AIネイティブなGRCツール選定のポイント──“業務をシステムに合わせる”ためにIT部門がすべきこと

▼前回の記事：

日本企業のGRCツール導入を阻む“DXの壁”

　海外企業に比べて“デジタル後れ”が顕著であった日本企業のGRC領域でも、昨今の社会の潮流を踏まえてデジタル化を検討する企業が増えてきた。しかし、実際の導入はさほど加速していない。これは、GRCシステムの検討・導入主体がリスク管理部門、コンプライアンス部門、内部監査部門などコーポレート業務部門に属していることに起因する。

　コーポレート業務部門は、DXなどのプロジェクト業務に慣れておらず、デジタル化のメリットや価値、プロジェクト的な管理手法を十分に理解しないままIT投資委員会などに上申し、結果として却下や保留の判断を受けることが多い。

　このような結果に終わってしまう理由は大きく2つある。1つ目は、「To-Be」を描けていないことだ。日本企業における多くのDXプロジェクトでは、その目的を考える際に、自分たちの作業削減に焦点が絞られ、デジタル化によって全社的に何が達成できるのかという点まで考慮できていない。全社視点に立ち、既存の業務プロセスや使用データ、各種テンプレートを変更するといった発想がなく、会社全体としてどう変わるべきかといったTo-Beを明確にできていないのだ。これでは単なる「デジタル化」に終わってしまい、「DX」を実現することはできない。

　2つ目は、費用対効果を十分に訴求できていないことだ。いくつかの企業ではTo-Beを描き、現行業務の“単なるデジタル化”ではない形で上申しているケースも見られるが、費用対効果として人的作業の削減効果のみを考慮することが少なくない。その結果、費用対効果が認められないことが多いのだ。本来は効率化だけでなく、従来できなかったことを可能にする（＝高度化する）ことに対する価値があるはずだが、その点をうまく訴求できていない（これはGRC業務のKPIが明確でない点も原因であるが、この論点についての考察は別の機会としたい）。

　これはGRC業務のDXに限った話ではないが、ビジョンを明確にし、プロセス・仕組み・組織・人・システム・データ・分析手法について構想設計した上で、価値と実現可能性を訴求する必要があるのだ。

IT部門が果たすべき役割

　GRCツールは部門システムとして捉えるよりも、「Enterprise Architecture（EA）」の枠組みの中で考慮すべきである。このとき、AIも含めたデジタルガバナンスやデジタルリスク管理の観点から、IT部門には以下のような役割が期待される。

1. 効率化と高度化の効果を基にした費用対効果の算定
2. 導入検討・計画および導入時に必要なタスクの整理と適任者のアサイン、スケジュールや課題の管理

　1つ目に挙げた費用対効果の算定を行うためにはコンサルティングスキルが求められ、2つ目を実現するためにはプロジェクト管理スキルが求められる。これらに関して社内に十分なリソースがない場合、コンサルティング会社などの外部リソースを検討することが有効だ。また、これ以外にもインフラ整備やセキュリティ、他システムとの連携、保守運用など、一般的なIT部門としての役割も期待されるところだ。