Tag: ??？

ガバナンス、リスク、コンプライアンス（GRC）は、組織がIT活動をビジネス目標に整合させ、リスクを効果的に管理し、政府や業界の規制を遵守し続けるための業務戦略である。 リスクを管理し、規制を遵守し、それらのタスクを管理するプロセスを確立する必要性は、ビジネスが存在する限り、組織運営の一部であった。 しかし、ここ数十年の間に、法律の数、ビジネスの複雑さ、リスクの種類、テクノロジーの利用が爆発的に増加したため、これらの業務は、現代において組織の成功にとってますます重要になってきている。 今日では、小規模な事業であってもグローバルな事業展開が可能であり、国際法や、適切に管理されなければ事業の存続や閉鎖につながりかねない数々の脅威との戦いを余儀なくされている。 その結果、リスクを管理し、規則や規制へのコンプライアンスを確保することは、組織の使命を導き守る統治機構とともに、サイロ化した業務からGRCと呼ばれる集団的な規律へと変化した。 GRCとは何か？ ガバナンス・リスク・コンプライアンス（GRC）とは、組織の全体的なガバナンス、企業リスク管理、規制遵守の取り組みを管理するための業務戦略である。この規律あるアプローチにより、組織はガバナンス、リスク、コンプライアンスへの取り組みを、戦略目標、事業目標、業務を可能にするテクノロジーに整合させることができる。 「GRCは包括的なものである。それは基調と戦略を設定し、方針と手続きを定義し、何が期待されるかを明確にする」とアメリカンセキュリティアンドプライバシーのガバナンス、リスク、コンプライアンス、プライバシーのディレクターであり、ガバナンス協会ISACAの新興トレンドワーキンググループのメンバーでもあるリサ・マッキーは説明している。 マッキー氏は、GRCを車道や運転法に例えている。車道は、ドライバー（組織のようなもの）が、確立された規制や道路標識に従うことで、災難の可能性を最小限に抑えつつ、できるだけ速く目的地に到着できるように、フリーウェイと同様に車線、境界線、制限を定めている。 なぜGRCが重要なのか？ よく計画されたGRC戦略は、意思決定の改善、より最適なIT投資、サイロの排除、部門や部署間の分断の減少など、大きなメリットを生み出す。 その重要性が増しているため、GRCは多くの組織でハイレベルな機能となっており、GRCの責任と説明責任はCレベルの経営幹部に割り当てられている。この業務をサポートするために、ベストプラクティス、フレームワーク、テクノロジーが開発されてきた。 「現代のビジネス環境において、GRCは複数の理由から重要である。データプライバシーと保護の法律の増加、グローバル化、相互接続性により、規制環境はより複雑になっている」とトレーニングおよび認証機関ISC2でCGRC試験のコンテンツ開発者であるクリス・スタンリーは言う。「このレベルの複雑さは、組織が評判損傷と法的な罰則を避けるのを助けるために、強固なGRCフレームワークを必要とする。」 スタンレー氏はまた、「AI、IoT、クラウドコンピューティングのようなテクノロジーの進歩も、コンプライアンス上の課題や新たなサイバーセキュリティの脅威を導入している」と指摘する。 彼はこう付け加える。「ステークホルダーは、組織がプライバシーとデータを保護することを信頼しており、そうしたステークホルダーは、組織の個人を含む組織に責任を求めるようになってきている。強力なGRCフレームワークは企業の責任を支え、ひいては投資家の信頼と財務の安定性を高める。」 それでも、多くの組織はまだGRC能力を構築中である。 組織のリスク・コンプライアンス・プログラムに影響力を持っているか、管理している世界中の1,300人以上の回答者を対象とした2023年の調査では、自社のプログラムが成熟していると評価したのはわずか53％だった。さらに、GRCソフトウェアメーカーのNAVEXが発表した「リスクとコンプライアンスの現状レポート」によると、20％が自社のプログラムを初期段階と評価している。 GRCが意味するものを分解する GRCの各要素には、以下のような目的とプロセスがある。 ガバナンス： GRCのガバナンスの側面は、組織の確立されたリスク・パラメータとコンプライアンス・ニーズを遵守しながら、ITオペレーションの管理などの組織活動が、組織のビジネス目標をサポートする方法で整合することを保証することを目的としている。 FTIコンサルティングのシニア・マネジング・ディレクター、ティルシア・トレドは言う。「ガバナンスとは、誰がその部屋にいて、何をすることが許され、何をしないことが許されるのか、彼らが依拠するデータは何なのか、そして彼らの行動はどのような順序で行われるのか、ということである」。 トレドによれば、ガバナンスは組織内の複数のレベルに適用され、取締役会、経営陣、従業員がルールを理解し、ルールに従い、従わない場合はその結果に直面することを保証する。 リスク：GRCのリスク管理要素は、組織の活動に関連するあらゆるリスクが特定され、組織のビジネス目標をサポートする方法で対処されることを保証する。ITの文脈では、これは組織のエンタープライズ・リスク管理機能と連携する包括的なITリスク管理プロセスを持つことを意味する。 リスクは、組織のリスク選好度（リスク選好度とは、組織が許容できるリスクと許容できないリスクを設定し、残存リスク、すなわち許容できないリスクに対するコントロールが実施された後でも残るリスクを管理することである。 「リスクとは、組織がどこでプレーしたいのか、どこでプレーしたくないのかということである。リスクとは、組織が遊びたいところと遊びたくないところの境界線のことである」とトレドは言い、企業リスクは常に進化していると指摘する。 コンプライアンス： GRCにおけるコンプライアンス機能とは、組織の活動が、その活動に関連する法律や規制に適合した形で行われていることを確認することである。例えば、ITシステムとそのシステムに含まれるデータが適切に使用され、保護されていることを確認することを意味する。 コンプライアンスには、組織が戦略を実行する際に従わなければならない法律や規制が含まれる、とトレドは説明する。「言い換えれば、ビジネスが運営される法律や規制環境とは何かということだ。 ガバナンス、リスク、コンプライアンスはそれぞれ特定の要件に焦点を当てているが、トレドによれば、これらは重複しており、連携しているという。例えば、リスク部門はガバナンスの実践に依存し、統制を実施することでリスクを軽減し、組織のリスク境界を逸脱する行為があれば上司に警告する。….