メディア
特集
» 2014年03月31日 10時00分 公開

基礎から学ぶGRCツール、何ができるの?IT導入完全ガイド(3/3 ページ)

[西山 毅,レッドオウル]
前のページへ 1|2|3       

誰が、どの情報を見て、どうアクションするのかを明確にしておく

 冒頭でも少し触れたように、GRCツールはデータベースで各種情報を管理し、ワークフロー機能でモニタリングを行い、レポーティング機能によって見える化を図るという仕組みとしては非常にシンプルなものだ。よってツールの導入自体もそれほど難しいものではない。

 そのためGRC導入の成否を握るのは、どんな情報を収集し、それを誰が見て、どう判断し、具体的にどのようなアクションを取るのかを事前に明確にしておくことだ。まずはどこまでの情報を取得するか、またその情報を誰がどう活用するのかを明確にすることが最初のポイントになる。その上で、自社の仕組みとして最適なものを選ぶ必要がある。

社内体制を整備しつつ、ITの導入を検討する

 GRCの実現に成功した企業では、マネジメントプロセスの整備や人材の育成と並行して、GRCツールの導入を検討したケースが多いという。

 通常はまず仕組みを構築して、その後にITツールを導入するという流れが一般的だが、それには時間と手間がかかることになる。そこで社内体制の整備を行いつつ、IT活用の効果も検討し、具体的な導入計画を立てて、実際にツールを触りつつフィット&ギャップをしながらツールの導入を進めていくことが有効となる。

 いわばアジャイル開発のような手法を取ることで、導入を検討しているツールが具体的にどんな機能を提供し、どんな使い勝手なのかを実地に体感することが可能となり、実際の運用フローに即したGRCツールを導入することができる。

社内体制の整備に合わせて、ITの導入を検討することが重要 図4 社内体制の整備に合わせて、ITの導入を検討することが重要(出典:デロイト トーマツ リスクサービス)

グローバル化の対応状況をチェックする

 現在、GRCに関心を示している日本企業としては、やはりグローバルに事業を展開しているエンタープライズ企業が中心で、そこでは自社が進出している相手国の言語に対応しているかどうかが重要となる。GRCツールの機能面としては、まず多言語対応がどこまでできているかが大きなチェックポイントになる。

対応すべき法令データベースなどの豊富さをチェックする

 企業には活動している領域に応じて、対応すべき法令や規定がある。例えばカード業界にはセキュリティ基準としてPCI DSS(Payment Card Industry Data Security Standard)があり、また企業のIT部門には情報セキュリティを守るために、ISMS(Information Security Management System)などへの取り組みが求められることになる。

 そこでGRCツールでは、こうした法令や規定のデータベースを標準で用意している。ただし自社が必要としているデータベースがあるかどうかは十分に精査すべきだ。

各種データベースを活用して、統合的なアセスメントを実現する 図5 各種データベースを活用して、統合的なアセスメントを実現する(出典:デロイト トーマツ リスクサービス)

ベンダーの経営基盤、導入実績、サポート体制をチェックする

 現行のGRCツールベンダーには有名な大手IT企業が名前を連ねているが、中堅中小規模のベンダーは潰れたり、あるいは吸収合併されたりするケースも少なくない。GRCツールを継続的に活用していくためには、提供ベンダーの経営基盤や開発保守体制にも十分に注意を払っておく必要がある。

 また、実際の運用面における信用度を見るためには、日本国内での導入実績や製品をサポートしているSIerの顔ぶれ、さらには製品専用のエンジニアがどれぐらいいるのかといったサポート体制までを含めて、十分にチェックしておく必要がある。

最初から広範囲な導入スコープを設定すると、プロジェクトの難易度を高めることに

 ERPと同様に、GRCの導入は全社的なプロジェクトになる。そのためいきなりGRCツールの全機能を導入しようとすればプロジェクトのリスクは高まり、導入コストは膨大に、導入期間も長引くことになる。

 そこでポイントとなるのが、全体的な導入に向けたグランドデザインを描いたうえでの段階的な導入だ。まずはポリシー管理から、あるいはリスク管理から、インシデント管理からというように、今後の事業戦略やそれに伴うりすくやコンプライアンスを明確化したうえで自社の喫緊の課題を優先させることでプロジェクトのリスクを緩和することができる。

 参考までに一般的なモデルケースでは、最初の導入計画の策定に3カ月、GRCツールの導入に約3カ月(1機能当たり)だという。ただし実際に運用が回り始めるまでに多くの時間が必要となるのが、社内への定着のための教育や研修で、これに9カ月間を費やした企業もあるという。

 このように、導入後の定着を考える上でも、全社的なGRC導入への理解を深めるグランドデザインづくりが重要となってくる。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。