「個別の法規制対応で終わり」ではない――SAPが唱える内部統制

SAPジャパンは「SAP Solutions for GRC」を通じて、包括的な内部統制を支援していくという。

[ITmedia]

　SAPジャパンは3月7日、企業のリスクマネジメントや内部統制実現を支援する「SAP Solutions for GRC」に関する説明会を開催した。

　このソリューションは、内部統制の中でも特にIT統制の部分、具体的にはアクセスコントロールやアイデンティティ管理、プロセス管理、SOX法対応プロジェクト管理といった分野をカバーする複数の製品から構成されている。同社のパートナーでもあったVirsa Systemsの買収を踏まえ、2006年に立ち上げられたビジネスユニット「GRC」（Governance, Risk management, and Compliance）が展開してきた、同社にとっては比較的新しい事業だ。

　日本版SOX法の施行が迫るにつれて、競合他社も同様に内部統制支援をうたう製品群を投入している。

　SAPアジアパシフィック＆ジャパンのシニアバイスプレジデント兼CTO、サイモン・デール氏はこれに対し、「一部のソリューション、例えばプロセスコントロールの部分だけを提供するベンダーはほかにもいくつかあるが、包括的なスイートを提供しているところはSAP以外にはない」と述べた。ちょうど15年前のERP市場と同じように、より広範なソリューションを展開している点が強みという。また「NetWeaver」およびエンタープライズSOAといったテクノロジをベースにすることで、SAPの製品だけでなく、他社製アプリケーションにも適用できる点も特徴だとした。

　さらに、SAPジャパンパートナー＆マーケティング統括本部、GRC事業開発シニアスペシャリストの大久保尚氏は「SAP Solutions for GRCは、SOX法などの個別の法規制対応に終わるのではなく、総合的リスクマネジメントに向けたアプローチ。日本版SOX法はそのスタートという位置付けだ」と述べている。

　同ソリューションの中核をなすコンポーネントが「GRC Access Control」と「GRC Process Control」だ。

　「米SOX法対応の中で、内部統制、特にIT統制の不備が指摘されるケースが多かった。中でもセキュリティおよびアクセスコントロールは最重要の項目となっている」と大久保氏。「Compliance Calibrator」をはじめとする複数の製品から構成されているGRC Access Controlはこの部分にフォーカスしており、役割（ロール）に応じたアクセス管理や職務分掌を実現する。

　このうちCompliance Calibratorでは、設定やメンテナンスの手間をかけることなくアクセスおよび権限をコントロールできるという。「例えば、部門移動のたびに権限を追加していくと不正処理のリスクが高まる。この部分を人間に代わってコントロールする」（同氏）。把握できたリスクを抑えるために、どういった変更を加えるべきかをシミュレートする機能を備えている点が特徴だ。

　既に日本語化されたバージョンが出荷済みだが、3月末〜4月初めにリリース予定の新バージョン5.2では、Javaベースのグラフィカルインタフェースが提供されるという。

日本語化を進めている段階というCompliance Calibratorの次期バージョン

　一方のGRC Process Controlは、文字通り、各統制プロセスをモニタリングするツールだ。SAP ERPと連動し、定義された内部統制が業務アプリケーションの中できちんと定義されているかどうかを自動的にチェックできる機能を備えている。ドリルダウン形式でリスクや課題をピンポイントで洗い出すことが可能だ。現在日本語化作業の最中といい、GRC Access Control 5.2と同じタイミングでリリースされる予定だ。

　SAPジャパンではさらに、環境規制や安全保障といった分野をカバーするコンポーネントについても、順次提供していく予定としている。