PR
有限責任監査法人トーマツ
デロイト トーマツリスクサービス
GRC推進担当マネジャー
渡部 豊

 本連載では、日本企業が「GRC(ガバナンス、リスク、コンプライアンス)」にどのように取り組むべきかについて、企業が直面するリスク事象への対応策を含めて全体像を説明している。

 連載第1回(リスクマネジメントはなぜ機能しないのか?)と第2回(リスクの質の変化を見極めよ)では、日本企業におけるリスクマネジメントが適切に機能していない状況と、グローバル化や多角化など経営環境がめまぐるしく変わるなかで、企業が対応すべきリスクが質的に変化している状況について説明した。

 企業は今、従来では考えられなかったリスクに留意し、対応策を講じていく必要がある。従来のように、企業を取り巻くリスクの一つひとつについて、影響度と発生可能性を考えるだけでは十分でない。それぞれのリスクの相関関係を念頭に置いて影響度分析やシナリオ分析を実施しなければならない。

 加えて、インターネットやソーシャルメディアなどの普及により、企業の説明責任が増加している。この対応策として、従来よりもより迅速に、かつ世界的な規模で網羅的にリスク事象を捕捉する必要がある。ここまでが前回までで指摘した内容である。

新たなリスク対応策を打ち出すのは困難か?

 本連載をここまで読まれた方は、以下のような疑問を持つかもしれない。

自社をとりまくリスクの質が変化し、何らかの対応策を採るのが喫緊の課題であることは理解している。しかし、当社はすでに各種法規制対応や情報セキュリティ対策、事業継続計画など、さまざまなリスクに対する取り組みを実施している。これらの対応策の実施と運用に相当な額を投資してきた。昨今の厳しい経営環境において、これまでの取り組みに加えて、新たな対応策を実施せよと言われても、それは困難ではないか。

 確かに、ゼロから新たなリスク対応の仕組みを作りだすのは多大な労力がかかるだろう。そこで注目していただきたいのが、「GRC(ガバナンス、リスク、コンプライアンス)」と呼ばれる対応策である。いま米国を中心に海外の多くの企業がGRCに注目をしている。その効果を享受している事例も登場しつつある。

 本連載はここから、米国企業を中心とした市場動向や先進事例を踏まえつつ、日本企業がGRCに取り組むにあたってのポイントについて解説していくことにしたい。今回はGRCとは何かを改めて説明するとともに、米国企業におけるGRCの活用動向を見ていく。文中意見に関する記述は筆者の私見であり、所属する法人などの公式見解ではないことを、あらかじめご了解いただきたい。