GRCの実践アプローチ、適切なツールの活用が成功への道
2016年6月21日(火)榎本 司(NANAROQ 執行役員兼COO) 森本 親治(NANAROQ GRCエグゼクティブディレクター)
前回、「事業活動とGRC(Governance、Risk Management、Compliance)は、食生活と健康管理の関係によく似ている」ことを示しました。実践しなければ中長期的に事業継続が難しくなることだけでなく、競争力強化に有用であることも意味しているます。ではどうGRCに取り組めば良いのでしょうか?今回は、リスクや管理項目の洗い出し、ツールの選定というステップについて解説します。
GRCの実現ソリューションとして日本で利用可能なものを表1に挙げておきます。
表1:日本で利用可能なGRCの実現ソリューション例拡大画像表示
網羅的に多くの項目を管理するツール(Aruvio、RSA Archer)と、限定されているツール(Risk Organizer、AvePoint CG、BSI Entropy)があります。これは開発コンセプトの違いに由来します。リスク情報や評価指標、低減施策などはリスク管理の目的に応じて粒度が異なる場合が多いので、eGRCのように経営的な高い視点でリスクを捉える場合は共通化しやすいですが、業務レベルで捉える場合はツールがいくら連携機能を持っていても、各担当部署が実務を行ううえでの共通度が低いので活用できません。
例えば、システム部門の開発・運用の委託先に関する情報セキュリティ管理手続と購買部門の取引先に関する情報セキュリティ管理手続は、前者のシステム部門のほうが後者の購買部門より細かくなります。HW、SW、ネットワークの情報資産ごとに詳細化しないと実効が上がらないからです。したがってツールの選定に当たっては、機能比較よりもむしろ、自社ではどのような分野にどのように活用したいかを明確にすることが重要です。
GRCソリューションの導入アプローチ
GRCソリューションを導入する場合、経営者が企業グループ全体に重要な事業リスクに関してトップダウンで導入するアプローチと、各所管部署が自部門内ないし業務の共通性が高い関連部署と共同して実務レベルで徐々に適用範囲を広げていくボトムアップのアプローチに大別されます。
GRCツールは欧米でも当初はUS-SOX対応のための文書化ツールを起源としたので、ポリシー管理やコンプライアンス管理のモジュールを主要業務プロセスにボトムアップにより適用するのが通常でした。その後、財務報告リスクだけでなく、事業リスクに対象が拡大した段階で、経営的に重要な事業リスクからトップダウンで導入するアプローチが主流になりました。
これに対し日本では中間管理職に多大の権限委譲がなされ、各部門が部分最適で業務の実効を上げる実務慣行が強いので、トップダウンで全社一斉導入をはかるのは現実的とは言えません。やはり、関係部署が連携して管理すべき重要なリスクに関して、まず主管部署が中心になって小規模で導入し、成功事例を梃にして徐々に関係部署へ広げていくのが最も効果的と言えます。
次回は、GRCソリューションの導入事例を紹介します。
筆者プロフィール
榎本 司(えのもと・つかさ)
NANAROQ 執行役員 兼 COO
森本 親治(もりもと・しんじ)
NANAROQ GRCエグゼクティブディレクター
- IT GRCツールの導入ケース、ポリシー管理からインシデント管理まで(2016/06/22)
- 日常の経営/事業活動におけるGRC、その本質と実践価値を理解する(2016/06/20)
