リスクを管理し、規制を遵守し、それらのタスクを管理するプロセスを確立する必要性は、ビジネスが存在する限り、組織運営の一部であった。
しかし、ここ数十年の間に、法律の数、ビジネスの複雑さ、リスクの種類、テクノロジーの利用が爆発的に増加したため、これらの業務は、現代において組織の成功にとってますます重要になってきている。
今日では、小規模な事業であってもグローバルな事業展開が可能であり、国際法や、適切に管理されなければ事業の存続や閉鎖につながりかねない数々の脅威との戦いを余儀なくされている。
その結果、リスクを管理し、規則や規制へのコンプライアンスを確保することは、組織の使命を導き守る統治機構とともに、サイロ化した業務からGRCと呼ばれる集団的な規律へと変化した。
GRCとは何か?
ガバナンス・リスク・コンプライアンス(GRC)とは、組織の全体的なガバナンス、企業リスク管理、規制遵守の取り組みを管理するための業務戦略である。この規律あるアプローチにより、組織はガバナンス、リスク、コンプライアンスへの取り組みを、戦略目標、事業目標、業務を可能にするテクノロジーに整合させることができる。
「GRCは包括的なものである。それは基調と戦略を設定し、方針と手続きを定義し、何が期待されるかを明確にする」とアメリカンセキュリティアンドプライバシーのガバナンス、リスク、コンプライアンス、プライバシーのディレクターであり、ガバナンス協会ISACAの新興トレンドワーキンググループのメンバーでもあるリサ・マッキーは説明している。
マッキー氏は、GRCを車道や運転法に例えている。車道は、ドライバー(組織のようなもの)が、確立された規制や道路標識に従うことで、災難の可能性を最小限に抑えつつ、できるだけ速く目的地に到着できるように、フリーウェイと同様に車線、境界線、制限を定めている。
なぜGRCが重要なのか?
よく計画されたGRC戦略は、意思決定の改善、より最適なIT投資、サイロの排除、部門や部署間の分断の減少など、大きなメリットを生み出す。
その重要性が増しているため、GRCは多くの組織でハイレベルな機能となっており、GRCの責任と説明責任はCレベルの経営幹部に割り当てられている。この業務をサポートするために、ベストプラクティス、フレームワーク、テクノロジーが開発されてきた。
「現代のビジネス環境において、GRCは複数の理由から重要である。データプライバシーと保護の法律の増加、グローバル化、相互接続性により、規制環境はより複雑になっている」とトレーニングおよび認証機関ISC2でCGRC試験のコンテンツ開発者であるクリス・スタンリーは言う。「このレベルの複雑さは、組織が評判損傷と法的な罰則を避けるのを助けるために、強固なGRCフレームワークを必要とする。」
スタンレー氏はまた、「AI、IoT、クラウドコンピューティングのようなテクノロジーの進歩も、コンプライアンス上の課題や新たなサイバーセキュリティの脅威を導入している」と指摘する。
彼はこう付け加える。「ステークホルダーは、組織がプライバシーとデータを保護することを信頼しており、そうしたステークホルダーは、組織の個人を含む組織に責任を求めるようになってきている。強力なGRCフレームワークは企業の責任を支え、ひいては投資家の信頼と財務の安定性を高める。」
それでも、多くの組織はまだGRC能力を構築中である。
組織のリスク・コンプライアンス・プログラムに影響力を持っているか、管理している世界中の1,300人以上の回答者を対象とした2023年の調査では、自社のプログラムが成熟していると評価したのはわずか53%だった。さらに、GRCソフトウェアメーカーのNAVEXが発表した「リスクとコンプライアンスの現状レポート」によると、20%が自社のプログラムを初期段階と評価している。
GRCが意味するものを分解する
GRCの各要素には、以下のような目的とプロセスがある。
ガバナンス: GRCのガバナンスの側面は、組織の確立されたリスク・パラメータとコンプライアンス・ニーズを遵守しながら、ITオペレーションの管理などの組織活動が、組織のビジネス目標をサポートする方法で整合することを保証することを目的としている。
FTIコンサルティングのシニア・マネジング・ディレクター、ティルシア・トレドは言う。「ガバナンスとは、誰がその部屋にいて、何をすることが許され、何をしないことが許されるのか、彼らが依拠するデータは何なのか、そして彼らの行動はどのような順序で行われるのか、ということである」。
トレドによれば、ガバナンスは組織内の複数のレベルに適用され、取締役会、経営陣、従業員がルールを理解し、ルールに従い、従わない場合はその結果に直面することを保証する。
リスク:GRCのリスク管理要素は、組織の活動に関連するあらゆるリスクが特定され、組織のビジネス目標をサポートする方法で対処されることを保証する。ITの文脈では、これは組織のエンタープライズ・リスク管理機能と連携する包括的なITリスク管理プロセスを持つことを意味する。
リスクは、組織のリスク選好度(リスク選好度とは、組織が許容できるリスクと許容できないリスクを設定し、残存リスク、すなわち許容できないリスクに対するコントロールが実施された後でも残るリスクを管理することである。
「リスクとは、組織がどこでプレーしたいのか、どこでプレーしたくないのかということである。リスクとは、組織が遊びたいところと遊びたくないところの境界線のことである」とトレドは言い、企業リスクは常に進化していると指摘する。
コンプライアンス: GRCにおけるコンプライアンス機能とは、組織の活動が、その活動に関連する法律や規制に適合した形で行われていることを確認することである。例えば、ITシステムとそのシステムに含まれるデータが適切に使用され、保護されていることを確認することを意味する。
コンプライアンスには、組織が戦略を実行する際に従わなければならない法律や規制が含まれる、とトレドは説明する。「言い換えれば、ビジネスが運営される法律や規制環境とは何かということだ。
ガバナンス、リスク、コンプライアンスはそれぞれ特定の要件に焦点を当てているが、トレドによれば、これらは重複しており、連携しているという。例えば、リスク部門はガバナンスの実践に依存し、統制を実施することでリスクを軽減し、組織のリスク境界を逸脱する行為があれば上司に警告する。
デジタル時代におけるGRCの戦略的性質
ガバナンス、リスク、コンプライアンスは、組織が成功するための長年の要素であったが、企業幹部やGRCの専門家によると、グローバルに接続されていることが例外ではなく標準となっているデジタル時代においてビジネスを行うことの複雑さが増しているため、GRCは組織にとってより最優先事項となっているという。
サイバー攻撃やデータ漏洩といった現代の脅威は、すべての組織における強力なGRC戦略の必要性を高めており、データの保護と安全確保に関する法律や規制の増加も、成熟したGRC機能を持つことを組織にプレッシャーをかけている。サイバー攻撃に成功したり、保有するデータの保護に失敗したりした組織は、壊滅的とまではいかなくても、重大な結果を招く可能性があるからだ。
「GRCは戦略的なものであり、それが適切に機能していれば、組織を守ることができるからだ。なぜなら、GRCが適切に機能していれば、組織を保護し、強固な評判などを維持することができるからです」とトレドは言う。
企業におけるGRCの仕組み
企業運営の他の部分と同様に、GRCは人、プロセス、テクノロジーの組み合わせで構成される。
ISACAロンドン支部の理事会副会長であり、ISACA Emerging Trends Working Groupのメンバーであるアメート・ジュグナウト氏によると、効果的なGRCプログラムを実施するために、企業のリーダーはまず自社のビジネス、ミッション、目標を理解しなければならない。
経営幹部は次に、組織が満たさなければならない法的・規制的要件を特定し、組織が活動する環境に基づいて組織のリスクプロファイルを確立しなければならない、と彼は言う。
「ビジネス、ビジネス環境(内部および外部)、リスク選好度、そして政府が何を達成することを望んでいるかを理解する。そのすべてがGRCを設定するのです」と彼は付け加える。
これらの活動を主導する役割は、組織によって異なる。中規模から大規模の組織では、一般的にCレベルの幹部、すなわち最高ガバナンス責任者、最高リスク責任者、最高コンプライアンス責任者がこれらの業務を監督している、とマッキーは言う。これらのエグゼクティブは、専任チームを擁するリスク部門やコンプライアンス部門を率いている。
中小企業では通常、GRCの責任を取締役や管理職(コンプライアンス・マネージャーやリスク管理ディレクター)に負わせるか、他の経営幹部にGRCの責任を負わせることがある。
GRCの役割と責任
スタンレー氏によると、GRC は多くの場合、リーダーシップのトップ層からカスケードダウンしており、役割と責任は以下のように分かれている:
取締役会:方針および戦略的決定の監督と承認を行う。
最高経営責任者(CEO):リーダーシップを発揮し、GRCの取り組みに十分なリソースを確保する。
最高リスク管理責任者:リスクの評価や取締役会および経営陣への報告など、リスク管理の取り組みにリーダーシップを発揮する。
チーフ・コンプライアンス・オフィサー:コンプライアンスの監督、コンプライアンスに関するトレーニングやコミュニケーションを提供する。
CIO/CTO:テクノロジーとデジタル資産のリスク管理、IT全般のコンプライアンスとセキュリティを提供する。
CFO(最高財務責任者):財務規制の遵守と報告、および組織の財務に関するリスク管理を行う。
法務: 法的リスクを管理しながら、あらゆる法的要件へのコンプライアンスを提供する。
人事部:許可された使用ポリシーや従業員の行動ポリシーなど、人事関連のGRCポリシーを実施する。
IT部門: ポリシーとコントロールによりデータ保護とセキュリティを提供する
部門長:各部門内でGRCプロセスと統制を実施し、部門固有のリスクを特定・管理する。
内部監査:独立した評価と改善勧告を行う。
従業員:ポリシーを遵守し、リスクやコンプライアンス上の問題があれば報告する。
「また、特定のGRCイニシアチブのために、さまざまな部門の専門知識を結集した部門横断的なGRCチームも設立されている」とスタンレー氏は付け加える。
それでも、GRCの責任と説明責任は共有され、多くの場合、組織の最高レベルまで巻き上げられ、CEOが最終的な責任と説明責任を負うと専門家は言う。
GRCの資格
GRCの専門家には様々な学歴や職歴があるが、多くはリスク、コンプライアンス、ガバナンスに焦点を当てた以下のような資格を取得している。
ISACA認定情報セキュリティ・マネージャー(CISM)
ISACA認定リスク・情報システム管理者(CRISC)
ISACA認定情報システム監査人(CISA)
ISC2ガバナンス・リスク・コンプライアンス認定資格(CGRC)
OCEG GRCプロフェッショナル(GRCP)
OCEG GRCオーディター(GRCA)
その他、コンプライアンスに重点を置いた内部監査人協会(Institute of Internal Auditors)の公認内部監査人(CIA)資格、リスクに重点を置いたリスク管理保証資格(CRMA)などがある。
GRCフレームワーク
GRCリーダーは通常、GRCの職務を整理し、実行するためにフレームワークを使用する。GRCフレームワークは、他のフレームワークと同様に、組織のGRCの取り組みの有効性を照らす明確に定義された測定基準を指定し、組織が環境に合わせて調整できる(調整すべき)ビルディング・ブロックを提供する。
フレームワークには以下が含まれる:
ISACAのITガバナンスのためのCOBIT
ISACAのITリスクフレームワーク
内部統制に関するCOSO
各種NISTフレームワークおよび標準
GRCソフトウェア
GRC ソフトウェアは、組織がポリシーとコントロールを作成および調整し、規制および内部コンプライアンス要件にマッピングできるようにすることで、企業の GRC プログラムもサポートする。
通常、サブスクリプションベースの SaaS として提供されるこれらのソフトウェア・オプションは、多くのプロセスを自動化し、効率を高め、複雑さを軽減する。
GRC 文化
フレームワークは、組織が強固なGRCプログラムを確立するのに役立ち、GRCソフトウェアはそれを可能にするのに役立つが、そのようなフレームワークに含まれる意思決定、リソースおよびポートフォリオ管理、リスク管理、および規制コンプライアンス機能は、組織のエグゼクティブ・リーダーシップも文化的な変化をサポートしない限り、効果的ではない。
IT Governance