GRCとは

GRCとは

GRCとは、ガバナンス(Governance)/リスク(Risk)/コンプライアンス(Compliance)の略で、業界や政府の規制に従いコンプライアンスを維持しながら、ガバナンスとリスクを管理するための組織的な戦略です。

GRCは、GRCアプローチで企業を実施・管理することを目的とした統合ソフトウェアの機能スイートを指す場合もあります。

GRCの一連のプラクティスとプロセスには、ITとビジネス目標の整合性を図るために構造化されたアプローチがあります。「GRC」という名称は、2007年にOCEG(the Open Compliance and Ethics Group)によって初めて提案されました。GRCにより、企業は効果的にITとセキュリティーのリスクを管理し、コストを削減し、不確実性を軽減し、コンプライアンス要件を満たすことができます。また、組織がどの程度リスクを管理できているかを総合的に把握できるため、意思決定とパフォーマンスの向上に役立ちます。中小規模の組織であっても世界中で事業を展開できるので、リスクと政府規制への準拠の必要性はどちらも世界規模の範囲になる可能性があります。そのため、ガバナンス、リスク管理、コンプライアンスに細心の注意を払うことが求められます。

ニュースレターを表示しているスマホの画面

The DX Leaders

「The DX Leaders」は日本語でお届けするニュースレターです。AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。

ガバナンス

コーポレート・ガバナンスは基本的に、企業活動がビジネス目標の支えとなるよう整合性がとれていることを保証する一連の規則、ポリシー、およびプロセスです。これには、倫理、リソース管理、説明責任、管理統制が含まれます。

またガバナンスは、経営陣が企業のあらゆるレベルで起こっていることを管理し、影響力を持つこと、そして事業単位で顧客ニーズや全体的な企業目標に沿っていることを保証します。

効果的なガバナンスを実施すると、従業員が権限を与えられていると感じられ、かつ行動とリソースが管理され、うまく調整される環境が生まれます。ガバナンスの目標の1つは、経営陣、従業員、サプライヤー、投資家など、多くの企業利害関係者の利益バランスを図ることです。

ガバナンスはこのバランスを維持するために、例えば社内と社外の利害関係者が締結する契約において、責任、権利、報酬の公平な配分を徹底するのに役立ちます。これには、利害関係者の間で対立する利益を調和させる手続きや、監督、制御、データの流れが抑制と均衡のシステムとして機能するプロセスも含まれます。

ガバナンスにより、データセンターなどの施設やインフラストラクチャーが制御され、アプリケーションがポートフォリオ・レベルで監視されます。

何よりも、ガバナンスは行動と結果に対する説明責任を果たすために導入されるものです。行動は、倫理的な慣習とコーポレート・シチズンシップ規則の実行によって管理できます。優れたガバナンスは事業部門(LOB)に基づいて業務を定義し、責任ではなく達成した結果に基づいて従業員を評価します。

オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。

リスク管理

リスク管理とは、組織の財務、法務、戦略、セキュリティー上のリスクを特定、評価、制御するプロセスのことです。組織はリスクを減らすために、リソースを投入して有害な事象の影響を最小限に抑え、監視し、制御する必要があります。同時に、有益な事象を最大限に活用する必要があります。

最も広い範囲でのリスク管理とは、組織が価値観とリスクに沿って目標を設定できるようにする人/プロセス/テクノロジーの体制を指します。

エンタープライズ向けリスク管理の取り組みで目指すのは、リスク・プロファイルを最小限に抑え、価値を確保しながら企業目標を達成することです。そのタスクの一部は、利害関係者の期待に優先順位を付け、その関係者に信頼できる情報を提供することです。

リスク管理プログラムは、ソフトウェアの脆弱性や従業員によるパスワードの不適切な取り扱いなど、サイバーセキュリティー情報セキュリティーに関する脅威とリスクを特定し、ITリスクの軽減計画を実施するためにも適用されます。

プログラムに求められるのは、システムの性能と有効性およびレガシーとなっているテクノロジーの評価、コア・ビジネスに影響を与え得る運用上およびテクノロジーの障害の特定、インフラストラクチャーに関するリスクの監視、ネットワークとコンピューティング・リソースの潜在的な障害の監視です。

リスク・アセスメント・プログラムは法務、契約、社内、社会、倫理に関する各目標を達成する必要があり、テクノロジー関連の新規制にも注意を払わなければなりません。企業はリスクに焦点を当てると同時にその管理と軽減に必要なリソースを投入することで、不確実性から身を守り、コストを削減し、事業継続性と成功の可能性を高めることができるのです。

コンプライアンス

コンプライアンスには、業界や政府機関によって定められた規則、ポリシー、基準、法律の順守が含まれます。コンプライアンス違反が起きると、パフォーマンスの低下、コストのかかる過ち、罰金、罰則、訴訟などで組織に損害を与える可能性があります。

規制順守は、会社に適用される外部の法規制や業界基準を対象としています。企業または社内コンプライアンスとは、各社が設定した規則、規制、内部統制に関係しています。社内コンプライアンスの管理プログラムが外部のコンプライアンス要件に完全に対応していることが重要です。統合コンプライアンス・プログラムは、コンプライアンス・ポリシーの作成、更新、配布、追跡、およびポリシーに関する従業員トレーニングのプロセスを土台とすべきです。

効果的なコンプライアンス・プログラムを作成するには、組織がどの領域に最も大きなリスクがあるかを理解し、その領域にリソースを集中させることが求められます。次にポリシーを策定および導入し、従業員がリスク領域に対処できるよう伝達します。従業員とベンダーがコンプライアンス・ポリシーに従いやすくするために、ガイダンスを作成する必要があります。

GRCのユースケース

GRCフレームワークは、組織がコンプライアンス・リスクを最小限に抑えるためのポリシーとプラクティスを確立するのに役立ちます。ITおよびセキュリティー向けGRCソリューションは、データ、インフラストラクチャー、仮想/モバイル/クラウド・アプリケーションに関するタイムリーな情報の活用に重点を置いています。

さらに組織のGRCシステムは、効率の向上、リスクの軽減、パフォーマンスと投資収益率(ROI)の向上を実現させるものでなければなりません。企業は自社の戦略的目標を確実にサポートして実現するために、リーダーシップ、組織、IT分野の運用に関するGRCフレームワークを開発・利用します。これには、ビジネス・プロセス、ポリシー、統制に相互関連する情報のほか、IT、財務、人事チームや経営幹部が行う活動も含まれます。

効率性

リスク・アセスメント、コンプライアンス管理、データ・コンプライアンス、内部監査、その他のGRC活動は、GRCソフトウェア・プラットフォームを使わずに実装すると時間がかかり、多くのリソースを消費する可能性があります。GRC機能は、企業がプロセスとデータのサイロを解消し、重複した取り組みをなくし、規制を順守し、損失やサイバーリスク・イベントを監視・測定および予測するのに役立ちます。

また、企業が財務および人工知能(AI)駆動型のモデル・ライフサイクルを管理し、ITコンプライアンスと統制を改善する上でも貢献します。企業は、ビジネス要件や規制要件がポリシー・フレームワークに与える影響を測定し、サードパーティー製品との統合を通じて自動測定とIT制御をサポートすることもできます。

リスクの評価と軽減

GRCを利用すると、会社はリスクの評価と軽減を確立・自動化・管理できます。GRCプラットフォームからのデータを使用することで、企業はより多くの情報に基づいた意思決定を行い、リスクを軽減する目的でリソースを割り当てることも可能です。全社的リスク管理(ERM)は、リスク要因に焦点を当てたGRCのサブセットです。

サーベンス・オクスリー法などの規制に対する監査は、GRCの運営におけるマイルストーンです。各部門は監査に備えて、請求書、人事記録、財務報告などの機密情報を保持および保護しなければなりません。

効果的なGRCプログラムは、コンプライアンスやリスクに関する重大な事象や障害を経験したことがある企業にとって、特に役に立ちます。ビジネスがコンプライアンスや内外の財務リスク報告や可視性、サードパーティーリスク管理に自信がない場合、GRCモデルを鑑みることで、冗長な制御系や不十分なフレームワークを修正・監視することで、リスクが繰り返し発生することを避けることができます。

パフォーマンスとROIの戦略的サポート

企業がリソースを割り振り、利益の相反に対処し、成功を測定するのが難しいと感じる場合もあります。これは、リスクや要求への対応コスト増加に取り組んでいる時に、急増するサードパーティーとの関係やリスクを管理するという課題に直面した結果かもしれません。

しかし、企業はGRCプラットフォームから生成されるメトリクスを使用して明確な目標を設定し、監視することができます。これにより業績とROIが向上します。

GRC戦略の導入方法

GRC戦略を成功させるには、人材、計画、プロセス、テクノロジーを円滑に調整する必要があります。その取り組みは継続すべきです。リスクや規制は絶えず変化しており、組織は遅れを取ることなく、その先を行かなくてはなりません。成功への手順は以下のとおりです。

  • 明確な目標設定とGRCフレームワークの構築
  • 現行の運用における欠点を特定
  • トップの賛同を獲得
  • 組織全体の賛同を獲得
  • 明確な役割と責任の設定
  • GRCソフトウェアの使用
  • GRCフレームワークのテスト

明確な目標設定とGRCフレームワークの構築

 

最大のリスクと課題を判定することで、フレームワークの構造が決まります。その組織は政府規制に焦点を当てるべきでしょうか。それともデータ・プライバシーやセキュリティに注力した方がいいでしょうか。完全なフレームワークは、組織が情報に基づいてビジネス上の意思決定を行い、リスクを最小限に抑え、サステナビリティーを確保するのに役立つはずです。

現行の運用における欠点を特定

 

組織は、十分に対処できていない問題をすべて詳しく調べる必要があります。例えば重大なセキュリティー問題を抱えているサードパーティーや、規制当局から求められる報告義務を果たしていない組織などです。事業運営プロセスとテクノロジーはいつでも改善できますが、遅れをとるとリスクが高まります。

トップの賛同を獲得

 

経営幹部が真剣に取り組まなければ、導入の機運を高めることは難しいでしょう。管理者は、リスクを認識する企業文化をリードする必要があります。重要なのは、GRCの問題が発生してから事後的に対処するのではなく、予防するように組織を導くことです。

組織全体の賛同を獲得

 

組織全体がGRCの重要性を理解する必要があります。従業員がGRCを他人事と感じていると、フレームワークがどれほど包括的であっても、問題がすり抜けてしまうおそれがあります。

明確な役割と責任の設定

 

誰もが組織横断プロジェクトにおいての自分の役割を知る必要があります。取締役会と最高経営責任者(CEO)は、GRCフレームワークを監督し承認する責任を負っています。最高リスク管理責任者(CRO)が日常的な管理監督を行います。最高コンプライアンス責任者(CCO)、最高情報責任者(CIO)、最高技術責任者(CTO)、最高財務責任者(CFO)が、法務部、内部監査、財務、IT、LOBの各マネージャーとともに役割を果たします。個々のタスクと責任は明確であることが求められ、GRCの懸念事項を報告する方法は全員が知っている必要があります。

GRCソフトウェアの使用

 

文書作成ソフトウェアやスプレッドシートだけを使っていると、組織は手作業で追跡せざるを得なくなるかもしれません。このプロセスでは、適切な質問をしたり結果を記録したりすることができず、法令順守やより深い洞察の取得に必要となる、明確な完全レポートを作成できません。

GRCフレームワークのテスト

 

まずは1~2部門のGRCのプロセスとインターフェースが明確であり、すべての重要な問題に対処していることを確認するところから始めます。初めから全社規模のプログラムを展開するのではなく問題が小さいうちに修正することで、時間が節約され、面目が潰れることもありません。

GRCソフトウェア・ツール

運用管理者は専用のGRCソフトウェアを最大限に活用して、企業がコンプライアンス基準とリスク基準を満たしていることを確認する必要があります。ツールは、企業におけるITの使用、所有、運用、関与、影響、採用に関連するリスクを判断し、軽減する際にも役立ちます。運用リスク、ポリシーとコンプライアンス、ITガバナンス、内部監査を対象とするGRCツールが求められます。大半のGRCソフトウェアには以下の機能が備わっています。

  • 企業がデジタル・コンテンツをより正確に制作、追跡、保管しやすくする、コンテンツおよびドキュメント管理
  • リスクの測定、定量化、予測を支援し、リスクを軽減するための次なるステップを決めるリスク・データの管理および分析。
  • 企業がGRC関連のワークフローを確立・実行・監視できるようにするワークフロー管理。
  • 内部監査の実施に向けて情報を整理し、プロセスを合理化するための監査管理。
  • 事業部門が単一プラットフォーム上で活動を調整するための支援。
  • 規制の変更に関する最新情報を入手するための接続。
  • 迅速なセットアップとカスタマイズを可能にする事前構築されたテンプレート。
  • ビジネス・プロセスと目標に関連した重要業績評価指標をリアルタイムで監視できる、インターフェースが一元化されたダッシュボード。

さらに、担当部門がセキュリティー情報およびイベント管理(SIEM)ソフトウェアを利用できるようにすると、セキュリティーの脅威を見つけやすくなります。監査ソフトウェアは、GRCの取り組みが成功したかどうかを評価し、改善の可能性を指摘する助けにもなる場合があります。

効果的なGRCツールは、ポリシーと管理の作成と通知、そして規制やコンプライアンス要件への関連付けを行います。それらは、制御が展開されているか、機能しているか、リスク評価と軽減を改善しているかを評価することに役立ちます。

関連ソリューション
エンタープライズ・セキュリティー・ソリューション

世界有数の企業向けセキュリティー・プロバイダーが提供するソリューションで、セキュリティー・プログラムを変革します。

サイバーセキュリティー・ソリューションの詳細
サイバーセキュリティー・コンサルティング・サービス

サイバーセキュリティー・コンサルティングやクラウド、マネージド・セキュリティー・サービスでビジネスを変革し、リスクを管理しましょう。

    サイバーセキュリティー・サービスはこちら
    サイバーセキュリティーのための人工知能(AI)| IBM

    AIを活用したサイバーセキュリティー・ソリューションで、セキュリティー・チームの俊敏性、精度、生産性を向上させます。

    AIを活用したサイバーセキュリティーの詳細はこちら
    次のステップ

    データ・セキュリティー、エンドポイント管理、IDおよびアクセス管理(IAM)ソリューションのいずれが必要であっても、IBMのエキスパートはお客様と協力して、高度なセキュリティー体制を実現します。サイバーセキュリティー・コンサルティング、クラウド・セキュリティー・サービス、マネージド・セキュリティー・サービスなど、業界の世界的リーダーとして、事業の変革とリスク管理を支援します。

    サイバーセキュリティー・ソリューションの詳細 サイバーセキュリティー・サービスを発見する