GRC、およびGRCツールとは

　多角化・グローバル化がますます進む昨今において、GRC（ガバナンス・リスク・コンプライアンス）をいかに効率よく管理するかは、重要な経営課題となっている。

　ここで言うGRC、「ガバナンス・リスク・コンプライアンス」とは、それぞれ何を意味するのであろうか。十分に権威づけられた定義はないのだが、おおよそ以下のように理解して差し支えないだろう。


　なお、ここでの「仕組み」とは、プロセスとそれを実行する組織、プロセスのインプット・アウトプットとしての情報、報告、プロセスを支えるインフラと文化を意図している。

　そして、近年複雑さを増すGRCへの対応を支えるのが「GRCツール」だ。具体的には、GRC活動に関する一連の情報を格納・活用するデータベースであり、各GRCプロセスを支えるワークフローやグループウエアなどの機能を持つソフトウエア/パッケージ製品である。ITを活用して一元的に情報やプロセスを管理し、管理の効率化とデータの見える化と活用による精度の向上を支援する。

GRCが注目される背景

　ある調査会社によると、今後5年程度のGRCツールを取り巻く市場は、年15％程度の成長を続けるというデータもある。企業の関心は年々高まっているということだ。この背景には、どのようなビジネス環境の変化があるのだろうか？

　まず、「グループ会社や委託先等の増加に伴うガバナンスの強化」が考えられる。市場がグローバル化する中で、経営統合や買収が活発化している。一方、高度化するシステム開発などの領域では、外部委託をうまく利用することが重要だ。これらのガバナンスをどう強化するか、という課題が背景の1つになっていると考えられる。

　また、「グローバル化に伴い多様化・増加するリスクへの対応」も一因だ。多種多様な人種・言語・文化・慣習・制度にまたがることで、さまざまなリスクが顕在化してくる。

　「年々厳しさを増す法規制や社会的要請への対応」も、GRCに注目が集まる背景にあるだろう。昔の法的センスのままで事業を行うことは、非常に大きなリスクとなる。また前述のグローバル化とも密接に関わっており、その国特有の法規制なども理解して経営活動をしていかなければならない。

　近年のビジネス環境の変化のスピードは圧倒的だ。「新たな技術やトレンドへの対応」は必須と言えるが、これらに対応することは、同時にGRCが目まぐるしく変わっていくことも意味する。

　このほかにもさまざまな背景が考えられるが、GRC活動を全社横断的かつ能動的に行うことが、企業価値の持続的な成長につながることが広く認知されたと言えるだろう。

GRC活動の具体的なプロセス

　ここからは具体的なGRC活動・プロセスを解説しよう。

　まずは「ガバナンスプロセス」として、経営理念、ミッション、ビジョン、バリューなどの「普遍的もしくは長期的な方針・目標」を制定する。そしてそれを実現するための戦略、ビジネスモデル、戦略目標、リソース設計、リスクアペタイト（取るリスクと取らないリスク）の明確化、主要プロセス・機能、組織やシステム体系および文化の設計、その他重要事項に関する意思決定とモニタリングを行う。外部環境や内部環境の継続的な把握はモニタリングに含まれ、重要なKPIもガバナンスプロセスで検討される。

　そして「リスク管理プロセス」として、これら「重要な意思決定」を具体的な業務レベルのプロセス、組織、システムなどの実務に落とし込む際に、目標達成の変動要因となる「リスク」を適切に管理できるように詳細プロセスや組織の役割分担、システムなどを設計し、状況を継続的にモニタリングする。

　「コンプライアンスプロセス」として、法規制や社会規範、経営理念等を基にして社内規程・要領などを制定し、それらを継続的に遵守する。

日本企業の主要なGRCツール活用領域・機能は5つ

　このようなGRC活動の考え方自体には日本企業と海外グローバル企業に大きな差はないが、GRC活動を支えるGRCツールの使い方は異なる。ではまず、GRCツールが日本企業ではどのように活用されているのであろうか？　主要な活用領域・機能は次の5つだ。


　日本企業では、各主管部門が主導して自業務に関する機能を個別に導入している。

（1） 全社的リスク管理

　たとえば、「全社的リスク管理」としては、子会社を含む主要な組織・部門に「リスク調査票」を記載してもらい、それを集計して所謂リスクマップやヒートマップなどのさまざまなレポート・ダッシュボードを作成している。GRCツールはおおむねWebベースなのでグローバルで情報を集めやすく、データが正規化されるのでリスクマップなどの作成に限らず幅広く情報を活用できる。

（2） 内部統制・J-SOX

　「内部統制・J-SOX」としては、対象となるプロセス・組織におけるリスクとコントロールを定義し、整備・運用状況のテストを通じてコントロールが適切か、リスクが十分低減されているかを検証している。評価結果を俯瞰できるレポート・ダッシュボード、証跡の格納、不備のフォローアップに対応している。また、前回評価時から変更があったプロセス・コントロールを抽出するなど各社のニーズにあった工夫をしている。

（3） 内部監査

　「内部監査」としては、リスクアセスメントから、個別の監査計画、監査調書作成、証跡管理、指摘の作成、報告書の作成、指摘のフォローアップという主要業務に加え、全体スケジュール管理、要員管理（スケジュール、スキルなど）、品質管理、オフサイトモニタリング、監査委員会向け報告作成などほぼすべての内部監査業務をカバーしている。GRCツールはカスタマイズが可能なので、各社はニーズに合わせてレポートやダッシュボードなどのカスタマイズをしている。

（4） 事故報告・内部通報

　「事故報告・内部通報」としては、発生してしまった事務ミス、各種コンプライアンス違反などを発生部門・発見部門などが入力する。入力内容は即時にワークフロー機能を通じて関係者に共有・展開される。管理部門は内容を即時に確認し、報告を含めた各種対応をシステム上で指示する。随時情報が更新され事案のクローズが迅速に行える。個別の事故管理・報告だけではなく、事案横断的に、発生場所・プロセス、関連組織、事案の内容などを分析し、各種レポート・ダッシュボードを作成している。顕在化したこれらのインシデントの他に苦情情報やネット上の情報も取り込んで管理・分析する場合もある。

（5） 個別の重要リスク管理

　「個別の重要リスク管理」については、一例を上げると、最近流行りのRPA（ロボティクスプロセスオートメーション）管理である。RPAは各部門が独自に導入し、IT部門が把握していない場合がある。RPAは、ロボが外部のWebサイトや会社の基幹システムなどから情報を収集し、定型的な処理・加工を実行して、次のプロセスに情報を渡す一連の処理だが、情報取得先に何らかの変更があると処理が止まったり間違った情報を作成したりしてしまう。IT部門が基幹システムなどに変更を加える場合、どのような影響が発生するかIT部門自身も把握できなくなっている。そこでGRCツールを使ってプロセス・システム・ロボなどをあらかじめ紐づけておき、変更や問題がある場合に、影響が及ぶ範囲を容易に把握している。アプリケーションやデバイスの脆弱性管理や法令規制の変更管理も同様の活用・管理手法である。

　日本企業では、各社工夫を凝らしているが、GRCツールに関してはやや個別最適の感がある。

　ここまでは主にGRC活動の概念と日本企業のGRCツールの活用方法に触れてきたが、次ページでは海外グローバル企業の活用方法に触れたい。

【次ページ】活用例の違いに見る、日本と海外、なぜ差が生まれるのか