企業の経営者や管理者であれば、一度はGRCという言葉を耳にしたことがあるのではないでしょうか。円滑にビジネスを進めるためにも、GRCについて正しく理解することは重要です。一方で、GRCの概念や注目され始めた背景を知っている人は少ないでしょう。そこで本記事では、GRCの概念から注目された背景、さらにはGRCツールの具体的な機能についてまとめています。ぜひ、最後までご覧ください。
GRCの概要
企業はさまざまなリスクに対応しています。一口にリスクいっても、その種類はさまざまです。各企業はリスクに対応するために、リスクマネジメントや内部統制システムの構築、ガバナンス体制の整備を行っています。
そこで注目されているのが「GRC」という概念です。GRCは、Governance(ガバナンス)・Risk(リスク)・Compliance(コンプライアンス)のそれぞれの頭文字を取った言葉です。3つの用語の具体的な意味については、以下の通りです。
Governance:組織の目標を適切に策定し達成する仕組み
Risk:目標達成に影響を与える要因(リスク)に対して適切に把握・管理する仕組み
Compliance:法規制・社内規定や社会規範に準拠する仕組み
市場のグローバル化が進み、経営統合や買収などが活発に行われている現代において、GRCは重要な概念のひとつです。
GRCが注目されている理由
GRCが注目されている理由として、主に3つの理由が挙げられます。
1つ目の理由は、経営統合や買収、委託先企業が増加したことに伴い、ガバナンス強化の重要性が高まった点です。日本のM&A(買収と統合)市場は、年々高まりをみせています。国内企業同士だけでなく、海外企業を巻き込んだM&Aも活発です。
また、システム開発といった高度化する領域に関しては、外部委託の活用が欠かせません。安心して外部委託を行うためにも、企業はガバナンス体制を強化して、より効率的に目標を達成する必要があるといえます。
2つ目の理由は、グローバル化に伴い増加ならびに多様化したリスクへの対応が求められるようになった点です。前述したように、現代では海外へのビジネス展開が積極的に行われています。海外企業とビジネスを行うことはメリットがある一方、これまでにはなかったリスクが顕在化してきた点はデメリットといえるでしょう。
具体的には、人種・言語・文化・慣習・制度などが該当します。重大なリスクを軽減・回避するためには、各リスクを適切に把握したり管理したりすることが重要です。
3つ目の理由は、年々厳しさを増す法規制や社会的規範への対応が求められる点です。海外を含め、法規制が年々厳しくなっています。新たな法案が制定された際には、企業は対応しなくてはなりません。もし、破ってしまうと、その企業は大きな損害を受けるでしょう。企業として長く活動を続けていくためには、コンプライアンスへの対応は必要なものだといえます。
GRCに関しての日本企業の課題
日本企業はGRCへの取り組みが海外より10年程度遅いといわれています。その要因のひとつとして、2008年のリーマンショックや2011年の東日本大震災などの影響により、景気が不安定になったことが挙げられます。
もともとGRCの概念が広がりをみせたのは2007年頃です。J-SOX準拠法を起点に、さまざまなリスクマネジメントならびにセキュリティ関連製品が登場したことによって、GRCという言葉を聞く機会が増加しました。実際に欧米ではSOX準拠法の完了後、すぐにGRCに関する巨大な市場が誕生しています。
日本も欧米に続きそのブームが到来すると予測されていましたが、前述したリーマンショックや東日本大震災によって景気が不安定になったことで、GRCへの投資を積極的に行う企業が少ない状態が長く続きました。
今でこそ、GRCの重要性が広く知られるようになりましたが、ITシステムの分断化などにより、新たな管理問題が多く発生しているのが日本企業の現状です。
GRCツールについて
GRCを実現するためのソフトウェアのことをGRCツールといいます。ITを活用することで、一元的に情報やプロセスを管理するのが特徴です。
GRCツールを活用することで、報告・連絡・相談の効率化を実現できます。GRCに関する情報管理プロセスの最善策を社内に取り込むことが可能になるからです。
また万が一、不正行為やコンプライアンス違反が起きてしまった場合でも、GRCツールがあることによって、柔軟な対応ができるでしょう。
GRCツールの基本的な機能
GRCツールを構成する機能として、以下の4つの機能が挙げられます。
- リスク管理の機能
- 事故報告・内部通報の機能
- 内部統制・J-SOXの機能
- 内部監査の機能
それぞれの機能について、順に詳しく解説していきます。
リスク管理の機能
まず、グループ会社や子会社を含む主要な組織に「リスク調査票」を記載してもらう必要があります。記載が終わったらその情報を集計し、リスクマップやヒートマップなど、さまざまな方式でレポートを作り、リスク管理を行います。また、GRCツールを利用して作成されたデータは情報が正規化されているため、リスク管理以外の目的でも活用できるでしょう。
事故報告・内部通報の機能
発生したミスやコンプライアンス違反などについては、発生部門・発見部門がその情報を入力します。入力内容はワークフローを通じて、関係者へと共有される仕組みです。管理を行う人は内容を確認した後、適切な対応を取るようシステム上で指示します。
また、事故報告・内部通報の機能では、入力されたインシデントだけでなく場合によっては、苦情情報やネット上の情報を取り入れるケースもあります。
内部統制・J-SOXの機能
上場企業では、金融商品取引法に基づき内部統制報告制度への対応が必要とされています。この内部統制評価制度のことを、J-SOXといいます。
内部統制・J-SOXの機能では、最初に対象となる組織やプロセスにおけるリスクおよびコントロールを定義します。その後、リスクの低減度合いやリスクのコントロールが適切に行えているかを確認するために、テストを行い検証する流れです。
内部監査の機能
内部監査に関しては、リスクアセスメントから個別監査計画、監査調書作成、報告書の作成、指摘のフォローアップなどを行います。また、これらの主要業務に加えて、全体のスケジュール管理や品質管理など、内部監査に関する業務のほぼすべてがカバーされています。
個別の重要リスク領域
企業が長くに渡り活動を続けていると、業務プロセスを変更するケースや、何かしらの問題が発生することがあります。このような場合に影響が及ぶ範囲を明確にして、デバイスやアプリケーションの脆弱性管理や、法令規則の変更管理などを行うのが個別の重要リスク領域です。
個別の重要リスク領域に関する一例として、RPA(ロボティック・プロセス・オートメーション)管理が挙げられます。RPAを利用することにより、情報の収集や必要に応じて定型的な処理や加工を行い、次のプロセスへと情報を渡すことが可能です。
まとめ
GRCについて概要や背景、課題、さらには具体的な機能についても解説しました。経営者や管理者という立場である以上、GRCについての理解を深めることが重要です。GRCに関する知識を深めることで、あらゆるビジネスシーンで活躍できるでしょう。今回紹介した内容を参考にして、自社のガバナンス・リスク・コンプライアンスを一度整理してみてはいかがでしょうか。