[GRCの基本とツール活用の奨め]

2016年6月21日(火)榎本 司（NANAROQ　執行役員兼COO） 森本 親治（NANAROQ GRCエグゼクティブディレクター）

3．コンプライアンス管理

　リスクに対する対応方法が所定の基準で継続的に運用されているかを内部監査の指摘事項やSOXテスト結果、外部当局検査結果などに基づきモニタリングし、PDCAサイクルとして完結させる。

4．インシデント管理

　障害、クレーム、例外申請などリスクの予兆情報を体系的に収集し、リスク認識の網羅性や適時性を高めてリスクの顕在化を予防する。

5．資産管理

　個々の組織やハードウェア、ソフトウェア資産と関連付けて、知財権や資産保全などに関わるリスクを統合管理する。

6．ベンダー管理

　品質、納期、規制対応、業務継続などのリスクを、外部委託先を軸に統合管理する。

7．ビジネス継続計画（BCP）管理

　有事対応の観点から、資産リスク、ベンダーリスク、ITリスク、業務リスクなどを統合管理する。

　上記項目は第3回で説明しますので、ここでは詳細に触れませんが、読者からすれば「当然やっていること」が大半ではないでしょうか？実はその通りで、IT GRCといっても何ら特殊なことではありません。繰り返しになりますが、ITを構築・運用し、成果を得ていくために必要なことばかりです。

ステップ2：GRCを実現するソリューションツール

　次にGRCのソリューションを選定・導入します。日本ではExcelのようなオフィス・ソフトを使って上記のリスクを可視化し、管理しているケースが依然として多いのですが、そのやり方では多くを人手に依存することになり、適正にGRCを実現しているとは言えません。IT GRCに取り組む際には導入費用をかけてでも、GRCのソリューション（ツールやサービス）を導入することを推奨します。

　その理由は「GRCソリューションツール＝リスク管理のERP」であるからです（図2）。紙の台帳でもオフィス・ソフトでも会計や在庫管理は可能ですが、自ずと限界があります。ITが一定の規模や複雑さを超えればツールによる管理が必要になるのは言うまでもないでしょう。

　GRCソリューションは当初、財務報告に関する米SOX規制に対応するための文書化ツールとして開発され、その後、適用できるリスクの拡充、使い勝手の強化がなされています。多くの場合、リスク項目や管理の状況をデータベースとして管理したり、ワークフローのような機能で承認や監視をしたりといったことができます。上記のリスク管理分類をサポートするモジュールを備えており、例えばベンダー管理に必要なデータ項目や入力を促す機能もあります。

　レポーティング機能も備えるので、リスク管理ポリシーに準拠した形での監査も可能になります。ERPシステムとの連携機能を備えるツールもあり、例えば資産管理やベンダー管理と会計情報を連携させるといったことも可能です。こうした点からも、ツールを活用するのが効果的です。