AIネイティブなGRCツール選定のポイント──“業務をシステムに合わせる”ためにIT部門がすべきこと
【第2回】ソフトウェアごとの特徴の理解、正しいツール選定が肝要
関連部署に散在するデータ……GRC業務が他部署から”見えにくい”理由
前回の連載記事が公開されたあと、GRC業務について補足説明してほしいというご意見をいただいた。金融機関や一部の規制業種を除くと、IT部門はGRC業務と縁遠い場合もあるため、GRCツール選定のポイントを解説する前に、GRC業務について補足しよう。
改めてGRCについておさらいすると、「ガバナンス(Governance)」、「リスク(Risk)」、「コンプライアンス(Compliance)」の頭文字を取ったもので、この3つを組織として維持していくための戦略といえる。
まずガバナンスは、「コーポレートガバナンス」「デジタルガバナンス」など様々な文脈で使われるが、基本的には統治の仕組みを指す。目標達成のための統治・管理・監督の枠組みであり、リスク管理やコンプライアンスもガバナンスの一環だ。
たとえば、組織ガバナンスを考える際には、各組織・部門にどのような機能・業務・人材をもつべきか、コーポレート部門や事業部門、子会社にどのような権限を付与するかについて経営戦略や企業文化などを踏まえて統治・管理する。この業務は主に経営企画部などが担う。
デジタルガバナンス・ITガバナンスは、経営ビジョンや企業戦略をもとに「デジタル・IT、データ」を「組織、プロセス」にどう整備・配置するかを、関連組織の権限整理や人材育成、技術革新、外部ベンダーなどと関連付けて統治・管理する。これは主にCIOやデジタル推進部門が担うことが多い。
次にリスクについて解説しよう。これはすなわち「リスク管理」を意味する。リスクの定義は複数あるが、ここでは「組織の目標達成を阻害する要因」とする。リスクの顕在化をゼロにするのか、ある程度に抑えるのか、組織の目標やリスクの特性に応じて方針を検討し、リスクを抑制する活動をコントロール(統制)という。企業は継続的なリスクの評価と統制の実施により、リスク管理を行っていく。一次的なリスク評価と統制の実施は事業部門など各現場部門が担う傍ら、統制の実施状況の評価を含めた最終的なリスク評価はリスク管理部門が担う。
そして、コンプライアンスは「法令遵守」と訳され、法規制だけではなく倫理や社会規範などにも従うことを意味する。コンプライアンス違反は前述の組織目標の達成を阻害する要因でもあるので、リスク管理の一環といえるが、これを担うのはリスク管理部門ではなく、コンプライアンス部門や総務部門であることが多い。この背景として、法令の理解、対応のためのコントロールの理解、違反が起きた場合の対処など、リスク管理部門の業務量が増加していることが挙げられる。
このようにGRCの関連業務は相互に関連しているが、所管部門が異なることでデータも偏在しているため、経営陣からは全体像が見えにくい。大企業になればなるほど、これらGRCが正常に機能しているのかを把握しにくいのが実情だ。
本来であれば、内部監査が“GRCが機能しているか”も含めて独立した客観的なアシュアランス(保証)と改善提言を行うべきだが、現状はデータ・情報の突合など単純作業にかなりの時間を要しており、十分に役割を果たしているとはいえない。
GRCツール選定の正しいステップ:まずは今利用中のシステムを確認すべし?
このような“見えにくい”GRC業務を一元管理し、業務を行いやすくする手段の一つがGRCツールだ。こうしたGRCツールの検討・導入時には、IT部門が重要な役割を果たすことが期待される。具体的な導入ステップを見ていこう。
まずは、GRCツールを部門のみで使うシステムとして検討するのか、それとも全社で使うシステムとしてEnterprise Architectureの中で検討するのかを検討する。ここでは、前述のようにGRC業務は複数部門が関わっており、かつ事業の情報・データとも密接に関連していることからも、全社システムとして検討することが望ましい。
次にGRCツールの種類を見ていく。ERPパッケージシステムの中にGRC機能を持つ製品もあれば、ERPや重要なシステムと連携あるいは“ラッピング”され、ユーザーインターフェースを担うとともに、様々なモジュールを使ってGRCやその他の業務を遂行するワークフロー・プラットフォーム製品もある。後者の製品は情報・データの正確性・即時性や業務効率性(人的作業の排除)の観点でGRCツールとして最も望ましい。加えて、AIなどへの投資も積極的かつ大規模であるため将来の拡張性にも期待が高い。
まずは、自社で利用しているERPや主要業務のパッケージシステムにGRC機能が具備されていないか確認すると良いだろう。もしあれば、まずはその機能を活用してみることをおすすめする。
一方、保守運用のフェーズではIT部門に一定以上のスキルや作業工数が必要とされるが、この点、これらの製品には比較的手厚い研修などのサポートプログラムがあるため、時間をかければスキル面でのキャッチアップは十分可能である。
この記事は参考になりましたか?
- GRCツール導入の羅針盤 ~AI時代のITガバナンスを確立~連載記事一覧
-
- AIネイティブなGRCツール選定のポイント──“業務をシステムに合わせる”ためにIT部門が...
- 日本企業はなぜGRCの“デジタル後れ”に見て見ぬふりをするのか?AI時代に必要な組織ガバナ...
- この記事の著者
-
徳永 貴志(トクナガ タカシ)
20年以上にわたり企業のリスク管理、コンプライアンス、内部監査の高度化などに従事し、日本有数のGRCツール導入支援の実績を有する。内部監査・コンプライアンス・内部統制等におけるグループ・グローバル管理の高度化・効率化、および全社的リスク管理、委託先管理、戦略ダッシュボードを主な導入支援目的とする。デ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
