ケーススタディ: RiskOpsの導入によるガバナンスとリスクマネジメントの合理化

リスクマネジメントは、事業体全体のすべての業務領域にまたがって統合され、トップダウン型アプローチを組織の意思決定、行動、考え方（つまり、文化）に組み込む必 要がありました。米国ペンシルベニア州ピッツバーグに本社を構えるHighmark Healthは、時価総額220億米ドルの総合医療事業体です。業界の急激な変化により、組織内のリスク戦略、ガバナンス、オペレーションを戦略的に向上させる必要に迫られていました。その推進材料は、組織再編に関する5か年戦略と、それを実現するため、役員会(BoD)からリスク機能に携わる内部の利害関係者に至るすべての賛同により強化されました。

リスクマネジメント、リスクオペレーション (RiskOps)に対するHighmark Healthの新しいアプローチは、 4本の柱から構成されます。

1. BoDおよび上級経営者によって決定されたリスクアペタイトをビジネスケースとプロジェクト計画に浸透させる
2. アセスメントの全レベルでリスクを定量化する
3. 事業体のリスク分類に合わせてリスクおよびコンプライアンス委員会を再構築し、合理化する
4. 3つのラインモデル（米国内部監査人協会(IIA)による）¹ およびRiskOpsモデル（意思決定のサイクルタイムを短縮し、意思決定の質を高める）を導入する。

このケーススタディでは、Highmark Healthの移行について分析し、リスクの発現に対処するためのキャパシティ創出、より強固なコーポレートガバナンスを可能にするより明確な決定権、絶え間ない標準化など、差し迫ったプロセス改善点について深く掘り下げます。

従来の組織構造

これまで、Highmark Healthは、プライバシー、事業体のリスクマネジメント、情報セキュリティ、認定、政府のコンプライアンスなどの専門領域に関して、組織内のリスク運用モデルを重視してきました。このアプローチは、事業体の拡張と規制の変更が見られる中、組織が発生するリスクをマネジメントする際に役立っていました。しかし、それは、日常での実践とリスクマネジメントのスケーリングにおいて、制限と非効率性もたらしました。リスクがますます複雑化し、規制監視のペースが加速するに伴い、それぞれの専門領域チームは、リスク特定、リスクアセスメントと意思決定、リスク処理とモニタリングをサポートするために、冗長な並行プロセスを確立し、多岐にわたる技術を導入し始めました。

専門領域チームを統合し、部門の垣根を越えたインプットを監督部署に提供するために、委員会などの追加のフォーラムを設け、コラボレーションを促進してきました。しかしながら、委員会は自ら設定したゴールを達成したとしても、意図せず組織のプロセスを鈍くし、意思決定のスピードを妨げてしまった。解散の手順が確立されないまま、数年にわたり委員会が増殖した結果、Highmark Healthは、事業体のリスク分類で40種類のリスクグループの1つ、または複数を監督する専属の常設委員会が70を超えていることに気づきました。複数の常設委員会は、命令された推進期間中にプロジェクトチームから発展したため、意思決定または問題解決に関する権限が与えられていませんでした。実際、その活動はどちらかと言えば意識向上フォーラムでした。事態を複雑にしていたのは、意識向上フォーラムの多くが契約やサードパーティのオンボーディングなどのプロセスにおいて必要なステップとして組み込まれていたため、サイクルタイムが長くなったことです。

フレームワーク、プロセス、ツールは、本質的に監督が重複し、非効率性を生み出すものでした。

委員会は運用モデルの足りない部分を補っていましたが、各専門リスク監督チームは同時に、規律に関連するリスクの特定、アセスメントと意思決定、処理とモニタリングをサポートするための独自の運用インフラを構築していました。多岐にわたる受け皿機能、フレームワーク、プロセス、ツールは、本質的に監督が重複し、非効率性を生み出すものでした。さらに、事業部門管理がコンプライアンスおよ びリスクサポートチームを設立し、監査管理部門が徐々にコンプライアンス監視を強化したため、組織が導入した3つのラインモデルの境界線は意図せず曖昧になり始めました。

ヘルスケアは、機を見るに敏な消費者中心のテクノロジー事業体（例えば、Google、Apple、Amazon）によって、仲介されない中、Highmark Healthは変化の必要性を痛感しました。組織のガバナンスとリスク管理を向上する機会があることは明らかでした。より優れたソリューションの探索は、戦略的アセスメントから始まりました。計算されたリスクテイクの速度と一貫性を高め、リスクの意思決定を定量化するため、組織のユースケースを拡大し、事業体のリスク分類の全領域におけるリスク管理手法の標準化および合理化することを目標に開始されました。

戦略的アセスメント：リスクアペタイトへの固着

より迅速な、定量的かつ標準化されたリスクマネジメントのための道筋と運用モデルを定義するにあたり、Highmark Healthは、役員および上級経営者のリスクアペタイトを組織に根付かせる必要がありました。組織の5か年戦略から作成されたシナリオベースのワークショップを通じて、Highmark Healthは事業体のリスク分類の各カテゴリに対して計算されたリスクテイクをするための許容可能な境界線を確立しました。そのワークショップのアウトプットには、事業体の戦略的目標に整合する明確なリスクアペタイトの定義、ガバナンス、運用モデルのサイズ調整、監督に関するアンカーポイントの確立が含まれていました。外部の市場分析に加え、70人を超えるリーダーのポリシー、実践手法、視点を、Highmark HealthのBoDおよび上級経営者によって確立されたリスクアペタイトと比較しました。この定量的インプットは、Highmark Healthの事業体リスク分類全体のガバナンスの有効性に基準値を提供するために、 10か月にわたり一連の定量的質問により集められました。ガバナンスの有効性に関するフィードバックを、監督の第1、第2、第3ラインとして機能する部門および委員会のマッピングと相互に関連付けることで、アセスメントチームは、リスクの意思決定が最適ではない領域、リスクカバレージが重複している可能性のある領域、リスク監視が3つのラインモデルを不鮮明にする領域に注目しやすくしました。

市場分析と同業事業体へのインタビューにより、「3つのライン」フレームワークをより目的意識を持って導入する必要性が強化されました。さらに、市場分析により、民間保険事業体の行政監督が上場されている銀行に比べ、常に4～7年遅れていることが明らかになりました（図表1）。

リスク管理を効率化・簡素化するための4本柱

調査機関による3つのラインモデルに沿った厳密な調査が増加することが予想される中、ガバナンス調査から定量的および定性的リーダーフィードバックを大量に蓄積し、Highmark Healthは組織の目標を達成するために必要な4本の柱を分離しました（図表2）。

1. 役員会および上級経営者から更新されたリスクアペタイトをビジネスケースとプロジェクト計画に浸透させる
2. アセスメントの全レベルでリスクを定量化する
3. Highmark Healthの事業体リスク分類に明確に適合するように、リスクおよびコンプライアンス委員会を再構築し、合理化する
4. IIAの3つのラインモデルとRiskOpsの採用により標準化する

Highmark Healthは、リスクアペタイトスコアリングおよびガイドラインを明示的にビジネスケースおよびプロジェクト計画テンプレートに取り入れ始めました。

第1の柱：連鎖リスクアペタイト
Highmark Healthは、過去10年間にいくつかの対策を行い、組織として計算されたミッション中心のリスクを受け入れることを示しました。例えば、2013年には、米国ペンシルベニア州の医療提供システム会員が、プロバイダーを選択できるようにするために、同システムを買収しました。2015年と2021年には、姉妹組織であるブルークロス・ブルーシールド協会と共同で2つの支部を設立し、ペンシルベニア州とニューヨーク州の新しい地域に勢力を拡大しました。

明確なガバナンス構造を確立することで、問題やリスクを幅広く周知させるためにエスカレーションが必要な領域や、一元化された承認が事業体プロセスによって求められる領域が明確になりました。

2020年には、Google Cloudと革新的な提携関係を結び、臨床医、保険会社、患者/会員の間で医療提供モデルを作りかえました。こうした実績があるにも関わらず、戦略的アセスメントにより、上級経営者のリスクアペタイトと、組織の日常業務の一部へのリスク関連プラクティスの戦術的導入との間に乖離があることが浮き彫りにされました。

コンプライアンス、リスク軽減、品質は、常にHighmark Healthのビジネス手法の中核を担ってきましたが、「医療体験を再発明」² するという戦略的な行程のスタートラインで、経営者は、それぞれの手法の成果を大規模かつ迅速に達成する必要があることを認めました。具体的には、アセスメント参加者の統計的な過半数の評価は、リスクアペタイトに基づいた意思決定をよりタイムリーに行うためデータとツールを利用してを集計し、経営ラインを強化する必要があるというものでありました。

これを戦術的に変えるため、Highmark Healthは、リスクアペタイトスコアリングおよびガイドラインを明示的にビジネスケースおよびプロジェクト計画テンプレートに取り入れ始めました。リスクアペタイトスコアと意思決定フレームワークは、特定の重要性閾値を超過したプロジェクトと投資の一部に常に含まれてきましたが、その技法を幅広く応用することで、事業体および事業部門のリスクアペタイトは幅広い活動に大規模に組み込まれました。そのスコアは、プロジェクトの投資判断および段階的に拡大するデータポイントにおける要素として活用されており、事業体および事業部門のリスク許容度と対照して自動的に集計され、それに整合されています。

第2の柱：すべての組織レベルでリスクを定量化する
組織のすべてのレベル全体で一貫した連鎖リスクアペタイトは、リスクに整合性があり定量的に測定されていることを意味します。Highmark Healthの戦略的アセスメントに先駆け、主に第2ライン活動向けに連結された運用モデルが原因で、リスクはさまざまな方法論とフレームワークを使用して査定され、多種多様な方法で経営幹部に報告されました（例えば、緊急/高/中/低、赤/黄/緑、定量化、疑似定量化）。組織がその階層全体でリスクアペタイトを一貫して連鎖させるよう努めたため、定量化の標準を確立することが基本となりました。

調達契約活動を試験的に行い、ORSA報告から適応された意思決定分析と資本モデリング技法を活用することで、Highmark Healthは、その事業体のリスク分類内の全リスクカテゴリにわたり定量化技法の適用を開始しました。具体的には、リスクにさらされるレコード数、製品種別、リスクにさらされる収益、品質スコアの低下など、従来の財務測定に沿って測定可能なインプットを活用する確率分析により、リーダーはさまざまな潜在的成果に関して一貫した定量的予測が可能になりました。さらに、こうした活動は、（個人または全体としての）個別の権限の限度を超えるリスクを想定することには、上位レベルの承認が必然的に伴うように、リスク引き受け限度を組織の役割に割り当てることができるよう組織を位置付けました。事業体または事業部門のリスクアペタイトの境界線から出てリスクを取ることは制限され、上位者に報告されるようになりました。

第3の柱：リスクおよびコンプライアンス委員会を導入したリスク分類に整合する
リスクテイクの権限限度を適用することで、確立された許容範囲に基づいて、適切なレベルで適切な決定がくだされることが、ある程度保証されました。こうした境界線を引いても、Highmark Healthの伝統的な委員会構造は意思決定を引き延ばし、契約やリスク軽減活動の決定など、複数の相互依存成果のサイクルタイムを延長しました。事業体のリスク分類のガバナンスを担当する70以上の内部委員会を評価した後、 Highmark Healthは、最終的に8つの委員会がリスク分類を監督し、従来の委員会構成を変更または吸収する未来を目指して、組織の監督構造を再定義し簡素化するため複数年にわたるプログラムに着手しました。

8つの委員会（例えば、コンプライアンスと法務、セキュリティとレジリエンス）は、それぞれ上級経営者が委員長を務め、分類内のさまざまな関連リスク要因の最終的な説明責任を負いました。委員会は、一貫した方針で運営され、幅広い上級経営者チームおよび役員に直接エスカレーションできる経路が設定されました。明確なガバナンス構造を確立することで、問題やリスクを幅広く周知させるためにエスカレーションが必要な領域や、一元化された承認が事業体プロセスによって求められる領域が明確になりました。さらに、リスクマネジメントとコンプライアンスのプロセスに関与する経営者の意志決定権も明確化されました。

第4の柱：3つのラインモデルとRiskOpsにより標準化する
幅広い組織のガバナンス実践手法のトランスフォーメーションに沿って、Highmark Healthがリスク、コンプライアンス、品質、その他の第2ライン活動をそのモデルに従って提供する仕組みは進化し始めました。Highmark Healthが次に目を向けたのは、IIAの「3つのライン」フレームワークとのより明確な整合性を確立することでした。組織で内部監査活動を再調査し、内部監査により契約または法律上で義務付けられていない第2ライン活動を、RiskOpsモデルで運用するチームへと移行しました。これにより、内部監査の柔軟性が高まり、その労働力に空きができたため、新たに出現したリスク領域と戦略的プロジェクトの保証にリソースを集約し直す機会がもたらされ、第2ラインプログラムの独立監査とモニタリングが提供されました。

最新のRiskOps運用構造

Highmark Healthが第2ライン活動を調査したところ、これまで、一部の活動は監査責任者によって提供されていましたが、大多数は事業部門間で連結され、「専門知識、サポート、モニタリングを提供し、リスクに関連する問題に挑戦する」場合がありました³。第2ライン活動の評価中、業務に関与するフレームワーク、ツール、リソースは独特でしたが、基本的に相違点よりも類似点の方が多いことが明らかにされました。政府のコンプライアンス機能、サードパーティのリスクマネジメント活動、認定評価、財務報告に対する内部統制のアセスメントなど、いずれの活動もすべてリスク特定から始まり、査定および判断へと進み、最終的に報告、処理、モニタリングされていました。今後も、技術領域の専門知識が求められることに変わりはないと考えられるが、プロセスと技術を標準化することで、実施される作業がより適切に定義され、、チーム間でより反復可能で一貫性を持たせることができます。これが、Highmark Healthの第2ライン提供に関するRiskOpsモデルの始まりでした。

リスク特定
第2ライン機能の評価において発見された標準化の初めての機会は、リスク特定でした。例えば、州法、産業要件または規制が提案または発出されたとします。テーマに関係なく、Highmark Healthは、ポリシー、プロセス、人員、技術、変更の意味の報告を理解して詳しく調査し、変化を導入して、同等の コンプライアンスおよびモニタリングプログラムを定義する必要がありました。事業または技術分野のリーダーに外部から強制された変更を1つの方法で管理するのではなく、例えば、一方はPayment Card Industry Data Security Standard (PCI DSS)の更新を管理し、別の方法で政府機関によって公布された申し立て処理要件を管理必要があります。例えば、 RiskOpsモデルは、法務部門および必要に応じて外部専門家からのインプットを交え、こうした変更の取り入れ、評価、普及を一元化しました。

リスクが特定された後、運用モデルの正規化の次の機会は、リスクアセスメントと意思決定に重点が置かれました。

変更は、一貫した方法で評価・報告され、伝達され、実装まで追跡され、現在進行中のプログラムを作成・運用する責任を負う運用モデル機能へ移行されました。同様に、サプライヤーとの新規契約、新たな施設、製品の変更、あるいは新しい技術資産などのリスク事象は、運用モデルの取り込み要素を介して標準化された（自動または手動）の方法で管理されます。次に、運用モデルの次の機能である、リスクアセスメントと意思決定へと引き継がれます。

リスクアセスメントと意思決定
リスクが特定された後、運用モデルの正規化の次の機会は、リスクアセスメントと意思決定に重点が置かれました。従来の連結型運用モデルでは、中断を最小限に抑え、部門間を調整するという一貫した誠実な取り組みが行われていましたが、ビジネスリーダーは、類似または重複する監査、リスク、コンプライアンス、品質アセスメントの要求にさらされていました。こうしたアセスメントは、最も忙しい時期に依頼されることがあり、サイロ化された第2ライン機能がそれぞれ異なる報告形式を持つため、リスクを計算するために調査結果はさまざまな定性的および定量的リスク計算手段を用いて、共有されました。第2の柱に関連する標準化に向け、リスク定量化を移行している途中、Highmark Healthでは、運用モデルにより第2ラインの経営者とのやり取りを効率化・簡素化する機会が見られました。

Highmark HealthのSRPは、組織の上級経営者にとって一本化された窓口として機能し、最高リスク責任者、最高監査責任者、最高コンプライアンス責任者に直属でした。

リスク特定機能から移行されたリスク事象であろうと、年間作業計画からスケジュールされたエンゲージメントまたは活動であろうと、アセスメントのターゲット（例えば、ビジネスプロセス、技術、製品、主体）では、しばしば要件が類似または重複していました。米国の州、連邦、業界のコンプライアンス要件を標準化する医療情報コンプライアンスフレームワーク⁴であるHITRUST Common Security Framework (CSF)などの利用可能なコンテンツからスタートし、Highmark Healthはコンテンツ範囲を拡大し、運用、品質、認定、ライセンス付与、顧客に関する要件（例えば、National Committee for Quality Assurance (NCQA)、Centers for Medicare and Medicaid Services (CMS)、Joint Commissionなどから発布される）を含む統合リスク・コンプライアンスフレームワークを構築しました。

こうしたフレームワークを、ビジネスプロセスや技術と整合させた共通の統制活動に統合することで、 Highmark Healthは、財務、技術、運用、セキュリティ、プライバシー、品質、コンプライアンスを考慮して多くの専門領域にわたるリスクアセスメントを実施する体制を確立しました。アセスメント目標は、すべての要素にまたがって評価され、複数の内部および外部の利害関係者に適宜報告されました。第2の柱である定量化方法論と組み合わせた多くの専門領域にわたるリスクアセスメントは、戦略的リスク意思決定の代替手段に直面する経営者に一貫性と明確さをもたらしました。

さらに、第2ライン活動およびアセスメントをRiskOps運用モデルに統合すると、本質的に大幅な運用効率の向上につながりました。

• 過去には、採用したサプライヤーの業務委託、回復力、品質、安全性、プライバシー、セキュリティリスクを評価するために、13種類のベンダーアセスメントが実施されていました。それらのアセスメントは統合・整合され、すべてのリスクおよびコンプライアンス関連項目に対処する1つの入れ子構造のアンケートになりました。
• アセスメントにより、53,000を超えるトランザクションが複数のリソースにより監査されていることが特定されました。統合保証チェックリスト、強化されたサンプリング技法、オートメーションを使用して特定の申し立て、登録または顧客サービストランザクションを特定することで、重複は排除され、リソースを解放してよりリスクと価値が高い活動に焦点を絞ることができるようになりました。

提供の効率化により、運用効率はさらに補完されました。リスクアセスメントプロセスを標準化し、アジャイル作業方式（スクラムの運用やスクラムばん（スクラムとかんばん方式の組み合わせ）の活用など）を採用することで、作業項目管理は日常業務に組み込まれるため、サイクルタイムが短縮されます。

リスク対応とモニタリング
リスクのアセスメントと定量化に基づき、調査結果と提案事項が作成され、利害関係者が使用しやすいように多くの専門領域にわたるレポートが標準化されました。最終的に特定された正規化の機会は、 RiskOps運用モデルのリスク対応とモニタリング要素でした。アンケートを取ったところ、100名を超える第2ライン活動に携わる従業員は、自分の仕事の何パーセントかを継続的なリスクモニタリングの支援に割り当てていました。従来の運用モデルはサイロ化されていたため、モニタリングされる許容度や閾値の多くは重複していたり、同期されておらず（例えば、コンプライアンスモニタリングは四半期ごとに行われる一方、別領域のモニタリングは毎週行われていた等）、行われる処理の適切性はチームによってバラバラでした。

RiskOps運用モデルでは、多くの専門領域にわたるリスク処理とモニタリングチームが、一元化されたモニタリングダッシュボードから超過した閾値、調査結果、許容度に基づいて一貫して測定、追跡、フォローアップを行います。モニタリングにより特定された新たなリスクは、経営者にエスカレーションされ、運用モデルのリスク受け入れ、アセスメント、意思決定機能に戻され、再評価されます。これにより、例えば、技術的脆弱性などの項目の文書化、エスカレーション、追跡が、コンプライアンス評価尺度または関連する財務ペナルティを含む評価尺度の文書化、エスカレーション、追跡と一致することを確保することで、機能領域全体で標準化と厳格化が本質的に促進されます。

戦略的リスクパートナーとの協働
運用モデル移行の最後の重要要素は、戦略的リスクパートナー(SRP)ロールの定義でした。リスク特定、アセスメント、意思決定、対応とモニタリングは、この時点で大部分が標準化・一元化されましたが、上級経営者はそれでも運用モデルにおける精選された体験を期待しました。Highmark HealthのSRPは、ビジネスセグメントのリスク責任者に類似した立場で活動し、組織の上級経営者にとって一本化された窓口として機能し、最高リスク責任者、最高監査責任者、最高コンプライアンス責任者の直属でした。SRPは、事業部門内のガバナンスおよび監督の 役割を兼任し、事業部門の部門長会議やビジネスレ ビューに参加した際に知った情報および戦略に基づ き、新しいインプットを常に提供しました。日々、上級経営者と対話することで、RiskOpsモデルに関連して行われた作業は、上級経営者およびBoDの最優先事項を反映していることが確実になりました。さらに、SRPは、RiskOpsチームによって提供されるブリーフィングと共有される多くの専門領域にわたるレポートから、有意義な対話に関与することができました。

結論

RiskOpsモデルの実践は組織の責任です。Highmark HealthがRiskOpsデリバリーモデルに切り替えたところ、特定の推進要素が移行には欠かせないことが特定されました。

• IIAの3つのラインモデルとの厳格な整合：第2ライン機能をRiskOpsモデルに集約すると、リスク、コンプライアンス、品質、認定、ライセンス付与、同様の活動の標準化につながり、内部監査は新たに出現するリスクに自由裁量時間を割り当てることができます。Highmark Healthは、RiskOpsデリバリーモデルでチームを統合した結果、内部で第三者保証レポートを提供するためにかかる時間を 65%短縮することに成功しました。その内部監査チームは、第2ラインによって想定される作業に固定されることがなくなり、任意のリスク、戦略的リスク、新たに出現するリスクに費やすエンゲージメント時間を50%以上も増やし、エンゲージメント時間の約90%を内部監査計画に割り当てることができるようになりました。
• 事業体のリスク分類との交差：Highmark Healthは、意図的に組織のガバナンス、デリバリー、オペレーションをリスク分類に関連付けることで、リスク許容度に影響を与える可能性がある幅広い要因にリスク上級経営者と役員会の注意を向けることに成功しました。
• 知識管理と人材管理：RiskOpsモデルへの移行中、学習マップおよび構造化されたトレーニングカリキュラムと組み合わせ、明確に文書化された手続は、多くの専門領域にわたるアセスメントに必要なチームのスキルセットと機能を伸ばすには欠かせませんでした。対象領域の専門家が、自分の役割において遂行するより多くの日常活動を覚えたところ、トレーニング資料、練習問題、作業プログラムの開発に焦点を絞ることができました。Highmark Healthの専門家ネットワークが拡張したことで、年間計画から利用可能な30%以上の時間を人材配置モデルを通じて別の場所で実施しました。

使いやすさが幅広い採用を後押 しする一方、幅広い導入はリスクマネジメントの成果の向上を促進した。

Highmark Healthでは、こうしたイネーブラーにより、組織の第2ライン機能からアウトプットへの関与と管理が大幅に簡素化、標準化、効率化されました。使いやすさが幅広い導入を後押しする一方、幅広い導入はリスク管理成果の向上を促進し、組織のリスクガバナンスおよび文化の発展の強固な基盤の形成に役立ちました。

後注

¹ The Institute of Internal Auditors (IIA), The IIA’s Three Lines Model, USA, July 2020, https://www.theiia.org/globalassets/site/about-us/advocacy/three-lines-model-updated.pdf
² Highmark Health, “Highmark Health Partners With Google Cloud to Raise Standard for Customer and Clinician Engagement in Health,” 17 December 2020, https://www.highmarkhealth.org/hmk/newsroom/pr/2020/2020-12-17-Living-Health.shtml
³ Op cit IIA
⁴ HITRUST Common Security Framework (CSF), “Understanding and Leveraging the CSF,” USA, May 2022, https://hitrustalliance.net/understanding-leveraging-csf/

CHUCK DONINA | CISA, CCSFP

Highmark Health（総合医療提供・資金調達組織）のリスク運用担当シニアバイスプレジデント。グローバルオペレーション、テクノロジー、サードパーティ、政府のリスクとコンプライアンスを監督しており、ビジネスレジリエンス、プライバシーオペレーション、オペレーション品質、今後の法律・規制・産業規格のアセスメントなどを担当しています。さらに、彼が率いるチームは、連邦および州の機関によって公表された規制から、第三者認証（System and Organization Controls (SOC) 1、SOC 2、Payment Card Industry、HITRUST、Cloud Security Alliance STARなど）、National Committee for Quality AssuranceやJoint Commissionからの認定をはじめ、政府、業界、顧客のさまざまなコンプライアンス要件の導入およびガバナンスを支援しています。

KATHLEEN S. HARTZEL | PH.D., CPIM, CSCP

デュケイン大学Palumbo-Donahue School of Business（米国ペンシルベニア州ピッツバーグ）准教授：情報システムおよび情報技術。彼女の講義および研究テーマには、システムの開発および使用時における態度と行動の管理、コンピューターを介したサポートが意思決定と態度に与える影響、情報システムが国際協調および競争に与える影響、情報セキュリティ教育が含まれます。