企業のポリシーや関連する法規制、経営に関わる数々のリスクを一元的に管理し、グループ経営の「守り」を支える──。こんな「GRC(ガバナンス・リスク・コンプライアンス)ソフト」が注目を集めつつある。事業のグローバル化により、手作業での対応が困難になっているからだ。日本で入手可能な製品は10を超えており、自社のニーズに合うものを選ぶ必要がある。
「GRC事業を開始した2009年以来、売り上げは年々倍増している。きっかけは企業のグローバル化だ」。GRC関連コンサルティングを手掛けるNANAROQの佐々木慈和社長兼CEOはこう語る。
GRCとは「ガバナンス(企業統治)」「リスク」「コンプライアンス(法令順守)」のこと(図1)。「ガバナンスは企業のルール、コンプライアンスは社会のルールと捉えると分かりやすい」(佐々木社長)。これらのルールに違反する可能性に加えて、企業経営に影響を与える様々なリスクを見極めたうえで、グループ全体で一元的に対応・管理するというのがGRCの考え方だ。
このGRCをITで支援するのがGRCソフトである(GRCプラットフォーム、eGRCとも呼ぶ)。GRCに関わる情報を一元管理し、リスクの状況を表示したり、原因の分析を支援したりする(図2)。日本では11社がGRCソフトを提供している(表)。
欧米では大手企業を中心に普及しているが、日本ではこれから。現状では、GRCへの取り組みを担当部門が個々に手作業で進めるケースが多い。
しかし、事業のグローバル化を機に日本でもGRCソフトの需要が高まりそうだ。海外拠点の設置や海外企業との買収・合弁会社設立により、海外拠点を含むグループ経営を効率よく進めるには、ガバナンス、リスク、コンプライアンスを総合的にITで支援する仕組みが必要になるからである。
GRCの作業を包括的に支援
GRCソフトは大きく四つに分類できる(図3)。「総合型」「ERP/BPM連携型」「用途特化型」「サービス一体型」である。
総合型は、GRCに関わる作業を包括して支援する。EMCジャパンが提供する「RSA ArchereGRC Suite」、日本IBMの「IBM OpenPages」、SAS Institute Japan の「SAS ENTERPRISE GRC」の3製品が該当する。
EMCジャパンのArcherを例に採ると、共通基盤の「Platform」のほか、ガバナンスやコンプライアンスのためのルールを策定・管理する「Policy Management」、リスクの管理や可視化を支援する「Risk Management」、ビジネスプロセス、組織階層、資産の関係を管理する「Enterprise Management(EM)」など9モジュールで構成する。
RSA事業本部マーケティング部の宮園充部長は、「EMを他のモジュールと組み合わせるケースが多い」と話す。EMを使うと、あるIT資産が災害で機能しなくなった場合に、どのプロセスに影響するかなどのリスク評価を実施できる。
日本IBMとSAS Institute JapanはBI(ビジネスインテリジェンス)製品との連携を強みとして打ち出す。日本IBMのOpenPagesはBIソフト「Cognos」を組み込み、情報を分析・表示できる。
SASのENTERPRISE GRCは、同社のビッグデータ分析用製品群「HPA(High-Performance Analytics)」と組み合わせて使える。「対象がグローバルになると、GRCデータは大量になる。その際にHPAは役立つ」(富田達也Risk Intelligenceグループ部長)。
自社のERP/BPM製品と連携
ERP/BPM連携型は、ERP(統合基幹業務システム)やBPM(ビジネス・フロセス・マネジメント)製品と密に連携する形でGRCを支援する。日本オラクルの「Oracle Fusion GRC」とSAPジャパンの「SAP Solutions for GRC」は自社のERP製品が対象。ソフトウェア・エー・ジーの「ARIS Risk & Compliance Manager」は自社のBPM製品「ARIS Platform」が対象となる。
日本オラクルとSAPジャパンのGRC製品が持つ機能は、総合型と遜色ない。(1)ID/アクセス管理用モジュール、(2)ビジネスプロセスに基づく業務処理統制用モジュール、(3)GRC全体を支援するモジュールで構成する。
オラクルのFusion GRCは、(2)と(3)、および情報を分析する仕組みを提供。(2)は「アプリケーションに対して決められた権限・プロセス通りにアクセスしているか、変更をしてないかなど、にらみを効かせる機能」(桜本利幸アプリケーション事業統括本部担当ディレクター)。(3)は「GRCの情報を共有し、PDCAを支援する」(同)。(1)は同社のミドルウエア群「Fusion Middleware」として提供する。
SAPのSolutions for GRCは(1)~(3)を提供するほか、「モバイル、インメモリーデータベース(DB)など新技術を積極的に採用している」(アナリティクスソリューション本部の中田淳部長)。スマートフォン向けアプリケーションとして、承認手続きをスマホから可能にする「GRC Access Approver」(図4)などを用意。加えて2013年中をめどに、(1)を支援するAccess Controlを同社のインメモリーDB「HANA」に対応させる。
クラウドで利用可能な製品も
GRCの用途を絞り込み、使い勝手や導入のしやすさを高めているのが用途特化型だ。BSIグループジャパンの「エントロピー ソフトウェア」、GRCジャパンの「Risk Organizer」、シマンテックの「Symantec Control Compliance Suite」が該当する。
BSIのエントロピーは、ISO9001(品質)や同14001(環境)、OHSAS 18001(労働安全衛生)といった規格に準拠した社内の仕組み作りを支援する。規格取得の活動を形骸化させず、PDCAを回す支援策の一環として、GRCの機能を提供する。クラウド型、オンプレミス(サーバー設置)型のいずれかで利用できる。
GRCジャパンのRisk Organizerは唯一の国産製品。対象をリスクマネジメントに絞り、クラウドサービスとして提供する。リスク項目ごとに、顕在化した場合の被害、確率を定義。「被害を『大・中・小』にざっくり分ける企業もあれば、『従業員一人あたりに換算した損失額』を細かく定義する企業もある。当社の製品はどちらにも対応できる」と真島俊明社長は話す。
シマンテックのControl Compliance Suiteは、主に情報システムのコンプライアンスに焦点を当てた製品だ。情報セキュリティ規格「ISO/ISE 27001」やITガバナンスのフレームワーク「COBIT」、カード業界のセキュリティ基準「PCI DSS」などにシステムが準拠しているかどうかを評価・モニタリングする。
コンサルや情報込みで提供
GRCソフトの分類の四つめであるサービス一体型は、コンサルティングや情報提供などのサービス込みで提供する製品である。プロティビティLLCの「プロティビティ・ガバナンス・ポータル」とトムソン・ロイター・マーケッツの「ACCELUS」が該当する。
コンサルティング会社であるプロティビティLLCは、同社のGRC関連コンサルティングサービスの一環としてガバナンス・ポータルを提供する。同時に、リスクマネジメントの際に設定するKRI(重要リスク指標)のサンプルを組み込むなど「製品にも当社のノウハウを生かしている」(藤原史人シニアマネージャ)。2013年中に、ITガバナンスや情報セキュリティなど用途を特化したガバナンス・ポータルを提供する。
トムソン・ロイター・マーケッツは「情報サービス会社としてグローバルに展開しており、企業のコンプライアンスを包括的に支援できるのが強み」(GRC事業部の和田雅憲事業開発部長)。
同社のACCELUSはGRCソフトに加えて、コンプライアンスに関するeラーニング、法規制情報の提供、顧客・取引先、買収相手が法規制に違反していないかを調べるスクリーニングといったサービスや、経営層によるガバナンスを支援するコラボレーションツールなどで構成する。eラーニングではGRCに関わる100種類以上のコースを用意しており、日本語、英語など22言語で受講できる。
