最終更新日:2024-01-10
企業の財務や経営面で発生しうるリスク管理をはじめ、内部監査、委託先管理を効率化・自動化したいと考えている企業の管理部門担当者へ。GRCツールの機能や活用するメリットと、おすすめのツールを紹介します。
GRCツールとは、企業のガバナンス(Governance)、リスクマネジメント(Risk management)、コンプライアンス(Compliance)に関する管理を効率化するツールです。具体的には、リスク管理や各種法規制への対応効率化を促進し、組織の経営安定をサポートします。
なお、ガバナンスとは「組織の不正を未然に防ぐための監視・統制」、リスクマネジメントは「リスクの把握と対応策の検討により、損失の回避・軽減をはかる活動」、コンプライアンスは「法規制や社内規定、倫理などの規則遵守」を指すのが一般的です。
従来は、企業のガバナンス、リスクマネジメント、コンプライアンス部門それぞれの担当者が個別にリスクや法規制への対応を行うのが一般的ですが、昨今は海外へのビジネス展開やM&Aを積極的に行っている企業も多く、リスクの複雑化・多様化が進んでいます。一つのリスクが部門をまたいで発生する可能性も増え、個別での対策では解決が難しくなっているのが現状です。
また、事業拡大によりベンダーなどの業務委託先が増えれば、委託先のガバナンス強化が求められます。更に、年々法規制や条例は厳しくなっており、企業側は新たな法案が制定されるたびにコンプライアンス体制を見直さなければなりません。
このような時代の変化から、リスク、コンプライアンスの横断的管理、ガバナンス強化をはかるために注目されているのがGRCツールです。GRCツールを利用すれば、企業の営業・製造・財務など各領域の日々の事業活動データを包括的に収集、分析可能。データに潜んでいるリスクの懸念や、企業経営に重大な影響を及ぼす可能性がある情報を即座に抽出。企業内で改善策の検討や実行がスムーズに行える体制の構築に貢献します。
欧米では2002年のSOX法(虚偽の財務報告の防止を目的とした法律)制定とあわせてGRCツールの利用が広まり、日本でも2007年にJ-SOX法(SOX法を日本に適用できるように改善した法律)が制定されたのをきっかけに、GRCツールの必要性が高まっています。
GRCツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
GRCツールに搭載されている機能と、具体的な使い方について紹介します。
自社で利用しているコンピューターや各種ITシステムと連携して、GRC活動を実施するために必要なデータを自動収集します。たとえば、従業員が使うPCと連携すれば、アクセスログやイベントログを収集可能。ERPと連携すれば、会計・財務、人事・給与、販売、在庫、生産管理などの企業の基幹となる情報を、CRMやBPMと連携すれば、顧客情報やワークフロー関連の情報を集めることも可能です。
収集したデータを、J-SOX法や改正個人情報保護法などの自社で適用する法律に加え、社内規定や社内セキュリティポリシーと照らし合わせて分析。企業経営にどれくらいの影響を及ぼすかをグラフで示します。中には、リスクになりうる可能性や企業経営に及ぼす影響度を可視化した「リスクヒートマップ」機能を備えたものも。優先して着手すべき事項でがわかるため、対処の効率化に役立ちます。
事前にリスクにつながりそうなデータや法令違反を登録しておくだけで、実際にそれが発生した際に自動でアラート可能。たとえば、ベンダーなどの委託先業者のリスク管理を行う場合も、業者のパフォーマンス異常を検知したら所管部署へ素早くアラート。部署から委託先へ早急な是正対応を促す体制を作ります。
プラットフォーム上で、各部署が抱えるリスクや課題への対応状況を一元管理。たとえば自社で内部監査を行った後は、各部署の指摘事項と改善の進捗がダッシュボードに表やグラフで表示されます。監査員は、ダッシュボードのデータをもとに部署の担当者へ改善のリマインドをしたり、フォローを行ったりできます。
GRCツールにはダッシュボード上のデータをレポート形式で出力する機能や、内部監査後の調書・報告書を簡単に作成できる機能が付いています。ツールに入力した情報が調書・監査報告書のフォーマットに自動で反映されるため、監査員がイチから内容を打ち込む手間が省けます。
GRCツールが、どのような目的で利用されているかを解説します。
GRCツールを通してデータをモニタリングすることで、業務が各種法規制や社内規定に則って適切に行われているかを、手間なく一元管理可能。ツールによっては、従業員の内部通報窓口から通報された案件からも不正行為の予兆を調査可能。浮かび上がった課題を改善し、発生しうるリスクへの対処策を講じることで、企業のコンプライアンスを保持します。
従業員の不正行為をはじめ、システム障害、サイバー攻撃、天災などのあらゆるインシデントの発生状況を可視化。特に重大なインシデントに関しては、アラート機能により関連部署の関係者へ素早く通知します。通知を受けた関係者は、ダッシュボードを通してインシデント内容を即座に把握。その後の対処、報告までをスムーズに行える体制を構築します。
GRCツールは、J-SOXの対象企業に義務付けられている「業務記述書(各業務の取引開始から終了までのプロセスを文書化したもの)」「フローチャート(業務記述書のプロセスを図示したもの)」「リスクコントロールマトリックス(業務記述書で起こりうるリスクとコントロールの対応表)」の作成・改訂を効率よく実施可能。正しく運用されているかを自動で評価できるため、目視にありがちな確認漏れ・ミスも防げます。
GRCツールなら、委託先の基本情報や契約の重要事項を一元管理。委託先が法規制や契約ルールを遵守しているかをモニタリングして、異常があればすぐに是正を促せる体制を作ります。そのほか、委託先が適切なセキュリティ対策を講じているかを点検・調査する目的でも活用可能。ツールによっては、委託先の定期点検シートの作成・配布・集計業務もサポート。委託先管理業務の更なる効率化を実現します。
GRCツールを使って内部監査を進行管理することで、指摘の判断基準の統一化やプロセスの標準化を実現。監査員によって、指摘内容の粒度や監査調書・報告書の品質にバラ付きが起きない内部監査体制を作ります。また、各部署の指摘事項の改善状況はダッシュボードで一元管理。改善のためのリマインド・フォローの効率化をはかります。
リスク・コンプライアンスの管理だけでなく、企業が保有するPCやソフトウェアなどの保有状況を管理する「IT資産管理」や、システムの設定変更、ユーザー権限の付与などあらゆる権限が付与された「特権ID」の管理に対応可能。ID不正利用防止や、IT資産価値の保全をはかります。
企業がGRCツールを利用するメリットとしては、以下4点が挙げられます。
従来は、部門ごとに専用ツールを導入して、コンプライアンスに抵触するデータ、リスクになりうるデータをチェックするのが一般的ですが、GRCツールなら企業の事業活動に関わる膨大なデータを自動で集約し、自動でチェック。各部署の担当者が目視でデータを洗い出す負担を軽減できます。
また、経営陣の意思決定がスムーズになるのはもちろん、リスクやコンプライアンス情報を組織全体で共有できるようになるため、企業経営における透明性・信頼性の確保につながります。従業員一人ひとりのコンプライアンスに対する意識の向上も期待できるでしょう。
リスクを客観的に、目に見える形で分析できるのもGRCツールの利点です。具体的には、自社の事業部単位だけでなく、プロジェクト単位、子会社、委託先など様々な場面で「いつ・どの場面で・何のリスクが・どれくらいの影響を及ぼす可能性があるか」を可視化できます。
更に、リスクヒートマップ機能によって、各種リスクがビジネスに影響を及ぼす程度や可能性もわかります。たとえば、企業側はリスク回避・低減だけでなく、影響度の低いリスクに関しては「受容」といった結論を出すことも可能に。状況に応じた適切な意思決定ができるようになります。
これまで対応が困難だった領域のリスク管理に着手しやすくなります。たとえば、従来は人手不足で委託先管理に十分なリソースが割けなかった場合でも、ツールが点検シートの作成や共有、各委託先の結果集計作業を効率化するので取り組みやすくなります。
また、GRCツールの中には自然災害・労働災害・国際貿易におけるリスクや、サイバーセキュリティ脅威など、より広義のリスクに対応できるタイプもあります。
上記のメリットを享受することで、企業側は様々なリスクを想定したうえでの事業計画の策定や、KPI・KGIの設定ができるようになります。計画に基づいて事業を進めるうえで何かしらのリスクが起こっても、予測をもとに素早く対処ができるように。GRC活動におけるPDCAサイクルを円滑に回す体制を整えられ、健全な企業活動を維持できるようになります。
GRCツールは、大きく分けると多様な目的・用途で利用できる「総合型」と、一部の目的での利用に特化した「特化型」に分けられます。2つのタイプについて、具体的に紹介します。
内部監査や委託先管理など様々な用途に対応できるタイプ。基本的には「リスク管理」「内部監査管理」など用途別にソフトが分かれており、企業側が必要なソフトを選んで導入する仕組みになっています。あらゆる領域でGRC活動を進めていきたい企業に最適です。
たとえば、「RSA ARCHER」のリスク管理ソフトには、経営陣がリスク認識を社内に広げていくトップダウン型のアプローチと、各事業部署が進んでリスクの抽出や評価、対策計画を打ち出すボトムアップ型のアプローチがしやすい機能を装備。合理的なリスク管理の体制構築ができます。
そのほか、「Diligent」は内部監査管理を支援するモバイルアプリ版を提供しています。モバイルアプリはオフライン環境で利用でき、電波の届かない場所でも内部監査を効率的に実施可能です。
一部の用途にのみ対応したツールです。自社が課題としている業務を解決できるツールを選ぶのがおすすめです。
たとえば、「Conoris BP」は委託先のセキュリティ調査や定期点検の管理効率化に特化。煩雑になりがちな委託先とのコミュニケーションをツール内で完結でき、委託先調査のための点検シートもワークフローでスムーズに回収可能。取引先間で起こりうるリスクの削減、コンプライアンスの保持に貢献します。
そのほか、「LMIS」は、ヘルプデスク経由のインシデント管理効率化を実現。ヘルプデスクに入る膨大な問い合わせのうち、インシデントに該当する案件を自動で振り分ける仕組みを実装。インシデントの早期解決に向けた導線を整えられます。また、「SMART Gateway」は、システムのアカウント作成・削除や設定変更ができる特権ID管理が可能。特権IDの利用を可視化することで不正利用を防止。内部監査にも効果的です。
また、IaaSのようにシステム開発に必要なインフラ基盤をクラウド上で提供する場合、自社で定めたポリシーに準拠するようデータを自動で精査したり、一元管理できたりすると便利です。たとえば、Microsoft Azureの場合は、「Azure Policy」にてポリシーに準拠していないデータを発見したら次のアクションを制御。取引先と交わしたルールをポリシーに反映させておけば、ポリシーに準拠しないシステムの納品や運用を防げます。
GRCツールを選ぶうえで、比較検討すべきポイントを3点紹介します。
総合型GRCツールであれば、「リスク管理」や「内部監査管理」に対応した機能はどの会社もリリースしています。その他、自社で特に対策したい範囲をカバーした機能やソフトが備わっているかは比較検討すべきポイントです。
「ServiceNow」は、近年話題であり、環境に配慮した企業活動を行っているかを示す「ESG経営」のレポート作成をサポートするソフトを提供しています。たとえば従業員が遠方出張をした場合、その距離を入力するだけで温室効果ガスの排出量を自動計算。手作業では計算や抽出に手間がかかるデータをもとに、ESGレポートが簡単に出力できる仕組みになっています。
「RSA ARCHER」は、万が一災害が起きた場合の事業の継続性と復旧計画の立案を支援するソリューションも搭載。ソフト名まで。また、「SAP」は、貿易業務の効率化とコンプライアンスの強化に対応可能。海外取引の多い企業や、海外に拠点をもつ企業におすすめです。「Diligent」は、内部通報窓口を通じて通報された事案から、不正行為の予兆を調査管理。事業活動データだけでなく、従業員の声も拾い上げて的確に調査でき、不正防止につなげることができます。
検討しているGRCツールの中に、自社で対応すべき法令やポリシーに準拠した機能が備わっているかは確認しておきましょう。たとえば、事業をグローバル展開している企業の場合、各国により法規制が異なるため、対応すべき法規制の判断が複雑になりがちです。そういった状況にも対応できるよう、自社の業態を確認しながら導入を進めると良いでしょう。
一例を挙げると「SAP」では、データプライバシーの規制管理に特化した「SAP Privacy Governance」を提供。同社はユーロプライバシーパートナーに指名されており、EUの一般データ保護規則「GDPR」を遵守した体制を構築しやすいのがポイントです。そのほか、「Connected Risk®」のようにGDPRに加えて、米国の「CCPA」に対応したものも。
あらゆるリスクを可視化するには、ダッシュボードのカスタマイズにより様々な観点でリスクのチェックができると便利です。GRCツールによってダッシュボードのカスタマイズ性が異なるため、事前に確認しておきましょう。
たとえば、「ServiceNow」は、ダッシュボードを柔軟にカスタマイズできるのが特徴。具体的には、ダッシュボードのヒートマップ機能のほかに、リスクの存在を「IT資産」「オペレーション」など潜在場所ごとに棒グラフやバブルグラフで表示する機能があります。
また、「ServiceNow」をはじめ、総合型GRCツールには各リスクの内容を自動でスコアリングする機能を搭載しているのもポイントです。リスクが可視化されると「何に優先的に取り組めばいいか」判断つきやすくなります。そのほか、より自社の業態に即したリスク管理を行いたい場合は、スコアリングの基準をカスタマイズできるものを選ぶようにしましょう。
様々な用途に対応可能な総合型のGRCツールを紹介します。
(出所:ServiceNow公式Webサイト)
エンタープライズ向けのクラウドプラットフォーム。企業独自のビジネスモデル・セキュリティモデルのもと、アプリ、データベースを単一プラットフォームでシームレスに稼働可能。ITサービス管理、IT運用管理、カスタマーサービス管理、人材管理、セキュリティ運用、リスクとコンプライアンスなど様々な用途に対応可能。
GRCツールとしても、企業の業務プロセスやシステムなどの情報を統合して、リスクの可視化やレジリエンス向上を実現。たとえば、企業が定めたポリシーに則って事業が行われているかを自動で監視し、問題を発見した場合はAIが対処にあたるべき部署の担当者を自動でピックアップしたり、リスクの内容を自動でスコア化し、スコアの高いリスクに関連する業務に優先で対応できるようサジェストしたり。そのほか、内部監査計画の作成や監査後の改善管理をサポート。KPIなどの指標を読み込ませて業務改善状況を常時モニタリングすることで、業務の停滞、生産性の低下を招いているボトルネックも発見しやすい。ESGに関するレポート作成や迅速な情報開示を支援することも可能。
(出所:RSA ARCHER公式Webサイト)
GRCに関わるモジュールを30種類以上搭載し、リスク、コンプライアンスなど7つの領域の管理を効率化する統合型リスク管理ソリューション。たとえば、企業全体のリスクを記録・追跡・評価する「リスクカタログ」機能。ほかにも、経営陣がリスク認識を社内に広げていくトップダウン型のアプローチを行う際に、各リスクと影響のありそうな業務プロセスをマッピングして意思決定に役立てられる機能や、ボトムアップ型のアプローチで、各事業部署が優先着手すべきリスクの抽出や評価、対策計画を打ち出しやすい機能などがある。また、従業員への利用制限など制御が必要なIT資産のポリシー文書化のサポートや、IT資産を自動監視して不正利用や脆弱性を検知する機能も。
その他、災害が起きた場合の事業の継続性と復旧計画の立案を支援するソリューションもあり、不測の事態に備えた体制整備に役立つ。
(出所:Diligent公式Webサイト)
内部監査、コンプライアンスなど複数の領域で企業のGRC活動を推進するツール。特に内部監査管理を支援する機能が充実しており、モバイルアプリで監査実施から報告書作成までを行うことも可能。しかもアプリはオフラインで利用できるため、電波の届かない場所でも監査を実施可能。監査終了後は、ダッシュボードですべての監査の結果や改善計画、進捗状況をリアルタイムで可視化。監査レポートもワンクリックで出力できる。
また、導入企業で適用する法規制やポリシーを照らし合わせ、各事業が受ける規制の影響度を測定することも可能。影響度の数値によって、優先的に改革を進めるべき事業を見分けられる。ほかにも、内部通報窓口を通じて通報された事案から、不正行為の予兆を調査管理できる。事業活動データだけでなく、従業員の声も拾い上げて的確に調査でき、不正防止につなげられる。
(出所:SAP公式Webサイト)
ERP市場で高シェアを誇るSAP社のGRCツール。用途ごとに複数のツールに分かれており、リスク管理においては、リスクと事象の関係性の特定や、リスクの軽減措置の文書化を支援する機能を搭載。ワークフローにリスク管理のプロセスガイドを設定できる機能もあり、ガバナンスの徹底を図りやすいのもポイント。外部取引の多い会社は、委託先業者への資材注文から支払いのプロセスに異常がないかを高速でスクリーニングすることも可能。
また、同社は欧州のプライバシーパートナーに指名されており、GDPRを遵守した体制を構築しやすい。ほかにも、財務レポートの出力支援など財務面に注視して作られた「SAP Financial Compliance Management」や、貿易など国際取引のコンプライアンス強化をはかる「SAP Global Trade Services」など、特定の領域をカバーするソフトが多いのが特徴。
(出所:Connected Risk®公式Webサイト)
GRC関連業務を一元管理して企業の健全な経営を促すツール。J-SOX法専用の「J-SOXコンプライアンス・マネジメント」では、連携しているデータをいつ・誰が・何を変更したかのログを記録可能。J-SOXと照らし合わせて違反を見つけやすいほか、監査時に提出するエビデンスとしても役立つ。SOX法専用マネジメントツールもあるので必要に応じて導入可能だ。そのほか、GDPRやCCPAを含むデータプライバシー規則の作成、監督、追跡ができる機能、更にGDPRに則って、データ保護影響評価(DPIA)を行うための質問票を作成・共有・集計する機能も揃っている。
プラットフォームはシンプルなUIで構成されており、すべてのデータはPDFやWord、Excel形式でエクスポート可能。データ共有やレポーティングが簡単だ。その他、監査法人向けの業務マネジメントツールも用意されている。
一部の用途に対応する特化型のGRCツールを紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Conoris BP公式Webサイト)
委託先へのセキュリティ調査や定期点検などの管理を効率化するGRCツール。委託先と自社の委託先管理者をはじめ、関係者とのやりとりをプラットフォーム内で完結できる仕様になっている。具体的には、毎年実施する委託先調査のための点検シートをツール内のワークフローで回付・集計可能。Excelなどでアナログ管理する必要がなくなり、チェックもれやミスの軽減と、委託先とのスムーズなやり取りが実現する。点検シートのチェック項目がクラウド上で自由にカスタマイズできるのも便利だ。
また、点検シートの作成・集計作業は各会社単位、プロジェクト単位で行えるため、多数のグループ企業や進行中のプロジェクトを抱えている企業でも管理がしやすい。一度調査した委託先のデータはクラウド保存されるため、2年目以降のチェック作業はデータをもとに効率化できる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:LMIS公式Webサイト)
世界標準のITサービスマネジメントガイドライン「ITIL」に準拠しており、その一環でヘルプデスク経由のインシデント管理の効率化もはかるGRCツール。具体的には、ヘルプデスクに電話が入った段階でCTI連携(システムと電話を連携させること)して、インシデントに該当するものは自動で振り分けする仕組みを実装している。また、同ツールはヘルプデスク業務の支援機能が充実している。エンドユーザーから寄せられた問い合わせ内容をダッシュボードに集約して、社内の担当部署へスムーズに共有。似たような内容の問い合わせは過去のナレッジを活用してスムーズに回答しやすい設計で、インシデントの早期解決やヘルプデスク業務の品質標準化に貢献する。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:SMART Gateway公式Webサイト)
特権ID管理に強みを持つGRCツール。アカウントの作成・削除や設定変更など、システム利用において強大な権限を持つ特権IDについて、「誰がどの権限を持っているのか」「どのシステムにいつアクセスしたか」「どのような行動を行ったのか」を一元管理。情報漏えいや不正アクセスの際の原因究明や早期対策、更に内部監査などに有効。
ID管理としても有能で、企業が導入しているすべてのシステムのIDを集約して、IDの付与、アクセス制御など、煩雑になりがちなID管理業務を一元化。従業員一人ひとりのログイン・ログオフ、ファイル操作など様々なアクションを記録する「操作ログ管理」機能も。リモートワークの拡大などで監視対象の機器が増えても全部のアクセス履歴を管理できるので、内部不正を追跡しやすく情報漏えいなどのリスク防止につなげられる。
オンプレミス・クラウド双方あり、自社の環境に応じて選べるのも嬉しいポイント。
(出所:Azure Policy公式Webサイト)
IaaSプラットフォーム「Azure」内のデータを、自社で定めたポリシーに準拠するよう精査、管理することのできるツール。Azure内のデータにポリシーを割り当て、準拠しているかを24時間ごとに確認して評価する仕組み。準拠していない箇所が見つかったら「データが起こすアクションをブロック」、「ポリシーに準拠する関連データを提案」などの対策を取って次のアクションを制御することが可能。具体的な利用法の一例として、取引先と交わした決めごとをポリシーに反映させておけば、ポリシーに準拠していない制作物を納品するリスクを抑えられる。なお、ポリシーを割り当てる範囲は全データのうち特定の領域に絞ることもできる。
既にAzureを利用していれば、無料で利用できるのも嬉しい。
近年は、海外へのビジネス展開やM&Aを行う企業や、事業拡大に伴い業務委託先が増加している企業が増えています。その分、様々な場面でリスクが生じる可能性が高まり、また、変わりゆく法規制や条例に対応して、企業はあらゆるリスクの発生を想定して、対策やコンプライアンス体制の整備を行わなければなりません。
このような体制整備を支援すべく、リスク、コンプライアンスを横断的に管理してガバナンス強化をはかるのに役立つのがGRCツールです。自社の規律に則って事業が行われているかを調査するため日々のデータを収集し、分析。データに潜んでいるリスクの懸念や企業経営に影響を及ぼす可能性のある情報を抽出し、改善策の検討や実行がしやすい体制を作ります。
GRCツールには、対応可能な範囲によって、以下の2種類に分けられます。自社のニーズや用途にあわせて必要なツールを取り入れることを検討してみてください。
GRCツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
委託先・再委託企業審査における調査票の回収・審査を同一プラットフォームで完結できる委託先管理ツール。2年目以降の定期点検業務も効率化。取引先50社以上におすすめ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
ヘルプデスク機能を中心としたクラウドサービスです。顧客に提供するサービスを適切にマネジメントし、課題解決と継続的なカイゼンを実現します。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
