急激な在宅勤務の浸透、リモート監査の適用対象の拡大を受け、「GRCツール/システム」の導入を検討する企業が増えてきており、問い合わせも数多くいただいています。たしかにGRCツール/システムを使えば内部監査のDXを高度化できますが、闇雲に導入すればよいというものではなく、自社の成熟度に応じてどのように導入すべきか検討する必要があります。本稿では、具体的な事例を交えて内部監査のDX推進のステップについて解説します。
なお、文中の意見に係る部分は筆者の私見であり、PwCあらた有限責任監査法人および所属部門の正式見解ではないこと、あらかじめご理解いただきたくお願いします。
筆者は、俗に「GRC領域」と呼ばれる分野で長年アドバイザリーサービスをご提供したり、事業会社で内部監査室長等を担当してきましたが、いまだにGRCツール/システムとは何ができるツール/システムであるのかを端的に言うことができません。皆さんは、GRCツール/システムという言葉はどういう意味で、何ができるツールだとお考えでしょうか?
そもそもGRC(Governance、Risk Management、Compliance)とは、企業における内部管理態勢を包括的に捉える概念です(図表1)。全社的リスク管理態勢の高度化、すなわち、企業の戦略目的の達成能力強化を図るためのフレームワークを指します。
従来の伝統的な企業もしくは企業グループにおいては、それぞれの担当機能部門が機能別に管理を行ってきました。しかし近年は、機能別管理の業務負担が増し、リスク管理も複雑化する傾向にあります。このため、全社で一元的にリスク管理・コンプライアンス管理・内部統制を行う統合管理が求められています(図表2)。これが、eGRC(enterprise Governance Risk Compliance)システムツールが進化してきた背景としてあります。この文脈では、GRCツール/システムとは、GRCの各領域の管理をサポートするツールの総称ということになります。対象とする分野も幅広く、多彩なモジュール(機能)を含むため、ベンダーによってGRCツール/システムに含まれると認識しているモジュールは異なります。
図表3に、一般にGRCツール/システムに含まれることが多いモジュールの種類と利用目的をまとめました。このモジュール(機能)群を組み合わせて「ソリューション(アプリケーションパッケージ)」として販売されているものが「GRCツール/システム」ということになります。
ここで注意が必要なのは、ベンダーによってGRCツール/システムという言葉が指し示す機能が異なる点です。各種メディア記事や論文などを参照してみても、それぞれの筆者の立場によって意味するものは異なっています。また、同じ組織内で同じ名称を用いていても、違うものを指していることはよくあります。GRCツール/システムについて論じる場合は、その意味するものが具体的に何であるのか互いに確認する必要があります。
多くの組織では、GRC領域の活動を支援することができる情報システムがすでに社内に存在しています。では、これらのツール/システムと、GRCツール/システムと総称されるシステムとは何が違うのでしょうか。
GRCツール/システムを導入すれば、機能部門別のリスク管理・コンプライアンス管理・内部統制を一元的に統合管理できるようになります(図表4)。さらに、以下の5つのメリットも享受できるようになると考えられています。それぞれの期待される効果の例も挙げておきます。
たしかに一見すると、プラットフォームが共通化することでこれらのメリットをすべて享受できるように思えます。しかし実際にはGRCツール/システムを導入後に、こうしたメリットを享受できていない組織も少なくありません。このような組織の原因分析をしてみると、GRCツール/システムの導入目的や利用者のITリテラシーといった導入チームで解決可能な領域を超えた、全社的なITガバナンス・データガバナンスの問題が根幹であることが少なくありません。そこで、先ほど挙げたGRCツール/システムの5つのメリットを得るための前提条件を見てみましょう。
ここまでGRCツール/システムと呼ばれるソリューションのモジュールやメリットについて確認してきました。これらのモジュールや役割を1つ1つ確認すると、それぞれをサポートする情報システムは社内にすでに存在していることに気がつきます。そこで図表5に、多くの組織ですでに使われていることが多い社内ツール/システムをGRCツール/システムに転用した例を示します。
トータルプラットフォームとしてのGRCツール/システムのメリットを享受することが難しい、あるいは全社としてのデータガバナンスの整理が進んでいない段階では、社内に既存ITツール/システムを活用して内部監査・内部統制業務のDXを推進し、そのあとで段階的にGRCツール/システムの導入に取り組むという方法もあります。
以下に、既存システムを活用しながらGRCツール/システムを導入した事例を示します。
ここまで読まれてきて、「うちはまだGRCツール/システムの導入は時期尚早」と思われる方もいらっしゃるかもしれません。時期尚早だとは思うのだけれども、全社的にDXを推進していて、内部監査・内部統制部門でも同様の取り組みが求められている組織もあるでしょう。このような場合には、コストの高いGRCツール/システムをリスク管理のプラットフォームとして導入する前に、既存の社内ツール/システムを活用できないか検討するのも有効な策となります。
一方で、データ活用を推進して組織としての競争力を高めるためには、データガバナンスの成熟度を高め、GRCツール/システムを有効に活用できる組織になる必要があると感じていた方もいらっしゃるのではないでしょうか。GRCツール/システムは本来、特定の部門の業務改革や業務の効率化のために導入されるものではなく、経営全体の質を向上させるためのツールです。内部監査部門であればデータガバナンスの成熟度について内部監査を実施したり、内部統制部門であれば全社および部署別のDXの推進度合いや、事業戦略の達成度についてリスクアセスメントを行うなどの統制活動を通じて自社のDXを支援することができます。
また、トップマネジメントがこのような内部統制活動や内部監査活動を要請することは、統制の強化とDXの推進の両面から有効と考えます。
PwCあらた有限責任監査法人
ガバナンス・内部監査サービス部
ディレクター 岩永 摩美