財務・経営リスクの対策や内部監査、委託先管理の効率化を図りたい企業の管理部門担当者へ。GRCツールの機能や選び方、比較のポイントとあわせて、おすすめのツールを紹介します。
“GRCツール”の 一括資料ダウンロードする(無料)
GRCツールとは、企業のガバナンス(Governance)、リスクマネジメント(Risk management)、コンプライアンス(Compliance)に関する管理を効率化するツールです。リスク管理や各種法規制への対応を効率化し、組織の経営安定をサポート。企業の持つ情報資産を分析・評価して、企業全体のリスクを洗い出し、内部統制強化につなげます。
なお今回の記事では、一般的な定義に従ってGRCを以下の意味で用います。
| ガバナンス | 組織の不正を未然に防ぐための監視・統制 |
|---|---|
| リスクマネジメント | リスクの把握と対応策の検討により、損失の回避・軽減を図る活動 |
| コンプライアンス | 法規制や社内規定、倫理などの規則遵守 |
従来、企業のガバナンス、リスクマネジメント、コンプライアンスは、各部門の担当者が個別にリスクや法規制への対応を行うのが一般的でした。しかし昨今では、海外へのビジネス展開やM&Aを積極的に行う企業の増加に伴い、リスクの複雑化・多様化が課題に。部門をまたいでリスクが発生する可能性も増え、個別での対策では解決が難しくなっています。
事業拡大によりベンダーなどの業務委託先が増えた場合にも、委託先の更なるガバナンス強化が求められます。加えて、年々法規制や条例は厳しくなっており、企業側は新たな法案が制定されるたびにコンプライアンス体制を見直さなければなりません。
このような時代の変化から、リスク、コンプライアンスの横断的管理、ガバナンス強化を一括して図るために注目されているのがGRCツールです。GRCツールによって、企業の営業・製造・財務など各領域の日々の事業活動データを包括的に収集、分析が可能。データに潜んでいるリスクの懸念や、企業経営に重大な影響を及ぼす可能性がある情報も即座に抽出でき、改善策の検討・実行をスムーズに行えます。
欧米では、2002年のSOX法(虚偽の財務報告の防止を目的とした法律)制定と合わせてGRCツールが普及。SOX法の日本版であるJ-SOX法が2007年に制定されたのをきっかけに、日本でもGRCツールの必要性が高まっています。
GRCツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“GRCツール”の 一括資料ダウンロードする(無料)
ツールによって差はありますが、GRCツールには主に以下の機能が搭載されています。
自社で利用しているコンピューターや各種ITシステムと連携して、GRC活動を実施するために必要なデータを自動収集します。具体的には次のようなデータを収集可能です。
| 従業員が使うPCとの連携 | アクセスログやイベントログを収集 |
|---|---|
| ERPとの連携 | 会計・財務、人事・給与、販売、在庫、生産管理など、企業の基幹となる情報を収集 |
| CRM、BPMとの連携 | 顧客情報やワークフロー関連の情報を収集 |
収集したデータを、J-SOX法や改正個人情報保護法などの関連法規、社内規定やセキュリティポリシーと照らし合わせて分析・評価します。
リスクが発生した場合に想定される財務損失や業務停止、信用失墜など、経営への影響度をグラフで可視化。中には、リスクの発生可能性と影響の大きさを視覚的に示す「リスクヒートマップ」機能を備えたツールもあり、優先して対処すべきリスクを直感的に把握でき、対応の迅速化に役立ちます。
アラート機能では、事前にリスクとなり得るデータや法令違反を登録しておくだけで、該当する事象が発生した際に自動で通知されます。
たとえば、委託先業者のリスク管理において、パフォーマンスの異常を検知した場合には所管部署へ即時にアラートが送られ、部署から委託先へ迅速に是正対応を促す体制づくりを支援します。
プラットフォーム上で、各部署が抱えるリスクや課題への対応状況を一元管理できます。内部監査後の指摘事項やその改善状況は、ダッシュボード上に表やグラフで可視化され、監査員はそのデータをもとに担当部署へリマインドやフォローを行うことが可能です。
ダッシュボード上のデータをレポート形式で出力できるほか、内部監査後の調書や監査報告書も簡単に作成できます。ツールに入力した情報が所定のフォーマットに自動反映されるため、監査員が内容を一から入力する手間を省き、効率的に資料を作成できます。
GRCツールは、主に以下の目的達成のために利用されています。
| データのモニタリング |
|
|---|---|
| 不正行為の予兆調査 |
|
| 企業のコンプライアンス保持 |
|
| インシデント発生状況の可視化 |
|
|---|---|
| インシデント発生から対処までの体制構築 |
|
| 業務記述書の作成業務 |
|
|---|---|
| フローチャートの作成業務 |
|
| リスクコントロールマトリックスの作成業務 |
|
| 委託先の情報管理 |
|
|---|---|
| モニタリング |
|
| 内部監査体制の整備 |
|
|---|---|
| 実施の効率化 |
|
| IT資産管理 |
|
|---|---|
| 特権ID管理 |
|
GRCツールの導入により、大きく4つのメリットが生じます。
GRCツールであれば、企業の事業活動に関わる膨大なデータの集約・チェックの自動化が可能に。従来のように、部門ごとに専用ツールを導入する必要も、コンプライアンスに抵触するデータ、リスクになりうるデータを目視で洗い出す負担もなくなります。
リスクやコンプライアンス情報を組織全体で共有できるようになるため、経営陣の意思決定がスムーズになるうえ、企業経営における透明性・信頼性も確保できます。従業員一人ひとりのコンプライアンスに対する意識の向上も期待できるでしょう。
リスクを客観的に、目に見える形で分析できるのもGRCツールの利点です。ツールによって、自社の事業部単位だけでなく、プロジェクト単位、子会社、委託先など様々な場面で「いつ・どの場面で・何のリスクが・どれくらいの影響を及ぼす可能性があるか」を可視化できます。
リスクヒートマップ機能を備えたツールを使えば、各種リスクがビジネスに影響を及ぼす程度や可能性もわかります。企業側はリスク回避・低減だけでなく、影響度の低いリスクに関しては「受容」といった結論も選択肢の一つに。状況に応じて適切に意思決定できます。
これまで対応が困難だった領域の、リスク管理に着手しやすくなります。ツールが点検シートの作成や共有、各委託先の結果集計作業を効率化するため、委託先管理に十分なリソースが割けなかった場合でも、取り組みやすくなります。
中には、自然災害・労働災害・国際貿易におけるリスクや、サイバーセキュリティ脅威など、より広義のリスクに対応できるツールもあります。
1〜3のメリットを享受することで、企業側は様々なリスクを想定したうえで、事業計画策定、KPI・KGIの設定ができるように。もしもリスクが発生しても、予測をもとに素早い対処が可能です。GRC活動におけるPDCAサイクルを円滑に回して、健全な企業活動を維持できます。
GRCツールは、多様な目的・用途で利用できる「総合型」と、一部の目的での利用に特化した「特化型」に大別できます。具体的なサービス例とともに紹介します。
内部監査や委託先管理など、様々な用途に対応したタイプ。「リスク管理」「内部監査管理」など用途別に分かれたソフトを必要に応じて選び、導入する仕組みです。あらゆる領域でGRC活動を進めていきたい企業に適しています。
たとえば「RSA ARCHER」のリスク管理ソフトは、経営陣がリスク認識を社内に広げていく「トップダウン型」と、各事業部署が進んでリスクの抽出や評価、対策計画を打ち出す「ボトムアップ型」、双方のアプローチに向けた機能を装備。合理的なリスク管理の体制を構築できます。
「Diligent」では、内部監査管理を支援するモバイルアプリを提供。オフライン環境で利用でき、電波の届かない場所でも内部監査を効率的に実施できます。
一部の用途にのみ対応したタイプ。課題としている業務をピンポイントで解決したい場合におすすめです。
たとえば「Conoris BP」や「VendorTrustLink」は、外部委託先・取引先のセキュリティ調査や、定期点検の管理効率化に特化。煩雑になりがちな委託先とのコミュニケーションをツール内で完結でき、委託先調査のためのチェックシートも手間なく回収できます。
「Supplier Risk MT」は、委託情報の一元管理や定期点検のWeb実施に加えて、データ分析・可視化機能が充実。様々なセキュリティリスクをビジュアル化し、取引先間で起こりうるリスクなどをスムーズに把握して、素早い対策につなげます。
そのほか、「LMIS」は、ヘルプデスク経由のインシデント管理効率化を実現。ヘルプデスクに入る膨大な問い合わせのうち、インシデントに該当する案件を自動で振り分けて、早期解決を実現します。「SMART Gateway」は、システムのアカウント作成・削除や設定変更ができる特権ID管理が強み。特権IDの利用を可視化して不正利用を防止するため、内部監査にも効果的です。
IaaSのようにシステム開発に必要なインフラ基盤をクラウド上で提供する場合、自社で定めたポリシーに準拠するようデータを自動で精査したり、一元管理できたりすると便利です。たとえば「Microsoft Azure」の場合は、「Azure Policy」にてポリシーに準拠していないデータを発見し次第、次のアクションを制御。取引先と交わしたルールをポリシーに反映させておけば、準拠しないシステムの納品や運用を防げます。
GRCツールを選ぶうえで、比較検討すべきポイントを3点紹介します。
総合型GRCツールの多くは「リスク管理」や「内部監査管理」に対応しています。そのほかに対策したい課題や業務があれば、対応した機能やソフトが備わっているかをチェックしましょう。
「ServiceNow」では、近年話題の「ESG経営」のレポート作成をサポート。たとえば従業員が遠方に出張した場合、距離を入力するだけで温室効果ガスの排出量を自動計算します。計算や抽出に手間がかかるESGレポートを簡単に出力し、企業活動における環境への配慮度合いを可視化します。
「RSA ARCHER」は、万が一災害が起きた場合の、事業の継続性と復旧計画の立案を支援するソリューションを搭載。「SAP」は貿易業務の効率化とコンプライアンスの強化に対応しており、海外取引の多い企業や、海外に拠点を持つ企業におすすめです。
「Diligent」は、内部通報窓口を通じて通報された事案から、不正行為の予兆を調査・管理。事業活動データだけでなく、従業員の声も拾い上げて的確に調査でき、不正防止につなげます。
自社で対応すべき法令や、ポリシーに準拠した機能が備わっているかもチェックポイント。たとえば、事業をグローバル展開している企業の場合、各国で異なる法規制への複雑な対応が必要です。
ユーロプライバシーパートナーとしてのノウハウを活かした「SAP」では、データプライバシーの規制管理に特化した「SAP Privacy Governance」を提供。EUの一般データ保護規則「GDPR」を遵守した体制を構築しやすいのがポイントです。GDPRに加えて、米国の「CCPA」に対応した「Connected Risk™」のようなツールもあります。
自社の環境に即したダッシュボードを構築することで、様々な観点でのリスクチェックが可能になります。たとえば「ServiceNow」は、ダッシュボードを柔軟にカスタマイズできるのが特徴。ヒートマップ機能のほかに、リスクの存在を「IT資産」「オペレーション」など潜在場所ごとに棒グラフやバブルグラフで表示する機能などもあり、多角的な分析が実現します。
また、「ServiceNow」といった総合型GRCツールの多くは、各リスクの内容を自動でスコアリングし、リスクの可視化と課題の優先順位づけができる機能を備えています。より自社の業態に即したリスク管理を行いたい場合は、スコアリングの基準をカスタマイズできるツールがおすすめです。
ここからは、2つのタイプごとにおすすめのGRCツールを紹介します。
まずは、様々な用途に対応する総合型のGRCツールから紹介します。
(出所:ServiceNow公式Webサイト)
エンタープライズ向けのクラウドプラットフォーム。企業独自のビジネスモデルやセキュリティ要件に基づき、アプリやデータベースを単一プラットフォーム上でシームレスに運用可能。ITサービスや運用管理、カスタマーサービス、人材管理、セキュリティ運用、リスク・コンプライアンスなど多様な用途に対応する。
業務プロセスやシステムの情報を統合し、リスクの可視化やレジリエンス向上を実現。ポリシー違反を自動監視し、発見時はAIが対応部署を特定。リスクをスコア化し、優先順位に応じた対応をサジェストする。内部監査計画や改善管理、ESGレポート作成、KPIによる業務改善状況のモニタリング、ボトルネックの発見、情報開示まで幅広く支援する。
(出所:RSA ARCHER公式Webサイト)
GRCに関わるモジュールを30種類以上搭載し、リスク、コンプライアンスなど7つの領域の管理を効率化する統合型リスク管理ソリューション。企業全体のリスクを記録・追跡・評価する「リスクカタログ」など、豊富な機能が強み。
「トップダウン型」「ボトムアップ型」それぞれのアプローチに対応。前者では各リスクと影響のありそうな業務プロセスをマッピングして、意思決定に役立てる。後者のアプローチには、各事業部署が優先着手すべきリスクの抽出や評価、対策計画を打ち出しやすい機能が有効。従業員への利用制限など制御が必要なIT資産のポリシー文書化のサポートや、IT資産を自動監視して不正利用や脆弱性を検知する機能も付随している。
災害時の事業の継続性と、復旧計画の立案を支援するソリューションも搭載。不測の事態に備えた体制整備に役立つ。
(出所:Diligent公式Webサイト)
内部監査、コンプライアンスなど、複数の領域で企業のGRC活動を推進するツール。特に内部監査管理を支援する機能が充実しており、オフラインで利用できるモバイルアプリで、監査実施から報告書作成まで実行できる。監査終了後は、ダッシュボードですべての監査の結果や改善計画、進捗状況をリアルタイムで可視化。監査レポートもワンクリックで出力できる。
導入企業で適用する法規制やポリシーを照らし合わせ、各事業が受ける規制の影響度の測定も可能。影響度の数値によって、優先的に改革を進めるべき事業を見分けられる。
内部通報窓口を通じて通報された事案から、不正行為の予兆の調査管理が可能。事業活動データに加え、従業員の声も拾い上げて的確に調査し、不正を防止する。
(出所:SAP公式Webサイト)
ERP市場で高シェアを誇るSAP社のGRCツール。用途ごとに複数のツールに分かれており、リスク管理においては、リスクと事象の関係性の特定や、リスクの軽減措置の文書化を支援する機能を搭載。ワークフローにリスク管理のプロセスガイドを設定でき、ガバナンスの徹底を図りやすい。委託先業者への資材注文から支払いのプロセスに異常がないかを、高速スクリーニングすることも可能。
同社は欧州のプライバシーパートナーに指名されており、GDPRを遵守した体制を構築しやすい。ほかにも、財務レポートの出力支援など財務面に注視して作られた「SAP Financial Compliance Management」や、貿易など国際取引のコンプライアンス強化を図る「SAP Global Trade Services」など、特定の領域をカバーするソフトが多いのが特徴。
(出所:Connected Risk™公式Webサイト)
GRC関連業務を一元管理して、企業の健全な経営を促すツール。J-SOX法専用の「J-SOXコンプライアンス・マネジメント」では、連携しているデータをいつ・誰が・何を変更したかのログを記録可能。J-SOXと照らし合わせて違反を見つけやすいほか、監査時に提出するエビデンスとしても役立つ。GDPRやCCPAを含むデータプライバシー規則の作成、監督、追跡や、GDPRに則りデータ保護影響評価(DPIA)を行うための質問票を作成・共有・集計する機能もそろう。ほか、SOX法専用マネジメントツールも提供。
プラットフォームはシンプルなUIで構成されており、操作性が高い。すべてのデータはPDFやWord、Excel形式でエクスポートでき、データ共有やレポーティングが容易。監査法人向けの業務マネジメントツールも用意している。
続いて、一部の用途に対応する特化型のGRCツールを紹介します。
“GRCツール”の 一括資料ダウンロードする(無料)
(出所:Conoris BP公式Webサイト)
AIを用いて効率的な外部委託先管理を実現するGRCツール。AIが委託先から受領した調査票を分析し、リスクがある項目を自動抽出する「AIレビューアシスト」機能を搭載。委託先の妥当性判断に必要な情報を一覧化して、迅速な判断につなげる。
委託先と自社の委託先管理者をはじめ、関係者とのやりとりはプラットフォーム内で完結。毎年実施する委託先調査のための点検シートをツール内のワークフローで回付・集計できるため、2年目以降のチェック作業を効率化できる。
点検シートのチェック項目がクラウド上で自由にカスタマイズできる点も魅力。点検シートの作成・集計作業は各会社単位、プロジェクト単位で行えるため、多数のグループ企業や進行中のプロジェクトを抱えている企業でも管理がしやすい。
料金は管理企業数によって変動。Webサービスリスク評価・運用管理サービス「Conoris」も提供している。
(出所:LMIS公式Webサイト)
世界標準のITサービスマネジメントガイドライン「ITIL」に準拠したGRCツール。ヘルプデスクに電話が入った段階でシステムと電話が連携(CTI連携)。インシデントに該当する案件を自動で振り分け、ヘルプデスク経由のインシデント管理を効率化する。
エンドユーザーからの問い合わせ内容をダッシュボードに集約して、社内の担当部署へスムーズに共有するなど、ヘルプデスク業務の支援機能も充実。Salesforce基盤の検索機能を活用して対応履歴をスピーディーに確認できるなど、インシデント管理や対応品質の標準化につながる機能が多数そろう。
契約は年単位で、25ユーザーから利用可能。ユーザー数が増えるごとに、月額4,000円/ユーザーが追加で必要になる。
(出所:VendorTrustLink公式Webサイト)
委託先や取引先に関するリスクを認識、分析、評価、対策し、継続的なリスク管理体制構築につなげるツール。リスクマネジメントの国際ガイドラインに準拠し、サプライチェーンマネジメントや人権デューデリジェンスにも活用されている。
委託先へのチェックシートの送信、結果のグラフ化といった一連の業務を自動化。外部委託先や取引先に関連するセキュリティリスクや重要度、個人情報、関連書類などを、ダッシュボード上で一元的に管理・可視化できる。
チェックシートの評価結果も紐づいており、項目ごとの点数や状況をレーダーチャートやグラフで可視化できるため、委託先の比較が容易。
リスク評価に用いるチェックシートは選択式、自由記述、必須回答項目、配点、画像/動画の挿入など自由にカスタマイズが可能。複数の委託先に一斉に自動送信できるため、工数削減にも役立つ。
(出所:Supplier Risk MT公式Webサイト)
委託先に関するリスクを、視覚的に把握できる委託先管理ツール。外部委託に関するあらゆる情報の一元化に対応しているため、組織全体のデータベースとして活用できる。蓄積したデータは、ダッシュボードから多角的な視点でチェック可能。「委託階層のツリー表示」や「個別点検結果のレーダーチャート表示」など、確認事項に合った表示形式でリスクを可視化し、効率的な取引先の見直し・評価や適切な経営判断をサポートする。
ガバナンス強化に役立つ「社内外のユーザー権限管理」や、収集・集計業務の負担を軽減する「Webでの自己点検実施」にも対応。委託先管理にかかる工数や状況把握の手間を削減できる。
(出所:SMART Gateway公式Webサイト)
特権ID管理に強みを持つ内部統制ツール。アカウントの作成・削除や設定変更など、システム利用において強大な権限を持つ特権IDについて、「誰がどの権限を持っているのか」「どのシステムにいつアクセスしたか」「どのような行動を行ったのか」を一元管理する。情報漏えいや不正アクセスの際の原因究明や早期対策、内部監査などに有効。
ID管理システムとしても有能で、企業が導入しているすべてのシステムのIDを集約して、IDの付与、アクセス制御など、煩雑になりがちなID管理業務を一元化。
「操作ログ管理」機能では、従業員一人ひとりのログイン・ログオフ、ファイル操作など様々なアクションを記録する。リモートワークの拡大などで監視対象の機器が増えても全部のアクセス履歴を管理できるので、内部不正の追跡や情報漏えいなどのリスク防止につなげやすい。
オンプレミス・クラウド双方あり、自社の環境に応じて選べる。
(出所:Azure Policy公式Webサイト)
IaaSプラットフォーム「Azure」内のデータを、自社で定めたポリシーに準拠するよう精査、管理できるツール。Azure内のデータにポリシーを割り当て、準拠しているかを24時間ごとに確認して評価する。準拠していない箇所には「データが起こすアクションをブロック」「ポリシーに準拠する関連データを提案」などの対策により、次のアクションを制御できる。
たとえば取引先と交わした決めごとなど、特定のルールをポリシーに反映させておけば、ポリシーに準拠していない制作物を納品するリスクを抑えられる。ポリシーを割り当てる範囲は、全データのうち特定の領域に絞ることも可能。
Azureユーザーは無料で利用可能。
企業のガバナンス(Governance)、リスクマネジメント(Risk management)、コンプライアンス(Compliance)に関する管理を効率化するGRCツール。2007年に日本で制定された「J-SOX法」に即し、リスク、コンプライアンスの横断的管理、ガバナンス強化を一括して図るためのツールとして導入が進んでいます。
GRCツールは、主な機能として、「データの収集」「データの分析・評価」「アラート」「進捗管理」「レポート作成」を搭載。これらの機能を活用し、「コンプライアンス管理」「インシデント管理」「内部統制ルール文書化・評価」「委託先管理」「内部監査管理」「IT全般統制管理」などの目的で利用されています。
GRCツールの導入により、大きく4つのメリットが生じます。
GRCツールは、多様な目的・用途で利用できる「総合型」と、一部の目的での利用に特化した「特化型」の2タイプに大別できます。以下の3つの比較ポイントと合わせて検討することで、自社に適したツールが絞り込めます。
GRCツールでリスクを管理し、トラブルを早期発見・対策することで、組織全体の運営改善が見込めます。この機会に導入してみてはいかがでしょうか。
GRCツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“GRCツール”の 一括資料ダウンロードする(無料)
株式会社Conoris Technologies
委託先・再委託企業審査における調査票の回収・審査を同一プラットフォームで完結できる委託先管理ツール。2年目以降の定期点検業務も効率化。取引先50社以上におすすめ...
株式会社ユニリタ
ヘルプデスク機能を中心としたクラウドサービスです。顧客に提供するサービスを適切にマネジメントし、課題解決と継続的なカイゼンを実現します。...
株式会社GRCS
外部委託に関するあらゆる情報を一元管理でき、データベースとしても活用できるツール。セキュリティリスクを図や数値で分かりやすく可視化し、効率的な判断・評価をサポー...
株式会社アトミテック
委託先リスク管理をSaasでDX!委託先へのチェックシートの自動送信・回収・結果をグラフ化。情報漏洩・コンプライアンス違反など、委託先における様々なリスクを効率...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
