Podcast Transcript: GRC Technology Perspectives Around the Globe - Japan

こんにちは、プロティビティのケビン・ドナヒューです。これから新たなパワフルインサイトにようこそ。プロティビティは、GRCプログラムおよびテクノロジーに関する一連のポッドキャストを制作することで、マーケットにおけるGRCドライバーやイノベーション、および課題に関し、世界中のプロティビティのリーダーや各テーマの専門家の視点を紹介しています。
今回は、プロティビティの日本代表でマネージングディレクタである谷口靖美氏に、日本のマーケットにおけるGRCのトレンドについてのお考えや見解をお話しいただきます。

こんにちは、このような機会にお招きいただきましてありがとうございます。

最初の質問は、現在、日本および東京のマーケットにおけるGRCドライバーは何かということです。いかがですか。

今日本で何が起こっているのかをご説明する前に、日本でのGRCの発展におけるいくつかのフェーズについてお話ししますね。10年前にUS-SOXとJ-SOXが上場企業の満たすべき要件として導入された際には、多くの大企業がSOXプロジェクトを展開し、GRCの一部としてSOXツールを取り入れるのを見てきました。その後の過去10年間においては、規模の大きな監査チームがある大手の銀行や企業が、監査の標準化および効率化のために内部監査ツールを導入してきました。
最近では、外部要因と内部要因の両方の面から、ERM（全社的リスクマネジメント）への関心が高まっています。外部要因としては、日本企業は3年前に施行されたコーポレート・ガバナンスコードに準拠するため、コーポレートガバナンスを開示する必要があります。また、GPIF（年金積立金管理運用独立行政法人）によるESG投資の開始により、企業のGRCおよびその管理に対するニーズが一層高まりました。
内部要因としては、日本企業はM&Aによる事業の多角化によって、さまざまなリスクにさらされていることに気づきはじめています。また、グローバル化に伴い、進出先の各国の規制にも対応する必要があるため、最近はリスク管理部門の動きがより活発なものとなっています。内部監査に影響を与えるこれらのコーポレートガバナンスの強化には、より多くの情報を要求する外部取締役および監査委員会も含まれます。内部監査人は、ニーズに対応するためにも、洞察とともによりタイムリーにレポートを提供する必要があります。ここまでお話ししたことが日本のマーケットでのドライバーについてです。

わかりやすい要約をありがとうございます。もしあれば、ですが、日本の現在のマーケットにおけるGRCのイノベーションについてはどうですか。

従来のリスク管理プロセスでは、多くの日本企業がリスクの自己評価プロセスを経ることでビジネスユニット内のリスクを識別してきました。 最近では、ビジネスプロセスオーナーやビジネスオーナーが気づいていないリスクを特定することが必要だ、ということも聞かれるようになりました。また、一部の企業ではAI（人工知能）を用いたリスク管理や、データ主導のリスク管理、リスクの特定を始めており、さまざまなデータをKRI分析や自動でのデータ収集および分析に関連付けています。そのために、GRCツールやRPAを使用しています。これらの企業は、ERMの一部としての動的リスク評価を実施する過程にあります。

それはいいですね、しかも、次の質問にもつながっています。ツールについてもっとお聞きしたいと思います。日本のマーケットにおいて取り入れられている主要なGRCツールは何でしょうか。

そうですね、日本ではほとんどの事業活動は日本語で行われており、リスク管理と内部監査に関することは日本語で記録されます。そのためGRCツールには、日本語で処理するための言語機能も必要となります。米国やヨーロッパで利用できるすべてのツールに多言語機能が搭載されているわけではないため、日本で利用できないものも少なくありません。一方で、日本語のみに対応しており、日本のマーケットでしか利用できないローカルのGRCツールもいくつかあります。
プロティビティは、コーポレートガバナンス、リスク管理、内部統制、内部監査をサポートするグローバル企業であり、ツールを選択し、実装します。つまり、日本のクライアントはグローバルなビジネス拡大による英語での処理のニーズに加え、日本語でもツールを必要としているので、そのニーズに合ったものを選ぶのです。 実際にはGalvanize社（旧ACL社）のHighBondと呼ばれるツールをご紹介しています。HighBondの他にも、Protiviti Governance Portal、RSA Archer、OpenPages、TeamMateなどの複数の言語機能を搭載したツールがありますが、私たちは日本のGalvanize社と提携しています。
それにはいくつかの理由があります。まず1つ目の理由は、Galvanize社はACLとして15年以上日本で認知され、データ分析で非常に人気があること、また製品を日本語で利用できるためです。ACL Data Analytics（現在はACL Roboticsに名称が変わりました）の顧客として、200以上の日本企業が利用しています。多くの企業の監査チームはまだデータ分析と監査の発展段階にあり、Galvanize社の GRCツールはデータ分析機能と内部監査管理やリスク管理などのGRC機能の両方を搭載しています。そこから、日本におけるデータ主導のリスク管理と監査を進めうるものとして、Galvanize社の GRCツールであるHighBondの機能とその可能性を評価しています。
2つ目の理由としては、大手の銀行や政府機関を除くと、日本企業のリスク管理チームや内部監査チームはそれほど大きくないということが挙げられます。日本の内部監査組織の約90％は、20人以下です。HighBondは、Galvanize社のクラウドベースのGRCツールです。これは、ガバナンス、リスク、コンプライアンス、およびいくつかの推進戦略の変更を一括管理できるように設計されています。クラウドベースで使いやすいインターフェースと、高度なセキュリティ標準を兼ね備えたこのツールは、日本企業のリスク管理チームと内部監査チームの成熟度と規模に適していると評価しています。
3つ目の理由は、HighBondのクラウドベース機能により、日本の顧客が、米国などのグローバルユーザーが利用できるBI機能やデジタルレポートなどの最新の機能とテクノロジーを利用できることです。このクラウド機能のおかげで、日本でもそのような機能をすぐに日本語で利用できることも高く評価しています。以上がGalvanize社と提携した理由です。

ありがとうございます。統合型GRCを利用する場合に、企業はどのような課題に直面しているのでしょうか。

おそらく日本だけでなく、他の国でもそうだと思いますが、第2線のGRC利用者、また、第3線の内部監査スタッフのそれぞれの独立した仕事の進め方は、統合されたGRC推進の妨げになる可能性があります。各GRC利用者が独自のGRCニーズだけで進めてしまうと、漏れや重複などの要因となり、また、第1線のビジネスユニットのコンプライアンス対応や監査対応の負担を増加させることになります。統合されたGRCは、GRC利用者全体の標準化を可能にしますが、少なくとも日本では、その統合責任をもつオーナーや、実際にツール実装リーダーを定義し、かつ同意を得ることは簡単ではありません。ディスカッションでも、導入の過程でも、その議論は難しいのです。
問題は、ツール実装プロジェクトだけではなく、企業文化や組織の設計にもあります。社内政治が根本的な原因である可能性もあります。統合されたGRCには、トップによる強固なリーダーシップと、各部門内のGRC利用者間の協調していく文化が必要だろうと考えています。
GRCツールの実装におけるもう1つの課題は、ツールを実装する前にGRCの機能プロセスの設計が不十分であるために、GRCツールを実装する準備が整っていない可能性があることです。 プロティビティには、ERMチームと他にもさまざまなリスクの専門家やGRCツールの専門家がいます。このような場合には、GRCツールの実装をサポートしながら、これらのチームおよびクライアントと共同でポリシーとプロセス、および組織を設計します。質問に対する答えになっていますでしょうか。

確かに。今日は素晴らしい議論ができていますね、ありがとうございます。GRCプログラムにデジタル変革（これ、よく耳にしますよね）を組み込んだ組織についてはどのようにお考えですか。

Yasumi

そうですね、デジタル変革には多くの側面がありますが、一つには、データ分析を使用することでタイムリーかつ効果的なデータ主導型の意思決定を可能にすることだと思われます。もう一つは、RPAのようなテクノロジーを活用してパフォーマンスを改善することです。これらがGRCプログラムに近いと思われる2つの領域です。実際、データ主導でのリスク管理を行う企業は、伝統的な手法で基本的なリスク評価または、リスク管理を行っている企業よりもはるかに効率的であることがわかっています。新たなテクノロジーでAIやデータ主導のリスク評価を行うことにより、リスク評価はその精度を向上させていきます。
RPAがGRCツールと一緒に活用される場合には、ツールを接続することにより、実装時だけでなく継続的な効率性の向上も可能となります。これらのツールがインターフェースするときにはじめて、本来の効率性の向上を達成します。GRCツールの導入により、第2線または第3線がリスク情報を共有し、一貫した基準とリスクの洞察をもたらし、トレーサビリティを向上させることができると期待しています。デジタル時代のビジネスが急速に変化するなかで、これらのリスク管理プロセスを統合、標準化することにより、GRC利用者はプロセスをより簡潔に管理できるようになります。これは日本だけでなく、海外拠点にも展開できます。世界中の規制に関する情報とコンプライアンス遵守状況が、モニタリングされ、タイムリーに更新されて、GRC利用者がいつでも活用できる必要があります。
GRCツールには、統一された手順を通じ、さまざまな規制コンプライアンスに関する情報とその遵守状況をモニタリングするリスク管理機能があります。これにより、分析が容易になり、効率を向上させることができます。こういったデジタル変革の実践が、将来のGRCに貢献することを期待しています。

谷口さん、本日はお時間いただき、また、洞察を共有していただきましてありがとうございました。

お聞きいただきありがとうございました。 Protiviti.com/GRC（英語）では、他にもGRCに関するさまざまな視点を世界中からお届けする情報やポッドキャストをご覧いただけますので、是非ご覧ください。

※英語版スクリプト（PDF）
※動画中の製品名および製品提供企業の名称は収録時点（2020年）のものとなっております。あらかじめご了承ください。