくこともあります。

クライアントからも「リスクの見える化ができていない」、「どうやってリスクの見える化をすればいいのかわからない」といった声を多く耳にします。そのような状況では、ヒアリングをかけて、どこに課題があるのか分析しながら、どのような解決の方法が相応しいのか、クライアントと一緒に模索していくような形で取組むことが多いですね。

GRCツールの中には、ダッシュボードが準備されおり、その中で様々なデータを分析することができます。例えば、システムリスク評価において「アクセス管理の分野で統制の未達項目が多い」といった情報を集約すると、ダッシュボードの中でアクセス管理の分野にレッドランプがつき、リスクが高まっている状況が見える化されます。そのデータを受けて、迅速な対応に繋げる、集中的に監査を行う、というような対策を講じることができるようになります。

R&Gでキャリアを構築することの一番の魅力は、リスクマネジメントという希少価値の高い領域の専門性が身に付くことだと思います。リスクコンサルティングは、クライアントがリスクを評価してそのリスクに見合った対策や仕組みを考えることを支援する仕事です。業界でも有数の大規模プロジェクトのリスク評価や、グローバル・グループ全体のリスク管理態勢整備に直接関与できる案件が多いので、とても面白味があるのではないかと思っています。
R&Gに入った後は、業務執行部門・リスク管理部門・内部監査部門など様々な部門に対し、サービス提供することで知見が蓄積されるので、KCでリスクマネジメントやガバナンスなどの領域の専門性を極めていくというのもキャリアの1つだと思います。また、一定の経験を積んだ後、事業会社に転職されて活躍されている方や、ベンチャー企業のCISOのような立場でご転職された方もいらっしゃいますので、キャリアパスの選択肢はたくさんあるのではないかと思います。

プロジェクトのアサインについては本人の適性を加味しながら決めています。前職での経験や本人の希望を踏まえつつ、サービス開発に入っている場合は、そのサービス開発に近い案件を優先的にアサインするなど考慮しています。その一方で、前職でシステム関連の経験があってもリスクという部分では経験がない方も多いので、そういう方には様々な案件へアサインすることで、サービスのバリエーションを知ってもらい、どの領域に重点を置いていくのかを、本人に決めてもらうようにしています。

谷口が申していたとおり、本人の志向や希望もある程度加味された上でアサインしてもらえていると感じています。アサイン担当者に「こういった案件を担当したい」と伝えておくことで、機会があった際にアサインしてもらえるよう考慮してもらっているので、大変ありがたい環境だと感じています。

最近ではコンサルティング未経験の方が転職されてくるケースも多いですが、コンサルティング未経験であっても業務へのキャッチアップができるような育成体制が準備されています。全社ベースでは、入社直後に全社的なコンサルタント基礎研修が1週間ほどあります。また、職位ごとに必要なスキルやナレッジを学べる研修もあり、集合研修やe-learningで受講することになります。これに加えて、ビジネスユニットとしての研修も準備されており、金融業界の基礎知識やトレンド、各チームの主要なサービス内容などを学ぶことが出来ます。
育成の観点では、当たり前ではありますが、「丁寧に伝える」ということを常に心がけています。“なぜできないのか”と責めるのではなく、“未経験であればできなくても当たり前”という考え方がベースにあります。私自身もコンサルティング未経験でKCに入社しましたが、ここまで根気強く育ててもらったという思いがあります。最初は分からないことが多いかもしれませんが、根気強く伝えていくということは大事にしたいと思っています。

Financial Services ビジネスユニットには「バディ制度」と呼ばれる仕組みがあり、中途入社者には同じくらいの職位のバディが設定され、分からないことがあればその人に聞くことができます。また、R&Gでは、月次でチーム全体の定例会を開催しており、チーム内でのコミュニケーションをとる機会があります。
私の担当案件では、毎日朝会を実施して、用事がなくても1日に1回は話す時間を作るようにしています。案件のことはもちろんですが、案件以外のことについても話を聞ける環境は整えるように意識していました。些細なことはチャットでやりとりするなど、複数のチャネルを通して、新しく入社された方へのフォローはできていると感じています。

バディ以外にも、パフォーマンスマネジャーとエンゲージメントマネジャーという役割を持ったメンバーが新たに入社した社員をサポートします。バディは同じくらいの職位の社員が担い、分からないことを気軽に何でも聞けるような存在です。パフォーマンスマネジャーはエンゲージメントとは直接関係がない部分で、自身のキャリアについて相談できるマネジャー以上の職位のメンバーです。そして、最後にエンゲージメントマネジャーは、案件をリードするマネジャー以上の職位のメンバーで、案件の具体的な仕事の進め方などについて、業務を通して継続的にサポートします。

私はエンゲージメントマネジャーとしてメンバーに接する際に、事前にその方がどういった志向を持っているのかを必ず確認しています。本人がどういったことに関わりたいのか、今後どういったことにチャレンジしたいと考えているのか、事前に聞くように心がけています。
例えば、常に１つ上の職位に求められる役割を意識して仕事がしたいと望んでいる方に対しては、1つのタスクを切り分けて、その分野についてはその方にお任せすることもあります。そこで何か課題が見つかれば一緒に寄り添い、達成まで導こうと心がけています。私は谷口と一緒に仕事をする機会も多いのですが、困りごとがあるといつも親身に相談に乗ってくれるので、本当にありがたいと思っています。
前提として、KCの社員はチームとしてパフォーマンスを出そうということを心がけている方が多い印象を持っています。チームの一員としてパフォーマンスを発揮できれば、その先でお客様への貢献に繋がるという思いがあるのだろうと感じております。

正直、KCに入る前は、コンサルティング業界に対してドライなイメージがあり、放任的な文化なのかと思っていました。しかし、実際に入社してみると、面倒見の良い先輩社員の方が多く、その点はとても良いギャップを感じました。エンゲージメントで一番やりとりをするのはエンゲージメントマネジャーの方になるのですが、わからないことがあれば気軽に相談することができます。また、今後の成長のために少し負荷のかかるタスクを敢えて振ってもらった上で、しっかりフォローもしてもらえます。今まで様々なプロジェクトに参画してきましたが、どのプロジェクトでも手厚いサポートやアドバイスをしてもらいました。私もコンサルティング未経験でKCに入社しましたが、コンサルティング未経験の人でも安心して仕事ができる環境だと強く感じています。

KCに入社した当時は、小学生と保育園の子どもがいました。コンサルタントはお客様ありきの仕事なので、小さな子どもがおり、制約が多い状況で果たして貢献できるのだろうかと、懸念していました。しかし、実際に入社してみてその懸念は払拭されました。当時はコロナ禍前だったので通常どおりに出社していましたが、18時には帰宅しないと保育園のお迎えが間に合わないという状況でした。そのような状況の中でも個人の事情を汲み取って、限られた時間の中で成果を出してもらえれば大丈夫だと優しい声をかけてもらい、周囲のメンバーもサポートをしてくれることで、しっかりとパフォーマンスを出すことが出来ました。コンサルタントは、プロジェクトベースで動いていることも多いので、メンバー間で調整ができれば、かなり柔軟な働き方ができると感じています。
また、IDE（インクルージョン、ダイバーシティ＆エクイティ）という部署が推進している「ワーキングペアレンツの会」の事務局を担当しております。「ワーキングペアレンツの会」は、主に子育てをしている男性・女性社員が集まって、日頃の困りごとなどを相談しあう場所です。仕事に直接関係することだけでなく、ざっくばらんなコミュニケーションがとれる場が社内にあるというのは、とても心の支えになっていると感じています。

KCでは子育てとお仕事を両立している先輩方が多くいるという印象を持っています。今後、自分のライフステージが変わる際にも、ロールモデルとなるような方々が周りにたくさんいるので、とても安心感があります。また社内のイベントなど仕事と子育ての両立についてフランクに聞けるような場もあるので、自分の将来像はとてもイメージしやすい環境だと思います。

個人的には、普段仕事をするうえで男性なのか女性なのかということは、良い意味で意識することはありません。お子さんの学校行事や保育園の送り迎えなどがある場合は、その度に調整すれば問題ないと考えています。KCでは、万が一お子さんが病気になってしまった場合には、会社が契約している病児保育をしてくれる施設を利用することも可能です。
また、現在は男性であっても育児休暇を取ることは珍しくなく、私自身も2019年に育児休暇を取得しました。会社としてのその辺りのサポートはしっかりしていますので、安心して入社してきてほしいと考えています。
インクルージョン、ダイバーシティ＆エクイティの観点では、KCには、コンサルティングが未経験でも、様々な経験をされてきた方が集まってきているので、その多様性を大事にしようという文化が醸成されています。R&Gにも、SIerやベンダー出身者もいますし、金融機関出身者もいます。様々なバックグラウンドを持った人たちが、それぞれの強みを生かしながら活躍できる会社を作るうえでも、インクルージョン、ダイバーシティ＆エクイティという考え方は大事にしています。

お客様のところに訪問する必要がある場合はもちろん外出することもありますが、コロナ禍になってからは基本的に在宅で仕事をしています。やはりクライアントである金融機関がリモートワークを推進しているので、それに合わせる形になります。その一方で、オンサイトで作業しているお客様もいますので、そのような場合にはこちらもオンサイトで仕事をする場合があります。
在宅ワークになって良かった点は、家族との時間をより多く確保できるようになった点です。コンサルタントの仕事の特性上、納期前はどうしても仕事が立て込んでしまう場合があります。しかし、好きな時間に仕事ができる環境が整っていることで、以前と比較して子育てとも両立させやすくなったと感じています。
基本的にはリモート推奨ですが、ご家庭の事情もあって自宅で仕事ができないという方は、オフィスや提携しているシェアオフィスを利用しています。

私は通勤の時間がなくなったので、その時間を家事に充てられるようになりました。基本的には在宅で仕事をしているので、お昼休みの時間を活用して晩ご飯の下準備をすることもあります。また、学校の保護者会などがあった場合は2時間だけ仕事を中断し、終わってから自宅に戻って仕事を継続することもあります。時間と場所を選ばずに、柔軟な形で仕事ができるというのは大変ありがたいと思っています。

基本的には在宅で勤務していますが、特に不自由なく業務ができています。リモートであってもツールを利用しながらお客様や社内とのやり取りができており、コミュニケーション面での不安もなくリモートワークを継続できていると思います。

もちろん日によっても変わりますが、勤務時間のうち、およそ半分強は案件や営業関連の打ち合わせを実施しています。打ち合わせがない時間を使って、クライアントに対する成果物の作成・レビューや、提案書の準備を行っています。

私はマネジャーですので、打ち合わせの数自体はシニアマネジャーと比べると少ないと思います。KCのルールとして、会議が設定できる時間は原則19時終了までですが、17時以降はお客様との会議というよりは内部のサービス開発会議など社内メンバーとの会議が入ることが多いです。

コンサルタントやシニアコンサルタントの職位では案件に100%アサインされますので、大半の時間をプロジェクトの成果物作成に充てています。打ち合わせについては、チーム内のミーティングやクライアントとのミーティングなど、多い時では1日に2、3時間ほど実施する場合もあります。また、サービス開発に関する作業などがあれば、その他の時間で1日に1、2時間ほど作業を実施することもあります。

何よりも、お互いにリスペクトの気持ちを持てる人と一緒に働きたいと考えています。相手の話をよく聞くということも相手へのリスペクトがあってこそだと思いますし、相手を否定しないということも重要だと感じています。また、リスク感度を高めるという点において、国内外の金融機関におけるテクノロジーの利用動向や、事故事例、新たな規制などに常にキャッチアップしていく必要があります。絶え間なく学び続け、自己研鑽していく姿勢を持っている人を求めています。

オープンマインドを持っている人と一緒に働きたいですね。やはり自分の考え方に固執するのではなく、広く他人の意見を聞きながら前に進める方というのが望ましいのではないかと思っています。お客様が抱えている課題を正しく把握した上で判断していくことが求められる業務ですので、フラットな姿勢で周りの意見を聞ける人と一緒に働きたいと思っています。

コンサルタントやシニアコンサルタントの職位であっても、マネジャーやシニアマネジャーの方に意見を言いやすい環境だと感じていますので、話を聞く姿勢というのはもちろんですが、積極的に発信していただける人と一緒に働きたいと考えています。

R＆Gではどんなバックグラウンドの方でも、「リスク」という領域に興味を持って頂ける方であれば活躍できる環境があります。弊社には高いマインドを持った人が集まっていますし、人を育てていく仕組みも整っていますので、是非積極的に応募してきてください。