[GRCの基本とツール活用の奨め]

2016年6月21日(火)榎本 司（NANAROQ　執行役員兼COO） 森本 親治（NANAROQ GRCエグゼクティブディレクター）

リスト

　前回、リスク管理を統合的に行うGRC（Governance、Risk Management、Compliance）の必要性と意義を説明しました。少しだけ復習すると、GRCは企業が永続的に成功し続けるために、より効果的に組織を運営し、効果的な情報の共有を可能にし、より効果的な報告行為を実践し、あるいは無駄な重複を排除するための処方箋です。ですから“管理のための管理”や“明確な意味や目的のない報告”などとは異なります。

　このようなGRCは経営者が事業遂行に伴うリスク全体を統合管理することから、現在は「eGRC：enterprise GRC」と呼ばれます。一方でGRCには企業情報システムのためのアプローチもあり、これはIT GRCと呼ばれています。ことさらIT GRCがある理由は何でしょうか？企業経営や事業に占める情報システムの役割が年々大きくなり、同時にそのリスクも拡大しているというのが、その答です。

　例えば業務継続リスクやセキュリティリスクを考えましょう。人や建物に関わることも重要ですが、これらは目に見えやすいこともあって、ある程度のリスク管理は以前から行われてきています。となれば情報システムが、マネージするべき大きなリスク要因であることは明らかでしょう。特に金融業や通信業、運輸やエネルギー業においては、情報システムは重要で経営に及ぼす影響も大きなものがあります。こうした業種ではeGRCの相当部分をIT GRCが占めるという側面もあります。

　もちろん製造業やサービス業でも、そうした傾向が強まっています。ITの経営に及ぼす影響が大きくなり、ITに起因するリスクが他のリスクと相互に連鎖したりもします。企業にとってITは経営や事業の道具であり、武器でもありますが、同時にリスクでもあるわけです。情報システム部門から見れば、主管する情報システムを効果的に構築・運営するための処方箋がIT GRCということになります。

図1：eGRCとIT GRC
拡大画像表示

　ではGRCを実践するに当たってのポイントは何でしょうか？結論を先に言えば、（1）リスクや管理項目の洗い出し、（2）ツールの選定と導入・適用という2ステップが重要です。

ステップ１：リスク分類（洗い出し）の考え方

　GRCへの取り組みにおいて重要なのはリスクの分類（洗い出し）です。情報システムに関連するリスクは様々な分類が可能ですが、一般にソリューションとしての管理手法面の類似性、共通性で分類するのが実践的とされます。つまりシステム部門内の各担当間や委託先や他部門との連携、情報共有のほか、リスクの発生態様に応じた管理施策の関連性から洗い出しを行います。具体的には下記のような分類です。

1．ポリシー管理

　国内外の様々な外部規制や企業集団の中で数多くの所管部署が定める方針、規程、規則、マニュアルの体系を整理し、組織や業務の観点から統合管理するために関連付ける。

2．リスク管理

　リスクの認識や低減、移転などの対応、残存リスクの評価をポリシーに則って体系的に行い、リスクや対応施策を相互に関連付ける。