GRC(GRCS)

GRCとは

GRCとは、「Governance・Risk・Compliance」の略であり、独立した3つの概念を統合的に全社統一で管理することで、効率的な企業経営を手助けするリスク管理のフレームワークです。
 
一般的に、Governanceとは、企業方針等を徹底し、組織としての目標を策定・達成する仕組みです。また、Riskとは、企業運営上のリスクを把握・管理する仕組み、Complianceとは、企業内での法規制・社内規定を準拠しているかの管理を行う仕組みです。GRCに取り組む事により企業内のリスク管理のレベルを向上させることができます。

なぜGRCが必要なのか

GRCが必要な理由は、ビジネス環境の変化による以下の3要因への迅速な対応が求められるからです。

 

  1. 1.企業買収等におけるグループ会社や委託先の拡大によるガバナンスの強化(Governance)
  2. 2.Global化や事業拡大に伴い、増加・多様化するリスク(Risk)
  3. 3.厳格化傾向のある法規制等への対応(Compliance)

 

現在のビジネス環境変化のスピードは速く、上記の3要因に求められる要件は目まぐるしく変化していきます。また、Governance・Risk・Complianceの3要因は密接に交わっており、相互作用関係にあります。そのために、現在の3要因が独立した管理体制では、現在のビジネス環境変化のスピードに対応することができないので、GRCを適切にマネジメントすることが企業経営に求められています。

GRCは誰が実行するのか

GRCを実行するのは、導入時は経営者及び経営幹部等の全部署の管理に跨る人材が望ましいです。
 
GRCを適切にマネジメントしていない企業では、個々で情報を管理しているので、縦串・横串共に情報の共有ができず、非効率な管理となっています。G/R/Cをそれぞれ独立した部署で管理していることも多く、問題に対しても都度対応するため、管理部署が複数に跨り、かつ階層も分化してしまう状況となっています。このG/R/Cを取り扱っている人が多岐に渡っており、統一的な管理を行っていない状況では、情報が細分化してしまい、リスク管理における方向転換等を迅速に行うことができなくなり、リスク管理としての機能を喪失してしまいます。
 
「なぜGRCが必要なのか」でもお話ししましたが、GRCは急速に変化するビジネス環境に対応するためのリスク管理のフレームワークであり、全社管理で行うものです。そのため、導入時は全体を管理する経営層が実行し、導入後は関連執行部門が連携して実行する必要性があります。

コーポレートガバナンスコードとGRCの関係

「コーポレートガバナンスコード」とは、Governanceの向上を目的に2015年に金融庁と東京証券取引所が共同で策定したものであり、2021年6月に改訂されました。企業がステークホルダーの立場を考慮し、迅速に公正な意思決定を行う仕組みです。
コーポレートガバナンスコードの基本原則は以下の5つです。

 

  1. 1.株主の権利・平等性の確保
  2. 2.株主以外のステークホルダーとの適切な共同
  3. 3.適切な情報開示と透明性の確保
  4. 4.取締役会等の責務
  5. 5.株主との会話

 

GRCを行うことはコーポレートガバナンスコードを準拠することと相関関係にあります。
 
GRCを行うことで、全社での内部状況を正確に把握し、リスク管理を徹底することで、適切な情報の公表が可能になります。また、コーポレートガバナンスコードにおける多様性の確保等によるRiskの増加はGRCを行うことで対応できます。その他の原則に関しても、コーポレートガバナンスコードとGRCでは相互関係にあります。

GRCにおけるセキュリティの問題

GRCにS(Security)を付記してGRCSと呼ぶこともあります。前述しているようにGRCとは、企業の方針・目標を策定し、リスクとなる要因を分析・管理し、ステークホルダーに準拠しているかを管理することで、目標を達成するフレームワークです。昨今のランサムウェアやDos攻撃、情報漏洩などのSecurityリスクは企業の事業継続における重大な脅威になっており、CISOを任命して経営がSecurityリスクをコントロールする態勢が必要になってきています。Securityも経営方針を定め、リスクを分析し対応することから、GRCと同様のアプローチであるといえます。
 
一方、違った意味でのSecurityの側面もあります。GRCは全社の情報を一元で管理するので、クラウド等のシステムに全ての情報が管理されます。そのため、社員による不正取引等が起こりやすくなるのです。これらを防ぐために、GRCを行う際は、アクセス権限の管理・セキュリティシステム等を導入するといった対策を行うことも欠かせません。

まとめ

今後、ビジネス環境の変化は加速すると考えられます。コーポレートガバナンスコードでも多様化の項目が追加された様に、企業の内部・外部環境共にますます変化していきます。現在の日本では、GRCはまだまだ進んでいませんが、一足早く導入することで企業運営を効率化し、今後の変化に備えることが求められているのです。