「GRCは、経営者と現場の間の溝を埋め、関係者の努力が報われるようにする重要な取り組みだ」。有限責任監査法人トーマツ/デロイト トーマツリスクサービスのパートナー、丸山満彦氏はこう語る。
丸山氏は2012年10月10日~12日に開催されている「ITpro EXPO 2012」のキーテーマ・セッションで、「企業ITの次なるキーワード、『GRC』の全貌」と題して講演。GRCの概要と、GRCを支援するソフトウエアを導入する際のポイントを語った。丸山氏は情報セキュリティ分野の専門家。2012年3月末まで内閣官房情報セキュリティセンターの情報セキュリティ指導官も務めた。
GRCとは企業のガバナンス(Governance)、リスク(Risk)、コンプライアンス(Compliance)をまとめて語る際の呼称。丸山氏が提示した資料によれば、GRCとは「ガバナンス、内部統制、リスク管理、法規制対応の業務や情報を統合することで、企業のリスク対応能力を向上させる考え方、フレームワーク」である。
これまで企業はガバナンスの実施、リスク対策、コンプライアンス対応に個別に取り組むことが多かった。だが、「包括的かつ統合的に取り組むことにより、抜け、漏れ、ダブりを減らし、より効果的なリスク管理体制を構築する」(丸山氏)というのが、GRCの主眼である。企業活動のグローバル化に伴い、GRCに取り組もうとする企業が増えつつあるという。
具体的な取り組みとしては、現場における業務の状況がきちんと情報として収集・管理されており、かつ必要な情報が経営層に報告されるという体制を作る。「現状、多くの企業では、経営層と現場の間が分断されている。このミッシング・リンクを埋めるのがGRCの取り組みだ」(丸山氏)。
こうした体制を作るには、人材、プロセス、ITの3つが必要だという。リスクマネジメントがわかる人材が中心となり、GRCを実現する社内プロセスを構築する。例えば、現場ではどんな情報をモニタリングするべきか、どんな情報を経営者に報告すべきか、経営者から現場に指示を出す際のルートはどうすべきか、といったことを定義する。「プロセスの定義、そして全社におけるプロセスの共通化がGRCには欠かせない」(丸山氏)。
ITはプロセスの実行とプロセスに従った情報の流通・管理のために使う。GRCソフトと呼ばれる製品が市場に出ており、米IBMの「OpenPages」(関連記事)や米EMCの「RSA Archer eGRC Suite」(関連記事)などが、この分野の主要製品として市場で認知されている。
GRCソフトは、企業のリスク管理に必要な情報を収集・管理する。あらかじめ定義されたプロセスに従って業務が滞りなく行われているかをモニタリング。リスクが高いと見られる状況が発生した場合には、経営者用のダッシュボード画面に警告表示する。
GRC導入と定着を成功させるには、IT部門やリスクマネジメントを統括する部署がリードするのと同時に、経営者の強い関与が欠かせない。丸山氏は「GRCソフトは最終的には経営者が使うツール。あらゆる経営ソリューションに共通することだが、経営者がGRCに主体的に関わることが大切だ」と語る。
もちろん、日本企業がこれまでGRCに類するテーマに無関心だったわけではない。むしろ、「企業では内部統制や法規制対応に対して、現場も経営者も懸命に取り組んできた」(丸山氏)。
しかし、現場と経営者の間の情報流通がうまくいかないがために、無駄な業務が折り重なったり、不具合が起きたりすることが多かったという。丸山氏は「GRCに取り組めば、これまで積み重ねてきた現場と経営者の努力が報われることにもなる」とGRCに取り組むメリットを強調した。
