変化の激しい社会情勢に対応していくために、あらゆるコンプライアンス情報を統合する
GRCとは、言葉通り「ガバナンス・リスク・コンプライアンス」を統合し、それぞれが連携しながら包括的にコントロールする、一連の活動や仕組み、システムのことだ。企業を取りまくリスクの多様化・複雑化、その範囲の影響の拡大などを鑑み、今あらためて注目されている。
もともと従来から「ガバナンス・リスク・コンプライアンス」については企業の大きな課題であり、様々な施策が展開されてきた。しかし、その多くがJ-SOX法準拠やISO対応、個人情報保護法やPL法への対応といったように、いわば個別対応に近いものも多かった。法令遵守への対応というように受動的であることから、予期せぬリスクや断続的な法改正など流動的な対応を苦手とし、管理負荷も増大する傾向にあった。また、ビジネスにおけるグローバル化が進み、海外進出先でのコンプライアンス対応はもちろん、取引先・提携先・連携子会社など意識すべき範囲も広がっている。
こうしたコンプライアンス対応およびリスクマネジメントの複雑化に対して、GRCによる横断的・能動的な管理を“シンプルに”提供する。そのコンセプトのもと開発されたのが、NANAROQのGRCソリューションだ。
NANAROQ株式会社 執行役員 兼 COO 榎本 司氏
SOX法はもちろん、様々な業界法令も含めたコンプライアンスに対する専門家のコンサルテーションとアセスメント。そして、世界各国の最新の情報を集約して提供するコンプライアンスデータベースの「UCF (Unified Compliance Framework)」、そしてリスクマネジメントを可視化し、能動的な対策を支援する「Risk Organizer」をクラウドサービスという形態で提供するなど、ITツールまでEnd-to-Endで提供している。「GRCに特化したベンダーというのは、日本では希有な存在だと思います」とNANAROQ株式会社執行役員 兼 COO榎本司氏は語る。さらに日本国内だけでなく、国外拠点へのソリューションをワンストップで提供できるのも同社の強みだ。
「アジアを中心に、各国の法例に則ってローカライズしたGRCのシステムインテグレーションを提供しています。フロントや使い勝手は日本企業にフォーカスしながらも、バックヤードでは常に世界の変化を意識し、各国の最新情報を収集して提供しています。いつでも安心してグローバルビジネスに注力できるよう、使い勝手のいい『パスポート』的なソリューションを提供するつもりで取り組んでいます」(榎本氏)
各国の専門パートナーとの連携、ワンストップでのコンプライアンス設計が可能
NANAROQのGRCソリューションは、リアルとITの連携によって、効果的かつ効率的なGRCを実現しようというものだ。
まず、コンサルティングについては、基本的な設計からアセスメント、そして実装までをそれぞれの専門家とのパートナーシップのもと、ワンストップで提供している。
「コンプライアンスやセキュリティ対策における盲点を洗い出したり、GRCとして統合するロードマップを提供したり、“統合・最適化”を目的としたものが多いですね。海外拠点の場合は、GRC関連するサポートを各国の専門パートナーと連携して、提供しています」(榎本氏)
また、監査業務も手がけており、たとえば世界規模のペイメントテクノロジーを提供するVisa Inc.の日本唯一のSecurity Assessorsとして承認されている。従来、Visaが担っていたPINセキュリティなどのコンプライアンス・プログラムにおいて審査実施が可能だ。PCI DSS(Payment Card Industry Data Security Standards)などにも精通している。
「コンサルタントがすべてコンプライアンスの専門家であると同時にバイリンガルであるのがNANAROQの強みの1つでしょう。現在、日本語・英語・中国語・韓国語・ヒンズー語に対応しており、海外とのやりとりや国外拠点へのサポートがスムーズに行えます。今後はさらに対応言語を増やしていく予定です」(榎本氏)
コンサルタントは社内外合わせて約60名を超え、基本的には担当者が最後まで伴走するシステムになっている。ただし、アジア圏の拠点など遠方に対しては、より合理的かつ低コストでサービスを提供するために、クラウドサービス「アドバイザリーコネクト」によってサポートを行う。たとえば、監査前の専門家によるチェックや新たな対応に対する質問対応などがあった場合には、クラウド上でNANAROQが、企業の法務や経理などの部門担当者と現地のエキスパートとの仲立ちを行い、スムーズなコミュニケーションを支援するというものだ。
また、近年の情報漏洩などのトラブルが内部的要因に起因していることを鑑み、社員に対してコンプライアンス教育を提供する「シンプラZ」の提供も開始した。クラウドで提供されるゲーム型教材になっており、一人のコンプライアンスへの意識の向上に貢献するという。
こうした様々なソリューションの中でも、GRC統合の要となっているのが、リスクマネジメント可視化ツール「Risk Organizer」だ。
能動的にリスクに備え、迅速に対応する――リスクマネジメント可視化ツール「Risk Organizer」
多くの企業では、リスクの洗い出しや分析などの現状把握は行なっていても、定期的な管理にまで至らず、トラブルが生じても対応するまでに時間がかかる。結果として、大きな事件や事故になるまで放置してしまう。
そこで「Risk Organizer」では、様々なリスクに関する情報をシンプルでわかりやすいビューで可視化して管理することで、リスクに能動的に対応し、時には先手を打てるような環境を提供する。重要リスクと対応状況を定期的にモニタリングし、現場関係者で共有しながら、必要なアラートをリスク責任者までスピーディに上げるというわけだ。
「Risk Organizer」はリスクマネジメントの国際規格であるISO31000に準拠し、欧米における経験やノウハウを活かしつつ、日本の組織分化や風土を強く意識して開発されている。プラットフォームには、信頼性やセキュリティに定評のあるセールスフォース・ドットコムのクラウド基盤を利用しており、クラウド型であることからスモールスタートでスピーディに導入でき、毎月のランニングコストのみで利用が可能だ。当然ながら、拡張性も担保されている。
「リスク管理者と部門責任者の両者がタイムリーに現状を把握し、密なコミュニケーションを簡単に図れる。結果、プロアクティブなリスクマネジメントが実現できるというのが『Risk Organizer』の最大のメリットです。さらには、国内外のあらゆる拠点で容易に連携でき、タイムラグを感じさせることがありません。そのため国内はもちろん、グローバル企業の海外拠点でも多くご利用いただいています」(榎本氏)
もちろん「何が重要リスクなのか」「どんなリスクを管理すべきか」といったリスクマネジメント戦略に基づく設計は欠かせない。そこで前述したようなコンサルティングサービスにより、リスク分析やアセスメント、定期的なPDCAなどの設計も必要に応じて提供している。
さらに2015年夏には、「Risk Organizer」をベースに、ISMS(Information Security Management System)やPCI DSSなどに対応し、情報システムのリスク管理に特化した「Risk Organizer for IT」を提供することを予定している。
今後は「Risk Organizer」「Risk Organizer for IT」、3年で10倍のライセンス契約を目標としている。日本唯一のGRC専業ベンダーとしての挟持を胸に、企業の国内外でのコンプライアンス&リスクマネジメントにおいてリーディングカンパニーとなるべく、さらなる飛躍をめざす。
●NANAROQ株式会社 お問い合わせ: info@nanaroq.com
