GRC（ガバナンス・リスク・コンプライアンス）管理システム

GRC（ガバナンス・リスク・コンプライアンス）
管理システムとは？

日本企業の海外進出状況は年々増加傾向にあります。日本市場が成熟したことで海外に新しい市場を求めるという背景があると同時に、ICTの発展によって業種や事業規模を問わず海外進出が容易になったというのが、昨今の盛んなグローバル化に拍車をかけています。

企業が海外に進出したり、あるいは新規ビジネスを創出するにあたって欠かせないことがGRC（ガバナンス・リスク・コンプライアンス）の視点です。これらの要素を基準以上の状態で管理することが、海外進出や新規ビジネス成功の一要因となります。

では、ここでいう「ガバナンス」「リスク」「コンプライアンス」はそれぞれ何を意味するのでしょうか？

• ガバナンス(Governance)

組織としての目標を適切に作成しそれを達成するための仕組み

• リスク(Risk)

目標達成に悪影響を与える要因(リスク)を把握し管理するための仕組み

• コンプライアンス(Compliance)

法規制や社内規定に準拠するための仕組み

いずれの要素もビジネスにおいてよく耳にする言葉です。特に「ガバナンス」と「コンプライアンス」は事業目標を達成したり、企業としての信頼を維持したり、不正が発生しないために欠かせない要素でしょう。「リスク」のマネジメントはすべての企業にとって、経営存続のために必要な共通事項です。

ちなみに「仕組み」とは実行するためのプロセスやそれを実行する組織、プロセスを通じてインプット・アウトプットされる情報、およびプロセスを支える文化やインフラを指します。

ビジネスに欠かせないGRCですが、最近では管理の複雑化によって適切な管理ができていなかったり、効率良い仕組みが構築できていない企業が多いようです。そこでGRCの成功を支援するのがGRC管理システムです。

具体的にはGRC活動を適切に管理するために関連する情報を格納および活用するためのデータベースがあり、各プロセスを実行するためのワークフロー機能や組織やチームの情報共有力を高めるコミュニケーション機能などが備わってます。

ITツールを活用したGRC活動に関わるすべての情報を可視化し、プロセスを一元的に管理してGRCの精度向上を目指すというものです。

背景／目的

昨今GRCツールに注目が集まっている背景には、次の3つの理由があると考えられます。

1. 経営統合、買収の活発化や委託先企業の増加によるガバナンス強化

日本のM＆A(買収と統合)市場は年々増加傾向にあり、国内企業同士や海外企業とのM&Aが盛んに行われています。さらにシステム開発などの領域では外部リソースの活用をいかに活用するかに焦点が集まっています。そこでガバナンスをどのように強化して、企業やグループ全体としての目標を達成していくかが重視されています。

2. 海外進出の活発化に伴い増加および多様化するリスクへの対応

日本国内だけでビジネスを展開するのと違い、海外進出では多種多様な人種、言語、文化、制度をまたいでのビジネスになります。そのためこれまでは無かったリスクが顕在化することになり、これを適切に把握および管理することで、重大なリスクを回避したり細かいリスク発生への対応が求められます。

3. 年々厳しさをます法規制や社会的要請への適切な対応

日本および海外の法規制は年々厳しくなっています。2018年6月には「働き方改革を推進するための関係法律の整備に関する法律案(働き方改革関連法案)」が可決・成立されたように、様々な法案が成立し企業はその都度対応を変えなければなりません。コンプライアンスの維持は組織の存続にかかわる重大な問題でり、適切な対応が強く求められています。

この他にも様々な理由が考えられますが、これら3つの理由がGRCについて認識する上で欠かせないポイントでしょう。

課題

日本企業のGRCへの取り組みは海外に比べて10年ほど遅れを取っていると言われています。そもそもGRCというキーワードを耳にするようになったのが、2007年にJ-SOX法準拠などを起点としてリスクマネジメントやセキュリティ関連の製品が登場し始めてからです。欧米ではSOX法準拠が完了してから、すぐにGRCの大きな市場が生まれています。

当然、日本にもその波がやってくるとは予測されていましたが、リーマンショックやその後東日本大震災が起きたことにより、日本の情勢や景気が安定しない状況の中でGRCへの投資に積極的な企業は非常に少ない状態が続きましたが、最近になってようやくGRCの重要性が認知されるようになったのです。

このような背景で海外に比べてGRCへの対応が遅く、今になってその課題が重くのしかかっています。そのため「ガバナンス」「リスク」「コンプライアンス」へ対応するITシステムが分断化し、そこから派生して様々な管理問題が発生しています。

機能

そうした日本企業の課題を解決するのがGRC管理システムです。では具体的にどういった機能を備えているのでしょうか？注目すべきは次の5つの機能です。

1. リスク管理

グループ会社を含め主要な組織や部門に「リスク調査票」を記入してもらい、これを集計してヒートマップやリスクマップなど、様々な方式でデータをダッシュボードに表示し、全社的なリスクを管理します。

2. 内部統制、J-SOX

内部統制、J-SOXの対象となるプロセスや組織のおけるリスクとコントロールを定義して、テストを通じてコントロールが適切なものか、リスクが低減されているかなどを評価します。

3. 内部監査

個別監査計画、監査調査書作成、証跡管理、指摘作成、報告書作成、フォローアップなど主要業務に加えて全体スケジュール管理、要因管理、品質管理など内部監査業務を全体的にカバーします。

4. 事故報告、内部通報

発生してミスやコンプライアンス違反など、反省部門や発見部門が入力します。入力された内容はワークフローを通じて関係者に即座に共有・展開されます。

5. 個別の重要リスク領域

業務プロセスの変更や問題があった場合に影響が及ぶ範囲を明確にし、アプリケーションやデバイスの脆弱性管理や法令規制の変更管理なども行う。

選び方のポイント

GRCツールを選択する上で欠かせないポイントは、現時点での「ガバナンス」「リスク」「コンプライアンス」状況を把握することです。前述したような基本的な機能はありますが、さらに製品ごとに特徴が違います。

たとえば最近流行のRPA(ロボティック・プロセス・オートメーション)など、定型業務を自動化することで人の介在を排除してリスクを管理することを得意とした製品や、GRC活動のプロセスを最適化して組織や人材を管理することを得意とする製品など様々です。

そのため、現状の「ガバナンス」「リスク」「コンプライアンス」を正確に把握することで、自社にとって必要なGRCツールとは何かを定義することがまず大切です。その上で必要な機能を見極めて、適切な製品を選択しましょう。

GRCは業務システム全体に関わることなため、それを統合管理できるERPは重要な選択肢です。すべての業務関わるのがGRCであるという視点で選択をすることが重要です。

まとめ

日本企業の海外進出や買収、合併などが活発化するなかで、GRCツールの重要性はそれに比例して増加していきます。皆さんの企業でもGRCツールに着目し、適切な管理を目指しましょう。