リスクマネジメント リスクマネジメント記事一覧へ

[GRCの基本とツール活用の奨め]

GRCの実践アプローチ、適切なツールの活用が成功への道

2016年6月21日(火)榎本 司(NANAROQ 執行役員兼COO) 森本 親治(NANAROQ GRCエグゼクティブディレクター)

前回、「事業活動とGRC(Governance、Risk Management、Compliance)は、食生活と健康管理の関係によく似ている」ことを示しました。実践しなければ中長期的に事業継続が難しくなることだけでなく、競争力強化に有用であることも意味しているます。ではどうGRCに取り組めば良いのでしょうか?今回は、リスクや管理項目の洗い出し、ツールの選定というステップについて解説します。

 前回、リスク管理を統合的に行うGRC(Governance、Risk Management、Compliance)の必要性と意義を説明しました。少しだけ復習すると、GRCは企業が永続的に成功し続けるために、より効果的に組織を運営し、効果的な情報の共有を可能にし、より効果的な報告行為を実践し、あるいは無駄な重複を排除するための処方箋です。ですから“管理のための管理”や“明確な意味や目的のない報告”などとは異なります。

 このようなGRCは経営者が事業遂行に伴うリスク全体を統合管理することから、現在は「eGRC:enterprise GRC」と呼ばれます。一方でGRCには企業情報システムのためのアプローチもあり、これはIT GRCと呼ばれています。ことさらIT GRCがある理由は何でしょうか?企業経営や事業に占める情報システムの役割が年々大きくなり、同時にそのリスクも拡大しているというのが、その答です。

 例えば業務継続リスクやセキュリティリスクを考えましょう。人や建物に関わることも重要ですが、これらは目に見えやすいこともあって、ある程度のリスク管理は以前から行われてきています。となれば情報システムが、マネージするべき大きなリスク要因であることは明らかでしょう。特に金融業や通信業、運輸やエネルギー業においては、情報システムは重要で経営に及ぼす影響も大きなものがあります。こうした業種ではeGRCの相当部分をIT GRCが占めるという側面もあります。

 もちろん製造業やサービス業でも、そうした傾向が強まっています。ITの経営に及ぼす影響が大きくなり、ITに起因するリスクが他のリスクと相互に連鎖したりもします。企業にとってITは経営や事業の道具であり、武器でもありますが、同時にリスクでもあるわけです。情報システム部門から見れば、主管する情報システムを効果的に構築・運営するための処方箋がIT GRCということになります。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】PDCAサイクルを確立する
  • 1
  • 2
  • 3
バックナンバー
GRCの基本とツール活用の奨め一覧へ
関連記事

GRCの実践アプローチ、適切なツールの活用が成功への道前回、「事業活動とGRC(Governance、Risk Management、Compliance)は、食生活と健康管理の関係によく似ている」ことを示しました。実践しなければ中長期的に事業継続が難しくなることだけでなく、競争力強化に有用であることも意味しているます。ではどうGRCに取り組めば良いのでしょうか?今回は、リスクや管理項目の洗い出し、ツールの選定というステップについて解説します。

PAGE TOP