マネジャー
渡部 豊
本連載では、日本企業が「GRC(ガバナンス・リスク・コンプライアンス)」にどのように取り組むべきかについて、企業が直面するリスク事象への対応策を含めて全体像を説明している。
連載第4回から第6回までは、主に企業の「守り」を強化するための手段としてのGRCの有用性に焦点を当てて解説した。第4回(日本企業にとってのGRCはじめの一歩)では、経営層とリスクマネジメントの現場との認識の乖離(ミッシングリンク)が発生する現状と、脱却に向けた第一歩としてインシデント管理が有用である点に触れた。第5回(複雑化した社内規程を整理する)ではポリシー管理、第6回(形式的リスクマネジメントからの脱却)ではリスク管理を取り上げた。
インシデント管理、ポリシー管理、リスク管理はいずれもGRCを形作る重要な要素である。ただ、企業が目指すべきGRCは、これらを個々に遂行することではない。これらの一連の活動をjavascript:today(document.EditForm.PUBLISH_FROM)統合し、ガバナンスを強化することが本来の目的である。
一方で、各企業はこれまで、GRCの要素となるJ-SOX(内部統制報告制度)や情報セキュリティ、各種コンプライアンス(法令順守)などに対応するために、様々な活動を行ってきた。もちろんそれぞれの活動の背景には、各種法令や規制、ISOのような国際標準などの認証がある。GRCを推進することで、こうした既存の法規制対応などの活動との関係を、どのように整理していけばよいのだろうか、と懸念するのはもっともだと言える。
前置きが長くなったが、今回はこうした懸念を払拭するためには、それぞれの法規制対応などの活動と統合し、経営管理としてのGRCを実現するために企業が採るべきアプローチを紹介したい。
