AIネイティブなGRCツール選定のポイント──“業務をシステムに合わせる”ためにIT部門がすべきこと

カギは「業務」を「システム」にあわせていくこと

　全社システムとしての検討がベストとはいえ、「大規模なシステムとして今すぐ検討することは難しい」「IT部門に十分なリソースがない」といった事情を抱える企業もあるだろう。そのような場合におすすめしたい次善の策は、比較的多くのモジュールを有するGRCツールで、かつ他システムとの連携が容易なGRCツールを検討することだ。

　こうしたGRCツールにはいくつかの選択肢がある。それぞれ得意な業務や機能はあるものの、主要な機能を比較すると大きな差異はない。では検討時に見極めるべきポイントはどこかというと、「カスタマイズをどの程度想定しているか」である。

　ここでいうカスタマイズは、内部のプログラムの変更ではなく、新テーブルの追加、新フィールドの作成、新ワークフローの作成など、パラメータ設定でできることを意味する。これらを柔軟に設定することで、「システム」を「業務」に近づけることができるからだ。

　一方でGRCツールは、新機能の追加などによって定期的なシステムバージョンアップがあり、“カスタマイズ”を多く入れると、バージョンアップ時に追加作業が必要になる場合が多い。ここで重要となるのが「業務」を「システム」に合わせることだ。既存のGRC業務をシステムにあわせて変えていくことができれば、導入や保守運用のコストを大きく下げられる。そのため、要件定義の時点で、IT部門がこの部分をコントロールする必要があるのだ。

　要件定義を業務部門だけで行う場合、システムを既存の業務に合わせるために「あったらいいね」機能を盛り込みがちである。これらは数年後もしくは業務担当者が変更になった際に「なぜこういう設計にしたの？」と問われることもあるため、IT部門として必要性を適切に評価すべきである。

IT部門が“最低限”チェックすべきGRCツールの機能とは

　最後に、IT部門が本格的に関与しない場合の注意点を上げる。それはGRCツールに搭載されはじめているAIの取り扱いだ。

　GRC業務を担う部門からの報告は、企業経営に重要な情報が多く含まれる。そして、その報告を作成するGRCツールにもAIが搭載されはじめている。

　たとえば、業務に詳しくない人でも行える単純なデータの突合や文章の要約は現在のAIでも実施できる。実務経験が2～5年程度の人が行うような、暗黙知や経験を必要とするリスク評価や問題・課題の発見および改善提案作成も優秀なAIで実施できるだろう。一方、高い専門性を必要とする評価などの業務に関しては、プロンプトの検証など確立されたAIガバナンスが必要であり、IT部門としてチェックすべき部分となる。

　たとえば、AIにやってほしいこととして「競合他社で起きた問題が自社で起きないか、その問題に関して自社では適切な統制があるかをAIに評価してほしい」という要望があったとする。仮に、他社の第三者委員会資料などで詳細な情報が入手できたとしても、自社と他社とのビジネスモデル、ビジネスプロセス、企業文化、GRCプロセスの違いなど考慮する要素がかなり多く、高い専門性を必要とする。このような高度な評価もAIに依頼することは可能であるが、この場合、やはり確立されたAIガバナンスに加えて、IT部門の確認が必要となる。

　筆者はGRCツールに関与して20年になるが、ここ数年のAIによる進化は劇的だ。筆者の所属するデロイト トーマツでは、GRCツール自体は開発・提供していないものの、GRC業務で活用できるAIエージェントを開発しており、SOX業務の効率化などにおいて大きな効果を発揮している。GRC業務でのAI活用事例や将来性などについては別の機会で述べたいが、ぜひ皆さまの組織でもこの技術革新の果実を享受してほしい。