※本レポートは、企業の「デジタルGRCトランスフォーメーション」への取組みについて考察するシリーズです。
前編である「リスクマネジメントのデジタルトランスフォーメーション~GRC確立とAIの活用~」では、「デジタルGRCトランスフォーメーション」への取組みをこれから検討される企業の担当者を想定しており、後編となる今回の記事では、「デジタルGRCトランスフォーメーション」への取組みを検討中、もしくは導入中の企業の担当者を想定しています。
はじめに
企業を取り巻く経営環境の変化がますます激しくなるなか、企業が対応すべきリスクや要求されるコンプライアンスも複雑化‧多様化し続けている状況です。これまでのマニュアル中心での管理では限界となりつつあり、企業は、デジタル技術を活用した「デジタルGRCトランスフォーメーション」に向けた取組みを進めています。しかし、テクノロジーを活用し、全社横断でGRCプログラムの最適化を進めようと指向しても、既存の業務やツールを統合することは容易ではないという課題があり、「デジタルGRCトランスフォーメーション」の取組みを進めても十分な効果を得られていない現状です。
今回は、その課題の解決策の1つとして考えられる「GRCエコシステム」についてご説明します。
企業を取り巻く環境—現状の課題
進展するビジネスのグローバル化、サイバー攻撃の巧妙化など、企業が対応すべきリスクや要求されるコンプライアンスは複雑化‧多様化し続けています。最近では新型コロナウイルス感染症(COVID-19)の拡大により高まる人材リスク、サプライチェーンリスク、およびリモートワークにかかわるセキュリティリスク、その他にも環境・気候変動リスクなどの新たなリスクへの対応も求められ、負荷は増す一方です。同時にAI、ブロックチェーンなどの先端テクノロジーによるデジタルイノベーションなど、企業を取り巻く経営環境の変化のスピードも加速している状況です。このような状況下、従来のGRC態勢では、リスクやコンプライアンスの管理状況の全容把握が難しく、現場からの報告も適時性に欠け、経営陣は適切かつ迅速な意思決定ができていないといった課題を抱えています。
この課題を解消するため、企業は「デジタルGRCトランスフォーメーション」による業務改革への取組みを進めてきました。しかしながら、多くの企業におけるリスクやコンプライアンスに関する業務は、グループ会社もしくは機能ごとに管理されているケースが多く、全社で足並みを揃えて管理ツールを統一プラットフォームに置き替えようと試みるものの、相応の期間や労力が必要になるため思うように推進できていないのが現状です。例えば、リスク管理を1つとってみても、自社リスク管理業務とグループリスク管理業務では統一が図られておらずさまざまな管理ツールが導入され、業務やツールの統合は非常に難しいものとなっています。
その結果、全社的なGRC適用は進まず一部業務に限定され、GRCプログラムの全社横断での共有や最適化といった「デジタルGRCトランスフォーメーション」の推進によって期待される本来の効果を十分に得られずにいます。
課題解決の方向性—「GRCエコシステム」
全社的なGRC適用を推進し、「デジタルGRCトランスフォーメーション」による本来の効果を実現するために、近年海外においては全社横断(グループ会社含む)、および業務横断で統合されたGRCプログラムの確立に向けて「GRCエコシステム」を形成する方法が注目され始めています。
「GRCエコシステム」とは、組織、業務ごとに使用されている既存の管理ツールを接続し、データを集約することで、全体をまとめて1つの仮想のGRCツールに見立てる方法を指します。分散している個々の管理ツールをつなぎつつ、一定の集約を図ることが効率的です。例えば、リスク管理であれば、使用しているツール(コアツール)をコアとして、インシデント管理ツール等から連携されたデータも含めることにより、統一プラットフォームを導入するのと同等の管理が可能となります。
「GRCエコシステム」では、既存の管理ツールをすべて統一プラットフォームに置き替えず継続して活用することにより、管理ツールの置き替えに必要な期間や労力を削減しつつも、統一プラットフォームを構築する場合と同様の効果を実現できます。
【GRCエコシステム」の実現イメージ(リスク管理の場合)】
「GRCエコシステム」を形成し、組織、業務ごとに管理されているツールのデータをコアとなるGRCツールに自動的に集約、一元管理する効果の一例として、全社を対象に実施される定期リスク評価作業の負担軽減があります。
現状では個別のリスク管理ツールからデータの集約を試みようとすると、担当者がデータファイル(スプレッドシートなど)を収集する作業、および本社担当者がグループ会社ごとに異なる形式の報告内容を読み替える(グループ会社担当者であれば、本社指示の報告用フォーマットやツールに入力するために自社評価の内容を読み替える)作業など、収集したデータを1つのデータベースとして取りまとめるまでに大きな負荷が発生しています。
「GRCエコシステム」の形成により、これまで負担となっていた全社横断的なデータの集約や読み替えに関する作業等が自動化されるため、作業負荷の軽減、業務効率化を実現できます。従来に比べ、リアルタイムで情報を入手し、それらの関連付けを行うことが容易となるため、適時でのリスク状況の把握も可能となります。
さらに、リスク管理ツールだけではなく、IT資産情報やセキュリティインシデント情報を管理するツール・システム等と連携し広範な情報を収集することで、モニタリングスコープが拡大します。これにより従来に比べ、リスクやコンプライアンスの管理状況に対するモニタリング効率が向上すると同時に、効果の高いモニタリングを実施できるようになります。
以下では、「GRCエコシステム」の構築の流れと各ステップにおけるポイントを解説します。
【「GRCエコシステム」の構築に向けた全体の流れ】
| ステップ | 実施内容 | 詳細 |
|---|---|---|
| 1 | 現状把握 | 社内・グループ各社の管理業務プロセス、および管理ツールの導入状況の把握 |
| 2 | 将来像の定義 | 全体としてのあるべき管理業務プロセスや方法論(リスクタクソノミー等)の定義など、業務機能の整理・再設計の実施 |
| 3 | コアツールの選定、および管理業務プロセス・管理ツールの統合(初期導入分) | 「GRCエコシステム」の中心となるコアツールと初期導入業務の選定 |
| 4 | その他管理業務・管理ツールの段階的統合 | 業務の重要性や統合による効果、および難易度等を考慮しつつ、その他の管理業務や管理ツールの段階的統合 |
上の表は、「GRCエコシステム」の構築に向けた全体の流れを示しています。
まずステップ1として、社内・グループ各社の管理業務プロセス、および管理ツールの導入状況の現状把握から着手します。後続の導入を適切かつ効率的に進める上で、現状把握は重要なステップとなります。
ステップ2では、組織的な業務改革を進める指針となる、全体としてのあるべき管理業務プロセスや方法論の将来像を定義します。例えば、全社横断でリスクとその影響を効果的に管理するためのリスクタクソノミー(全社としてのリスク識別・分類のヒエラルキー)等を定義していきます。
ステップ3では、ステップ2までに確認した管理業務プロセスや管理ツールの導入状況、および目指す将来像の実現可能性を考慮しつつ、現状未導入のツールも含め「GRCエコシステム」の中心となるコアツールと初期導入業務を選定します。コアツールの選定においては、以下の点を考慮することが重要です。
- 基本的にはコアツールに統合することが効率的であるため、社内の主な業務に対応可能であること
- 「GRCエコシステム」の形成にはデータの連携が前提となるため、一定のデータ連携が可能であること
- グループ全体で使用する場合、各社の事情で同一のプロセスを適用できない可能性があるため、それぞれに応じた柔軟な設定変更が可能であること
初期導入業務の選定においては、例えば各拠点において対応範囲が広い業務、あるいはすでにGRCツールが活用されている業務であることかどうかを考慮すると効果的です。また、すでに使用しているGRCツールをコアツールとして選定する方法もあるため、初期導入業務の選定においても、現状把握の結果等を鑑み、最適な統合方法を検討する必要があります。
ステップ4では、段階的に統合範囲を拡大します。段階的な統合においては、初期導入時と同様にコアツールへの移行を基本としながらも、移行が困難な場合は「GRCエコシステム」の形成を検討していくことが、コスト効率性の観点からも効果的です。
まとめ~「GRCエコシステム」成功のポイント
執筆者
KPMGコンサルティング
シニアマネジャー 熊谷 頼毅
マネジャー 住家 秀人
