ITmedia エグゼクティブ
PR

「G、R、C」は三位一体で:「戦略的」内部統制を実現し、攻めの経営へ

来年度から実施される日本版SOX法への対応が、優先課題となっている日本企業は多い。そんな中、オラクルは「ガバナンス、リスクマネジメント、コンプライアンス」を包括的にコントロールしようという「GRC」に関する独自のコンセプトを発表、その後、GRC関連の新製品を次々にリリースした。これらの製品は有機的に連携し、「ガバナンス確立、リスク管理、コンプライアンス対応」を一元管理、分析、評価するためのGRCソリューションを構成している。G、R、Cの3つに対応するシステムを個別に運用、管理するのではなく、すべてが有機的に結びついたものに変えるというオラクルの主張には「攻めの経営」のエッセンスが網羅されている。



ガバナンスの足かせとなる分断された個別管理体制

 2008年春から実施される日本版SOX法への準備の最終年として、今年度内の対応に追われている企業は少なくない。内部統制のフレームワークであるCOSOフレームワークや、それを拡張したCOSO ERMフレームワークでは業務活動、財務報告、コンプライアンス(法令遵守)の項目について、それぞれに監視や統制、情報管理などが立体的に関わることがうたわれているのだが、昨今、有価証券報告書の虚偽記載や賞味期限に関する問題など企業の不祥事がマスコミをにぎわせているせいで、経営者の視点は、リスク回避とコンプライアンスの部分のみに集中している感がある。

 もちろんSOX法への対策において、欧米と比較して日本企業すべてが遅れをとっているわけではない。ノウハウのマニュアル化、規定の文書化、厳重なセキュリティ管理など対策は進んでいる。ただ問題点は、これらを包括的に、有機的に管理できていないということだ。

 企業の多くは欧米からアジア、BRICsへと生産・販売拠点を拡大し、ビジネス環境は年々さらなるグローバル化へと向かっている。だが、ビジネス環境が複雑化するにつれてガバナンス、リスクマネジメント、コンプライアンス要件も多様化、複雑化してくる。例えば、国内外でさまざまな新しい環境規制法が施行されることになったとしよう。企業経営においては、新工場の建設、企業買収計画、組織改編計画などさまざまなプロジェクトが進行している。そんな中で、新しい環境規制法に対応するということは、本来、経営側から見れば、それによって他の事業計画、活動に影響がないかを同時に考え、プロジェクトごとのパフォーマンス管理をしながら、施策を打っていく必要があるのは自明のことだろう。新しい法律に対応することで発生するコストをどこまで抑えることができるか、その抑制のレベルごとに、他の事業計画にそれぞれどのようなリスクが発生するか、そして現実的にどういう施策で企業として対応していくかを決定してく必要がある。つまり、もはや場当たり的な対応で管理できるという範囲を超えた状況であることは間違いないのである。

 このようなことからも、G、R、Cの3つは包括的に、有機的に管理する必要があることは分かるはずだが、現実には、コンプライアンスの規定については国ごとであったり子会社や関連会社ごと、さらには同じ社内でも部門ごとに分かれていたりすることが多いようだ。こうした現状は、企業内に統一されたガバナンスが不在であることを意味する。2011年までに企業会計基準が日米欧で共通化される予定となっており、現状のように複数の管理フレームが林立している状態では、迅速な制度対応ができなくなることも懸念されている。

image 日本オラクル アプリケーションビジネス推進本部 ソリューションビジネス推進部 担当ディレクター 桜本利幸 氏

 企業にとって、事業目標の達成を実現するには、ビジネスのグローバル化の進展に合わせ、これまで以上にリスクマネジメントとガバナンスの適用範囲を広げていく必要がでてきている。事業目標の達成を担う新たな事業分野に進出する場合を考えてみよう。そこには未経験のリスク、コンプライアンス要件が数多く潜んでいる。これらをいかに的確に認識、コントロールし、素早く対応するか。すでに顕在化しているものに加え、潜在化するリスクにも対応するためには、企業におけるG、R、C要件を包括的に、有機的に管理する体制が欠かせない。リスク、コンプライアンス要件を的確に認識、コントロールし、素早く対応すれば、その事業分野での成長基盤を築くことが可能となる。

 このようにガバナンス、リスクマネジメント、コンプライアンスは現実のビジネスの中で、当然のように強い結びつきを持って連動している。オラクルの提唱する「GRC」の概念はまさにこうしたグローバル時代における企業をとりまく環境に対応するものであり、「攻めの経営」を本当の意味で実現するためのソリューションなのだ。

「G、R、Cは三位一体」の発想から生まれた包括的管理構想

 オラクルはこの夏GRC関連の製品を次々にリリースした。G、R、Cを包括的に一元管理するには、「プロセス」、「アプリケーション」、「インフラストラクチャ」の各階層におけるコントロールが必要であると同時に、日々の管理業務がユーザーにとって簡便でなくてはならない。加えてGRCに関する情報を経営・マネジメント層に適時、適切な形で「見せる」ことにより、次の一手に結びつく意思決定を支援する「インサイト」の機能が欠かせない。オラクルは広範な製品群によって、G、R、Cそれぞれに必要な要件を満たすことが可能であるという。また「GRC」はユーザー企業が独自に構築しているシステムの強みを生かしながら、業界特有の必要条件などを満たした上で実現されなければならない。そのためにはオラクルのような必要な要件、機能全てを網羅できる製品を持つベンダーは強い味方となるだろう。

 さて、改めてこのGRCという概念をどうとらえるのかを考えてみよう。アプリケーションビジネス推進本部、担当ディレクター、桜本利幸氏はこのとらえ方について、次のように説明する。

 「私たちは、ガバナンス、リスクマネジメント、コンプライアンスは別物ではなく、すべてが絡み合った三位一体のものであるととらえています。法令や規制を守ることの上に業務リスクの認識や回避、そして事業目標達成への機会が生まれ、これらを包括的にとらえることが企業戦略へとつながるという発想です。多くの日本企業はこれら3つについて個別に対応しており、システムも導入されていますが、結びつきのないフレームワークが林立するだけで、一元管理できていない。それらを統合して管理するメタフレームとしての存在がこのGRCなのです」

 桜本氏が実際に数社の大手企業を招いてパネルディスカッションを開き、内情をリサーチしたところ、「ID管理などのセキュリティは万全だが、社員教育の部分で遅れている」、「会計システムの連携ができず、自動化されていない」など、多くの企業が盤石の経営を行っているように見えてどこかに弱みを抱えていることを確認し、メタフレームの必要性を再認識したという。

 企業経営には、法規制、教育や人事管理、そしてセキュリティ管理やアクセスコントロールなど、さまざまな観点からの対応が必要となり、時にそれは経営を左右する障壁になる場合がある。しかし一方で、今の時代の企業経営はIT抜きに語ることは不可能である。避けては通れぬ道、なのである。

 「複数のシステムから報告される情報量は膨大で、今どれが必要でどれが不要なのかが分からなくなるリスクがあります。また情報の更新レベルもまちまちだったりします。私たちがご提供するGRCソリューションは、最も必要な情報を見たいときにすぐに取り出し、意思決定をしたいというニーズにマッチした機能を持っています」と桜本氏。例えば世界中に拠点を持つ企業が内部統制に関する国別のエラー状況を見たい、とした場合に、通常ならば各国の情報を書面で報告させ、それを精査することによってエラーを見つけ出さなければならないが、オラクルのGRCソリューションでは簡単な操作によってエラーになっている部分だけを抜き出し、地図情報とマッシュアップすることで世界地図に赤くマークされたビジュアルな情報として取得できる。これは一例だが、このように時間とコストの大幅な削減が可能になるさまざまな機能が装備されている。

image G(ガバナンス) × R(リスクマネジメント) × C(コンプライアンス)

既存環境を取り込んだ柔軟なシステム構築が可能

 オラクルのGRCソリューションの最大の特長は、システム内における異種混在環境のリレーションを可能にすることだ。多くの場合同一企業内でも、受発注や会計、人事管理など、部門ごとに管理システムを導入しているケースが多く、仮に社内でプラットフォームを統一していても、関連会社にまで視野を広げると、会社単位で異なっていたりする。またM&Aを展開すれば、新たに異なったプラットフォームに向き合わざるを得なくなる。こうした問題は企業の経営拡大に伴いシステム面での大きな問題となっているということは、読者もご存知の通りである。オラクルのGRC製品群はオラクルが培ったSOA(サービス指向アーキテクチャ)の連携技術によってこれを関連付けし、統合を可能にする。つまり、極端に言えばこれまで連携が不可能で、ハードコピーでやり取りしていたドキュメントでさえ、アプリケーションをつなぐことにより、システムでの自動処理が実現できるのだ。

リスクは「ビジネスの機会」 SOXの先を見据えた経営を

 桜本氏はリスクについての発想の違いについて、次のように話す。

 「日本では、リスク=危機、だから回避しようという発想ですが、欧米ではリスク=成長する機会と考えるのです。機会なのだからきちんとコントロールすることで新たなステップへと進み、メリットを生み出そう、事業目標につなげていこうという前向きな考え方を持って経営を行うわけです」

 日本国内ではJ-SOX法への対応で大わらわであるが、欧米ではすでに「Beyond compliance」「After SOX」という言葉が生まれている。企業内の包括的ガバナンスはあくまで土台作りであり、さらにその向こうにある新たな事業展開へと目が向いているのである。日本企業はガバナンス、リスクマネジメント、コンプライアンスが別個に語られ、それぞれ常に後手に回っている印象が否めない。しかし、今後も一企業として継続的な成長を実現するためには、ガバナンスの確立、リスクマネジメント、コンプライアンス強化が三位一体の位置づけにあることを認識し、これらを一元管理する「経営の仕組み、フレームワーク」を構築することは絶対条件だといえるだろう。それが次世代へ続く「攻めの経営」の基盤となるのである。


ホワイトペーパーダウンロード

企業に対する信頼を回復するには「ITガバナンス」がカギ

グローバル環境下でのビジネスにおいて、複雑化するコンプライアンス、リスク、セキュリティの要件に対応していくにはITガバナンス戦略抜きには語れない。企業の信頼回復に向けてITガバナンスが果たす役割とは?

 エンロン、ワールドコムの不祥事が世界金融市場を震撼させてからはや5年。企業に対する社会的信頼はまだまだ改善には至っていない。企業の社会的責任に対する社会の要請と、持続的な成長や利益拡大を求める株主の要請とのバランスをいかに保つか。経営者は、ともすれば相反する課題への対応を迫られている。

 企業情報資産が設備投資の50%以上を占める現在、企業への信頼回復にむけてITガバナンスが果たす役割は大きい。本ホワイトペーパーでは、ITガバナンスに対する全体論的フレームワークとアプローチ、およびその採用がもたらすメリット、そしてそれらに対するオラクルの具体的ソリューションを紹介する。


 TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。


※ITmedia エグゼクティブマガジン 2008年1月号より転載




提供:日本オラクル株式会社
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2007年12月28日

ホワイトペーパー

企業に対する信頼を回復するには「ITガバナンス」がカギ
グローバル環境下でのビジネスにおいて、複雑化するコンプライアンス、リスク、セキュリティの要件に対応していくにはITガバナンス戦略抜きには語れない。企業の信頼回復に向けてITガバナンスが果たす役割とは?