コンプライアンスに新しい視点を与えられるか？ SAPがGRC事業部を発足：SAPPHIRE '06 Paris Report（1/2 ページ）

独SAPは先日、コンプライアンスを専門とした新事業ユニットGRC（Governance, Risk management, and Compliance）を立ち上げた。「SAPPHIRE '06 Paris」において、SAPでGRCを担当するダグ・メリット氏とアミット・チャッテジー氏、米PricewaterhouseCoopersのアンドリュー・ミスキン氏などに、GRCやコンプライアンスの実際について話を聞いた。

[末岡洋子，ITmedia]

　SOX法こと米国企業改革法をはじめ、世界的に内部統制に関する新しい規制への順守が大きな課題となっている。日本でも、J-SOX法こと金融商品取引法案が閣議決定しており、無関係ではなくなってきた。そんな中、ERP大手の独SAPが先日、コンプライアンスを専門とした新事業ユニットGRC（Governance, Risk management, and Compliance）を立ち上げた（関連記事）。今後、コンプライアンスを自社業務アプリケーションスイートのコアとして取り扱うという。

　「SAPにはしては珍しく、他社に先駆けて新しいカテゴリを作った」と、GRCを担当するダグ・メリット氏（SAP Labsでスイートオプティマイゼーション担当執行副社長兼ゼネラルマネージャ）は笑う。だが、これはそれだけ顧客の課題が大きかったことの裏返しでもある。

　フランス・パリで6月1日まで開催された「SAPPHIRE '06 Paris」にて、メリット氏、SAPのプロダクトテクノロジーグループ・戦略担当副社長のアミット・チャッテジー氏、コンプライアンスでSAPと関係が深い米PricewaterhouseCoopersの欧州地区パフォーマンス担当パートナー、アンドリュー・ミスキン氏、同ブライアン・パーカー氏に、GRC、コンプライアンスの実際などについて話を聞いた。

左から、PwCのパーカー氏、同ミスキン氏、SAPのメリット氏、同チャッテジー氏

ITmedia　GRCを立ち上げた意図について教えてください。

メリット氏　SAPは数年前からコンプライアンスのアプリケーションやツールをばらばらに提供してきましたが、この分野はこの3年ほどで大きく変わりました。SOX法などの新しい規制が増え、ITが大きな役割を果たすようになります。そこで、SAPはこれまでばらばらに提供してきたコンプライアンス機能をさらに深く、さらに広く提供するため、mySAP Business Suiteのコアにコンプライアンスを持たせる戦略にしました。単なるコンプライアンスではなく、ガバナンスとリスクマネジメントもカバーし、ビジネス上のメリットをもたらすものに変えます。

　コンプライアンスにおける課題として、まず分断化があります。規制そのものも増えているし、グローバル化により地域の規制への順守も必要です。企業は、似ているが完全に同じではないリポートを作成しなければならず、作業は規制別、地域別、業種別に分断化しています。もう1つの課題として、コンプライアンスに必要な情報を含むアプリケーションが異なることもあります。ある情報はPeopleSoftに、ある情報はSAPに含まれており、これが作業をさらに複雑にしています。

チャッテジー　われわれは4月に米Virsa Systemsを買収しました。GRCは、このVirsaの製品を中核に進化させます。18カ月の見通しでロードマップを敷いており、この秋にはプロセスコントロール、2007年春にはエンタープライズ・リスクプロセス・マネジメントと発展し、夏にGRCを完全に統合する計画です。

GRCは18カ月で完成させる。共通土台、業種別と、アプリケーションを用意する予定だ

GRC成熟モデル。時間の経過とともにメリットが増える

ITmedia　各社がコンプライアンスに関連した製品を提供しています。SAPの強みはなんですか？

チャッテジー　コンプライアンスの市場は、2004年は105億ドルだったのが、2007年には270億〜300億ドル規模という予想が出されている大きな市場です。このうちの3分の1が技術、3分の2がコンサルティングなどのサービスといわれています。

　コンプライアンスに関連したツールを提供するベンダーは450社ともいわれていますが、そのどれもがGRCの一部を解決するポイントソリューションにとどまっています。（企業が順守する規制は1つではなく）各種の規制を順守するには、システマティックなアプローチが求められます。これには、GRCを全体的に解決するソリューションが必要です。

メリット　SAPは、ERPとコンポジットアプリケーションを提供する立場として、共通した1つのGRCの土台を提供できます。これにより、全事業部共通のアプローチでGRCに取り組むことができます。NetWeaverを利用することで、SAP、非SAP、プロプライエタリなレガシーとあらゆるアプリケーションを統合できます。

SAPではGRCを“コアリング”の中心ととらえている

　具体的には、業界共通のGRCアプリケーションとして「Virsa Compliance Calibrator for SAP」「Virsa Accesss Enforcer for SAP」「Virsa Role Expert for SAP」「SAP Treasury＆Risk Management」などを提供し、財務サービスなどの業種に向けて業種別ソリューションも展開します。