メディア

基礎から学ぶGRCツール、何ができるの?

情報漏えい防止や法令順守、グループ企業の統治強化。ガバナンスやリスク、コンプライアンスなど取り組み課題を横断的に管理する「GRCツール」が注目される。知っておくべき基本とは。

» 2014年03月31日 10時00分 公開
[西山 毅レッドオウル]

 これまで個別に対応してきたガバナンスやリスク、コンプライアンスといった重要な取り組み課題に対して、これら3つの課題を横断的に捉えながら能動的に管理していこうという考え方が「GRC」と呼ばれるものだ。

 今回は、GRCツールの概要や機能、導入メリットについて解説しながら、製品選びの勘所についてもあわせて紹介していきたい。

GRCツールとは何か?

 GRC(Governance、Risk and Compliance)とは、これまで内部統制や情報セキュリティなどの活動から経営マネジメント層がバラバラに受け取ってきた自社のガバナンス、リスク、コンプライアンスに関する情報を統合的に管理するためのフレームワークのことだ。

 急激に変化する昨今のビジネス環境下では想定外の経営リスクが次々と顕在化し始め、さらに新たな法改正も行われているなかで、それに対応する企業側では効果的、効率的な情報管理が難しくなってきている。そこで米国中心に生まれたのがGRCの考え方で、最近では日本企業での認識も高まりつつある。

 GRCを実現するためのソフトウェアがGRCツールで、データベースで各種情報を適切に管理し、ワークフロー機能でモニタリングを行い、レポーティング機能によって見える化を図るという仕組みを提供する。

 現在では多くの企業でガバナンス、リスク、コンプライアンスに関する情報を各部門からメールや紙文書で収集し、Excelで加工/管理しているが、GRCツールを活用することでGRCに関する情報管理プロセスのベストプラクティスを社内に取り込み、企業内における報告、連絡、相談の効率化を図るだけでなく、会計の不正や情報漏えい、コンプライアンス違反といった経営リスクにもいち早く対応できるようになる。

GRCの活用による報告、連絡、相談の高度化 図1 GRCの活用による報告、連絡、相談の高度化(出典:デロイト トーマツ リスクサービス)

GRCツールの基本機能

 GRCツールがどんな機能を実装しているのか、実際に提供されている主なものを見ていこう。

インシデント管理機能

 自社にとって脅威となるインシデントやコンプライアンス違反を把握するための機能だ。顧客からのクレームあるいはサイバー攻撃などによって発生するインシデントを迅速に補足し、対応完了に至るまでのライフサイクル全体を一元的に管理する。

 具体的には、捉えたインシデントの重大性を評価して担当者を割り当て、対応状況を管理し、さらに調査レポートを作成して経営マネジメント層にエスカレーションするなどの業務フローを支援する。

ポリシー管理機能

 対応すべき法令や業界のガイドライン、社内規定といったポリシーを一元的に管理するための機能だ。必要なポリシーに漏れなく対応するという観点からは、GRCの芯ともいうべき機能となる。

 これによって対応すべきポリシーの一覧を作成し、それぞれがどのように制御されているのかを把握することで、自社のコンプライアンス順守を証明することが可能となる。またポリシーの社内伝達や従業員の理解度を評価する機能を提供する製品もある。

リスク管理機能

 経営リスクを識別して一元的に管理し、その影響を評価して許容もしくは改善するかを判定し、リスクへの対応完了までをトータルに管理するための機能だ。これによって自社の目標達成に支障を来すような各種リスクを迅速に発見し、速やかに対応することが可能となる。

リスク管理画面例<その1>リスク管理画面例<その2> 図2 リスク管理画面例<その1>、リスク管理画面例<その2>(出典:EMCジャパン)

ベンダー管理機能

ベンダー管理画面例 図3 ベンダー管理画面例(出典:EMCジャパン)

 特にグローバル展開を推し進める企業では、外部協力会社への依存度も高い。そこではベンダーの信頼性が自社の信用度にも直結することになる。

 GRCツールでは、外部委託先であるベンダーのリスクを管理するための機能も提供している。ベンダーに関する情報を一元的に管理し、継続的な取引が可能なベンダーかどうかを評価することで、自社が対応すべきポリシーへの順守を確保できるようになる。

 次に、ガバナンス、リスク、コンプライアンスに関する情報を統合的に管理できるGRCツールを導入することでのメリットについて見ていきたい。

社内リスクの識別/評価

 冒頭でも触れたように、GRCは米国で生まれた考え方だ。日本企業では現状メールとExcelで対応し、リスクマネジメントやコンプライアンスを実現するための仕組みが成熟していないところがまだ多い。

 GRCツールを導入してガバナンス、リスク、コンプライアンスに関する情報を一元的に管理し体系化を図ることで、社内リスクを俯瞰で捉え正しく評価できるようになる。一元管理された情報はGRCツールのワークフロー機能によって各担当者や経営マネジメント層に迅速に共有化され、ダッシュボードなどのユーザーインタフェースにより直感的なビジュアルでユーザーに提供されることになる。

コンプライアンス対応状況の管理と可視化

 また、社内リスクの識別や評価に加え、GRCツールを導入することによって自社が順守すべきポリシーを一元的に管理し、レポートなどによって対応状況の可視化を図ることで、コンプライアンスに漏れがないかを一目で把握することが可能になる。内部統制の強化を実現するという観点から、大きなメリットとなるものだ。

「守りの経営」の実現

 企業では、売上高や利益率といった経営指標の管理は以前から行っていた。いわば「攻めの経営」のための情報管理で、現在自社がどれだけもうかっているか、またこの先どんな分野に注力していくべきかを判断するための取り組みだ。

 しかし目まぐるしく変化する現在のビジネス環境下においては、これまで予想だにしなかった新たなリスクが次々と現れてくる。そこで継続的な成長を描くためには、直面するリスクを網羅的に把握、評価し、対応していく必要がある。いわば「守りの経営」で、ここをおろそかにしていてはいつ足をすくわれるとも限らない。GRCツールは、攻めの経営と表裏一体となる守りの経営の実現を支援してくれるものだといえる。

誰が、どの情報を見て、どうアクションするのかを明確にしておく

 冒頭でも少し触れたように、GRCツールはデータベースで各種情報を管理し、ワークフロー機能でモニタリングを行い、レポーティング機能によって見える化を図るという仕組みとしては非常にシンプルなものだ。よってツールの導入自体もそれほど難しいものではない。

 そのためGRC導入の成否を握るのは、どんな情報を収集し、それを誰が見て、どう判断し、具体的にどのようなアクションを取るのかを事前に明確にしておくことだ。まずはどこまでの情報を取得するか、またその情報を誰がどう活用するのかを明確にすることが最初のポイントになる。その上で、自社の仕組みとして最適なものを選ぶ必要がある。

社内体制を整備しつつ、ITの導入を検討する

 GRCの実現に成功した企業では、マネジメントプロセスの整備や人材の育成と並行して、GRCツールの導入を検討したケースが多いという。

 通常はまず仕組みを構築して、その後にITツールを導入するという流れが一般的だが、それには時間と手間がかかることになる。そこで社内体制の整備を行いつつ、IT活用の効果も検討し、具体的な導入計画を立てて、実際にツールを触りつつフィット&ギャップをしながらツールの導入を進めていくことが有効となる。

 いわばアジャイル開発のような手法を取ることで、導入を検討しているツールが具体的にどんな機能を提供し、どんな使い勝手なのかを実地に体感することが可能となり、実際の運用フローに即したGRCツールを導入することができる。

社内体制の整備に合わせて、ITの導入を検討することが重要 図4 社内体制の整備に合わせて、ITの導入を検討することが重要(出典:デロイト トーマツ リスクサービス)

グローバル化の対応状況をチェックする

 現在、GRCに関心を示している日本企業としては、やはりグローバルに事業を展開しているエンタープライズ企業が中心で、そこでは自社が進出している相手国の言語に対応しているかどうかが重要となる。GRCツールの機能面としては、まず多言語対応がどこまでできているかが大きなチェックポイントになる。

対応すべき法令データベースなどの豊富さをチェックする

 企業には活動している領域に応じて、対応すべき法令や規定がある。例えばカード業界にはセキュリティ基準としてPCI DSS(Payment Card Industry Data Security Standard)があり、また企業のIT部門には情報セキュリティを守るために、ISMS(Information Security Management System)などへの取り組みが求められることになる。

 そこでGRCツールでは、こうした法令や規定のデータベースを標準で用意している。ただし自社が必要としているデータベースがあるかどうかは十分に精査すべきだ。

各種データベースを活用して、統合的なアセスメントを実現する 図5 各種データベースを活用して、統合的なアセスメントを実現する(出典:デロイト トーマツ リスクサービス)

ベンダーの経営基盤、導入実績、サポート体制をチェックする

 現行のGRCツールベンダーには有名な大手IT企業が名前を連ねているが、中堅中小規模のベンダーは潰れたり、あるいは吸収合併されたりするケースも少なくない。GRCツールを継続的に活用していくためには、提供ベンダーの経営基盤や開発保守体制にも十分に注意を払っておく必要がある。

 また、実際の運用面における信用度を見るためには、日本国内での導入実績や製品をサポートしているSIerの顔ぶれ、さらには製品専用のエンジニアがどれぐらいいるのかといったサポート体制までを含めて、十分にチェックしておく必要がある。

最初から広範囲な導入スコープを設定すると、プロジェクトの難易度を高めることに

 ERPと同様に、GRCの導入は全社的なプロジェクトになる。そのためいきなりGRCツールの全機能を導入しようとすればプロジェクトのリスクは高まり、導入コストは膨大に、導入期間も長引くことになる。

 そこでポイントとなるのが、全体的な導入に向けたグランドデザインを描いたうえでの段階的な導入だ。まずはポリシー管理から、あるいはリスク管理から、インシデント管理からというように、今後の事業戦略やそれに伴うりすくやコンプライアンスを明確化したうえで自社の喫緊の課題を優先させることでプロジェクトのリスクを緩和することができる。

 参考までに一般的なモデルケースでは、最初の導入計画の策定に3カ月、GRCツールの導入に約3カ月(1機能当たり)だという。ただし実際に運用が回り始めるまでに多くの時間が必要となるのが、社内への定着のための教育や研修で、これに9カ月間を費やした企業もあるという。

 このように、導入後の定着を考える上でも、全社的なGRC導入への理解を深めるグランドデザインづくりが重要となってくる。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。