GRCで立ち遅れる日本企業は今何をすべきか？【リスクマネジメント鼎談】

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

ガバナンス・内部統制・不正対策

|

タグをもっとみる

企業が取り組むべき内部統制やリスクマネジメントなどにおける組織的活動を総称する略語として、「GRC (Governance, Risk management and Compliance)」が頻繁に使われるようになってきた。グローバルな視点で見た場合、日本企業の多くはGRCへの対応に立ち遅れ、世界標準とのギャップがますます大きくなっている。長期的な経済不況でコスト削減が重要視される中、効率のよい世界標準GRCの実践とは？　デロイトトーマツリスクサービス取締役執行役員パートナーの丸山満彦氏と、NRIセキュアテクノロジーズ上級セキュリティコンサルタントの鴨志田昭輝氏、同社セキュリティコンサルタント山倉直氏の三方にお話を伺った。

なぜ日本企業はGRCへの取り組みが遅れているのか？

　鴨志田氏■海外のセキュリティ関連のカンファレンスやシンクタンク系のシンポジウムなどでは、GRC（ガバナンス、リスク、コンプライアンス）に対して、全社的な取り組みが進み、IT化による合理化も進んでいるように思います。とくにグローバルな展開を見せる企業では、全体最適されたITシステムが企業経営の意思決定に効率よく生かされ、業務プロセスの標準化も進んでいます。

　それと比較すると、日本企業は立ち遅れている感が拭えません。とくに、私の専門とするセキュリティマネジメントについて強く感じます。問題意識は頭で理解しているものの、実際の対応に予算も人もかけない、あるいは対応の鈍い企業が少なくありません。なぜでしょうね。

デロイトトーマツリスクサービス
取締役執行役員パートナー
丸山満彦氏

　丸山氏■まず、グローバルな視点でみてみましょう。日本企業の場合、トップダウン的な全体最適というよりも、現場志向が強く、部署ごとの最適化やいわゆるサイロ型システムができやすいという問題が指摘されています。もう1つ、マネジメントの合理化ができていないこともあると思っています。世界のグローバル企業と比べ、マネジメントの標準化や品質の向上が遅れているのではないかと懸念しています。聖域を設けない選択と集中、BPO（Business Process Outsourcing）の活用なども課題となってくるでしょうね。

　セキュリティマネジメントについていえば、経営側が単なるコスト部門という考えに囚われすぎて、管理部門にセキュリティのプロフェッショナルを配置しなかったり、そもそもセキュリティ担当部門を持たない企業さえ存在します。これでは、本当の意味でのリスク対応は不可能だと思います。

NRIセキュアテクノロジーズ
上級セキュリティコンサルタント
鴨志田昭輝氏

　鴨志田氏■それは現実問題として実感しています。IT社会において、情報セキュリティ対策やインシデント対応は、企業戦略にとって欠かせない要素であるはずです。NRIセキュアでは、GRC対応の支援ツールをセキュリティマネジメントにも適用するソリューションを持っています。「セキュリティGRC」と呼んでいますが、リスク分析、モニタリング、対策などセキュリティマネジメントのフレームワークをシステム化し、ツールを活用していく手法です。このアプローチで重要なのは、それぞれの対策や取り組みの目標と成果を点数化して管理することです。

　丸山氏■わかりやすい運用のガイドラインやベストプラクティスを取り入れることは第一歩としてはよいと思います。また、リスク分析をツールで合理化するのは、マネジメントの標準化という意味でもよいと思います。

この続きは
会員限定（完全無料）です

ここから先は「ビジネス+IT」会員に登録された方のみ、ご覧いただけます。

今すぐ登録(無料)

今すぐビジネス＋IT会員に
ご登録ください。

すべて無料！今日から使える、
仕事に役立つ情報満載！