GRC とは?

組織が不確実性に対処し、誠実に行動し、リスク認識の文化を活かして目標を確実に達成できるようにする能力のことです。

Governance, Risk, and Compliance (GRC) は、組織が規制の枠を越えることなくビジネスを運営するために必要な自信とツールを提供します。明確に定義された GRC プログラムを整備していなかったり、GRC プログラムへの投資を怠ったりしがちな組織は多数存在します。組織が成功するためには、レジリエンスを強化し、破壊的変革への備えを固めることで、時代に対応し続け、価値をもたらす必要があります。

GRC のビジネスケースは、リスクの可視性の向上、GRC の取り組みとビジネスの優先事項との整合性、先見性に満ちたインサイトの提供に重点を置き、企業が迅速に決然と行動するための助けとなる必要があります。

Governance:組織の活動と、その活動が事業達成目標との整合性を保っているかどうかに関するフレームワーク。活動には企業活動を管理、監視するためのプロセス、構造、ポリシーが含まれます。

Risk:リスクに対処し、コントロールを通してリスクを軽減し、リスクがポリシーに従って管理されるよう保証する持続的プロセス。これにはリスクの測定、アセスメント、保有、監視、特定が含まれます。

Compliance:組織内の活動が法規制に則った方法で実施されるように徹底します。

  • 戦略:ビジネス戦略に影響を及ぼす有効なリスクオーナーシップとガバナンス
  • 運営:企業の運営とプロセスの停止や改変につながり、影響を及ぼす可能性のあるすべてのもの
  • テクノロジー:アプリケーション、データベース、インフラストラクチャ、その他のコネクテッドデバイスの障害、サイバーリスク
  • データ:情報が盗難や破損の危険にさらされる可能性。保護対策にはデータの機密保持、完全性の確保、可用性の維持があります
  • サイバー:テクノロジーリスクと同類。情報テクノロジーの障害によって生じる経済損失、ビジネスの混乱、組織の評判の全体的な失墜
  • プライバシー:個人情報の損失、不当開示、盗難の可能性
  • 評判:不満を募らせた顧客や、データ侵害、製品の故障、否定的なレビューが原因で組織が否定的な見方をされる可能性
  • 第三者:十分なリスク態勢を整えていないベンダー、サプライヤー、ビジネスパートナー、関係団体が組織に影響を及ぼす可能性
  • コンプライアンス/規制:コンプライアンス違反が規制上の義務に影響を及ぼす可能性

  • 利害関係者は高度な透明性、説明責任、パフォーマンスを要求します。
  • 規制は予測不可能な形で絶えず変化します。
  • 第三者との関係やリスクが急激に増大し、経営陣にとって課題となっています。
  • リスクを特定できないと甚大な影響を受けます。
  • ビジネスの成長には GRC による効率向上が必要です。

統合的な GRC である Integrated Risk Management は、さまざまなリスクをリアルタイムで監視、管理し、対処する能力を組織に備える、広範な全社的アプローチです。Integrated Risk Management は、リスク意識の高い組織がパフォーマンスを向上し、より良い意思決定を行うことを可能にする、重要な要素です。

戦略

マネージャーは情報に基づいたリスクベースの決定を下し、事業達成目的との整合性を保つ能力を身につけます。

連携

組織はリスクとその最終的な収益への影響について理解を深めます。これを部門や事業部門全体で共有すると、サイロや不要な重複の解消に役立ちます。

デジタル化

GRC を単一のプラットフォームで一元化することで、プロセスの自動化が可能となります。ワークフローは簡素化され、文書保存が可能となり、より標準化されたフレームワークが作成されます。

担当者の期待は、リスク管理への統合的なアプローチを望むように変化していきます。

効果的な GRC に必要な条件は次のとおりです。

  • CISO、CRO、CIO、CFO、CEO、法務部門など、経営側のリーダーが推進します。
  • リスク重視の文化を持ちます。
  • 最新のクラウドベースの統合プラットフォームをベースにします。
  • エコシステム内の他のテクノロジーと容易に連係してデータを収集します。
  • データ共有を容易にして共通のデータを相互に活用します。
  • 組織とサードパーティエコシステム全体のビジネスリスクをターゲットとして対処します。
  • ビジネス指向、プロセスベースのワークフローを作成してリスクを分析、処理します。
  • リスクインテリジェンスとリスクワークフローを日常業務/運用ツールに組み込みます。
  • リスクとコンプライアンスの情報を全員がすぐに入手できるようにします。
  • 自動リスクインジケーターを使用してリスクとコントロールの継続的な監視を有効にします。
  • ビジネスに特化したダッシュボードを通してビジネスの言葉でリスクを説明します。
  • これらすべてを企業全体の部門や機能グループ、ベンダーに対して継続的に実施し、包括的なリスク情報をリアルタイムに示します。

  • コストが増大します。
  • 起こり得るリスクを可視性できません。
  • 取締役会レベルのレポートを生成するプロセスに時間がかかると、データが陳腐化します。その結果、経営陣と取締役会が内容を精査したり、適切な方向性を示したりすることができません。
  • 第三者のリスクが適切に対処されません。
  • リスク調整後のパフォーマンスの測定が困難になります。
  • 以下の結果につながるマイナス要素が多すぎます。
    1. 監査指摘
    2. コンプライアンス上の罰則
    3. 違反修正コスト
    4. 顧客離れ
    5. 評判の失墜
  • 共通の言語がないため、優先順位の低い問題で時間を無駄にします。
  • 時間のかかるプロセスが原因で生産性が損なわれます。
  • 馴染みのない面倒なユーザーエクスペリエンスが、最前線にいる従業員の意欲喪失の要因になります。
  • 部門間での効果的なコラボレーションができません。

効果的な GRC は、適切な人々が必要な情報を必要なときに入手し、目標を設定し、適切なコントロールを整備して不確かな状況に対処し、行動するためのアプローチを確立します。GRC プロセスが正しく実行されると、次のメリットが生まれます。

  • 自動化に加え、監査指摘、コンプライアンス違反、侵害による罰則の可能性を減らすことによって、コストが削減されます。
  • ベンダーが引き起こすリスクが低減されます。
  • ビジネスモデルの変更や、デジタルトランスフォーメーションに関連するリスク、新しい規制に適応する能力が向上します。
  • 運用への影響が抑えられます。効率向上により、組織は少ない労力でより多くのことを達成できます。
  • ビジネスを拡張、成長させる能力が向上します。
  • 従業員やベンダーから質の高い情報をすばやく効率的に収集する能力が向上します。
  • 単一のリポジトリにより、企業全体でリスク情報へのアクセスが向上します。
  • プロセスを一貫した方法で繰り返す能力が向上します。
  • 反復的で冗長なタスクを取り除くことで、生産性が向上します。
  • ビジネス全体の利害関係者、経営陣、取締役会と効果的なコミュニケーションをとることができます。
  • リアルタイムのリスクデータと、ビジネスへの影響を算出する機能により、戦略的な意思決定が可能となります。
  • 競争上の優位性—顧客は、リスクへの対処計画が整備されていることで、侵害の可能性が低くなり、データが適切に保護されると理解します。

あらゆる組織で効果的なガバナンス、リスク、コンプライアンスを保証できる単一の万能ソリューションは存在しませんが、ほとんどの GRC ソリューションは共通のコンポーネントで構成されています。以下は、ほとんどの GRC プラットフォームに含まれる必須の機能と要素です。

  • コントロール
  • ワークフロー
  • 中央データリポジトリ
  • ビジネスへの影響度を導き出す CMDB
  • リスクインジケーター
  • ポリシーライフサイクル
  • 権限文書ライブラリ
  • モバイル
  • チャットボット
  • OOTB のサードパーティ連携

  • ポリシーマネジメント
  • 法令遵守
  • デジタル・テクノロジーリスクマネジメント
  • 第三者リスクマネジメント
  • 監査マネジメント
  • レジリエンス・事業継続性マネジメント
  • プライバシーマネジメント

ServiceNow Governance, Risk, and Compliance を始める

ServiceNow なら、リスクとレジリエンスをリアルタイムで管理できます。