欧州を中心とした、法改正による企業コンプライアンスの強化や、世界中で猛威をふるうサイバー攻撃。

さらにはSDGsや環境保護活動など、近年は、企業運営に求められるものが大きく変改しました。

そのような時流の中で、欧米で誕生したGRC。

ガバナンス・リスク・コンプライアンスの略で、どれも企業の対応が求められる要素です。

企業によるGRCへの取り組みをサポートするのが、GRCツールです。

この記事では、GRCという取り組みについて見たうえで、GRCツールがどのようなものなのか、GRCツールの機能、そして日本でも導入可能である主要なGRCツールについて解説します。

GRCツールとは

GRCツールとは、どのようなものなのでしょうか。

そして、GRCツールは、なぜ企業にとって重要なものとなったのでしょうか。

この項では、GRC、そしてGRCツールについて、基礎的なことを解説します。

「GRC」とは

GRCとは「Governance, Risk and Compliance」の略です。

それぞれの用語を説明すると、まず「ガバナンス(Governance)」は企業の目標を健全に達成するための内部統治のことです。

そして「リスク(Risk)」は目標達成の障害となる、あるいは目標達成に影響を与えるさまざまな要因を適切に把握して、分析することです。

「コンプライアンス(Compliance)」は、企業が守るべき法規制や社会規範、社内規定を順守するための取り組みを指します。

これまでは、この3つの要素に関する情報は独立して管理・検討されていました。

そうした情報を統合して管理しようというのが、GRCという取り組みです。

GRCが必要となった背景

IT技術の普及や世界情勢によって急激に変化するビジネスシーンにおいて、GRCの重要度は増しています。

特に、ビジネスにおける重大なリスクの発生、欧州を中心とした、法改正による企業コンプライアンスの締め付けなど、企業活動は大きく変化する必要に迫られています。

これまでの体制では、こうした新しい情勢に対応することが難しくなりました。

そこで登場したのが、GRCという考え方・取り組みです。

発祥はアメリカの企業で、近年、ようやく日本でも認知度が高まってきました。

GRCツール

GRCツールは、企業がGRCを実現するためのソフトウェアです。

GRCに関する情報のデータベースを構築して、有用な情報として管理、分析、報告を行うというフレームワークを提供しています。

GRCツールを導入した経営は、IT技術を活用した新たな企業活動ということもできます。

GRCツールの目的

企業の多くはまだ、GRC活動についての情報をアナログデータで収集して、それをデジタルデータに変換することで管理しています。

GRCツールを導入することで、そうしたプロセスそのもののデジタル化が実現します。

それによって、社内の「ホウレンソウ」の効率を向上させ、さらに、会計手続き内の不正や情報漏洩、コンプライアンス違反などに対して、企業として迅速に対応することが可能になります。

GRCツールの導入は、企業のDX化(デジタル・トランスフォーメーション)とも密接に結びついています。

GRCツールの基本的な機能

海外企業を中心にGRCが重視されるようになってからしばらくが経ち、さまざまなGRCツールが登場しています。

その製品ごとによって、備わっている機能は異なりますが、ここでは、GRCツールとしての、基本的な機能について解説します。

どの機能も、GRCの実現に不可欠な要素となっています。

リスク管理

収集した情報から、経営リスクを発見して管理する機能です。

発見されたリスクが経営に与える影響を予測して、そのリスクを許容するか対処するかを判定します。

リスクへの対処に関わるプロセスまでを管理するため、リスクの発見から対応までを迅速に行うことができます。

コンプライアンス管理

その地域で企業が順守すべきコンプライアンスや業界のガイドライン、社内ポリシーなどの内容を一元管理する機能です。

コンプライアンス管理は、GRC活動の中心となる、重要な機能です。

この機能によって、コンプライアンスやポリシーをまとめて、一覧を作成します。

そして、それぞれの項目がどのように管理されているかを把握することで、その企業がコンプライアンスを順守していることを証明できます。

合わせて、社内のコンプライアンスの周知や理解度、新たなポリシーの伝達のための機能を提供するツールもあります。

インシデント管理

企業活動を進める中で障害になると予測されるインシデントや、企業活動におけるコンプライアンス違反を捕捉するための機能です。

発見されたインシデントやコンプライアンス違反への対応が完了するまでのプロセス全体を一元管理します。

近年、劇的に増加しているサイバー攻撃によって、企業活動において、インシデントの把握は非常に重要なものとなっています。

この機能では、発見したインシデントの評価、担当者の配置、対応業務の進行度、調査報告書の作成、調査結果の報告などの業務を支援します。

ベンダー管理

オフショア開発をはじめ、近年は海外企業と連携して活動する企業が増えています。

外部企業へ依存した活動を行う場合、ベンダーへの信頼というものが、自社への信用に直結します。

GRCツールのベンダー管理機能では、委託先となるベンダーのリスク管理を行います。

対象企業についての情報を管理して、信用できる企業であるかどうかを判定します。

企業はこの判定結果を活用して、対象企業との取引を継続するかを判断します。

これによって、自社のコンプライアンス順守を補強することが可能になります。

GRCツールの活用例

ここまで、GRCツールが持つ機能について解説してきました。

では、企業はこのツールをどのように活用しているのでしょうか。

ここでは、一般的な日本企業における活用の現状を確認した上で、GRCツールの活用例についてみていきましょう。

日本企業におけるGRCツール活用の現状

日本企業では企業全体というよりも、各部門ごとに、個別にGRCツールを活用する傾向にあります。

活用分野としては、リスク管理、内部統制、内部監査、インシデント報告が主だっています。

それぞれ、社内ニーズに合わせて工夫してGRCを行っていますが、各分野を個別に最適化する方向で活動が進められていて、総合的なGRCはまだまだ行われていないというのが現状です。

各部門で別々のツールを利用し、それを上層部に報告する。

このような状況では、報告される情報は各部門ごとに異なり、また上層部が能動的に情報を集めることは難しい状況になります。

市場の動きが早い現代では、リアルタイムにこれらの情報を分析・経営判断する必要性が増すと考えられ、それに伴って今後更にGRCツールに注目が集まると予想できます。

グローバル企業での内部統制評価への活用

グローバル企業では、子会社を含めた各組織・部門を総合した内部統制評価が難しいという課題がありました。

評価方法の標準化や、連結評価のための情報の収集と管理、コンプライアンスの整備に膨大なコストがかかるため、内部統制がうまく行えません。

そこでGRCツールを導入することによって、内部統制評価を一元管理して、企業リスクの発見が容易になりました。

そして、ツールの分析機能により、高度なリスク評価が可能になり、内部統制評価の結果をより活かすことが可能になりました。

さらに、評価にかかるコストを削減し、業務の効率が向上しました。

金融機関での内部監査への活用

GRCを重視する金融機関は、早くからGRCツールの活用を始めた業界です。

これまでは、内部監査の書類をワープロソフトやExcelで作成していたため、作成する人によって書類のクオリティにばらつきが発生し、また作成にかかるコストが大きくなるという課題がありました。

GRCツールの機能を活用することで、書類のテンプレートを共有して、クオリティの向上とコスト削減を実現しました。

加えて、監査についてのノウハウや方法、チェック項目などを一元管理して共有することで、これまでの内部監査に関する情報を活用することができるようになりました。

主要なGRCツール

GRCが重視されるようになってから、さまざまなGRCツールが登場しています。

ここでは、日本企業において主要なGRCツールを紹介します。

RSA Archer Suite

EMCジャパンが提供する、日本で導入が可能なGRCツールの代表が、「RSA Archer Suite」です。

RSAはセキュリティソフトの開発で知られる企業で、プライバシー管理やコンプライアンス順守にまつわる、高度な機能を備えているという特徴があります。

プライバシー関連の厳しい法律を設けているEUの基準にも対応しているため、グローバルに活動する企業や、特にリスク管理に力を入れている企業が採用しています。

Diligent

Diligent Corporationが提供するGRCツールが「Diligent」です(以前は「Galvanize」という名称でした)。

コカ・コーラ社をはじめ、世界的に展開する大企業が採用していることからも分かるとおり、多数の部門・組織を合わせた、総合的なリスク管理に強いツールとなっています。

また、最近になって重視されるようになったSDGsや環境活動について、その企業がどれくらい配慮できているかを評価する機能も備えています。

A1 Tracker

A1 Enterpriseが提供するGRCツールで、比較サイトなどで特に評価の高いツールです。

GRC活動についての基本的な機能を網羅しており、さまざまな業務を支援するツールを提供しています。

拡張機能によって、自社ツールとの連携も可能です。

GRCツールの導入はAMELAに

今回は、GRCツールについて触れてきました。

日本ではまだまだ一般的になっていないツールですし、会社全体に関わってくるような内容だけに、大きな決断や多額の費用が必要になります。

しかし、それをいち早く導入した企業には、様々なメリットも有り、他社をリードできます。

ただし、導入するタイミングや導入直後には、社員全体に大きな負荷がかかります。

そのため、是非AMELAにご相談下さい。

御社にとって最適な提案を致します。