日本版SOX法、2年目の焦点はコスト：オラクルが職務分掌管理製品で支援

[垣内郁栄，＠IT]

　日本オラクルは1月13日、企業の内部統制構築を支援する製品で、業務アプリケーションの職務分掌管理を行う新製品「Oracle Application Access Controls Governor」（Oracle AACG）を提供開始すると発表した。各アプリケーションへのアクセス権限を厳密に管理できるようになり、日本版SOX法対応で求められる職務分掌を徹底できる。

　Oracle AACGはオラクルのガバナンス、リスク管理、コンプライアンス関連のスイート製品「Oracle GRC Applications Suite」のリスク・コントロール管理製品「Oracle GRC Controls」に含まれる製品。企業の業務プロセスに関して、「誰が」「何に」アクセスできるかを把握可能で、すべてのアプリケーションやデータソースにアクセスできるような特権的なアクセス権限がユーザーに割り当てられないようにモニタリングできる。

　

日本オラクルのシステム事業統括本部 シニアディレクター 入江宏志氏

　事前にアクセス権限を付与するルールを設定でき、そのルールに反するアクセス権限の設定を防止する。オラクルの「Oracle E-Business Suite」「PeopleSoft」のほか、アダプタを利用することで他社のアプリケーションやカスタムアプリケーションのアクセス権限も管理可能。アクセス状況の分析やレポーティングの機能もある。

　日本オラクルのシステム事業統括本部 シニアディレクター 入江宏志氏は「日本版SOX法対応、2年目の課題はコストだ」と強調し、内部統制上の不備やアプリケーション間のアクセス権限の矛盾を事前に発見するOracle AACGを使うことで、企業はテストや内部監査のコストを下げられると説明した。Oracle AACGは100ユーザー当たり882万5000円からで販売する。オラクルはOracle GRC Controlsに含まれる「Configuration Controls Governor」「Transaction Controls Governor」も順次発売するとしている。

　オラクルによるとアプリケーションベンダの米IntuitはOracle GRC Controlsを導入することで、内部監査と外部監査にかかる時間を大きく削減したという。内部監査時間は月当たり350時間が50時間まで減らすことでき、外部監査のテスト時間はアクセス管理について従来の33％に削減できたという。結果的にIntuitはOracle GRC Controlsに関する投資コストを5カ月以内に回収した。オラクルは「少ない投資で、財務諸表の信頼性を向上させることが可能だ」としている。

　オラクルはまた、内部統制に関するリスクを登録し、一元管理できる「Oracle GRC Manager」を短期導入できるテンプレートサービスを提供開始すると発表した。事前のコンサルティングサービスやサーバのセットアップ、初期設定、説明会などを含むサービスで、GRC Managerの導入に関する要件定義と設定、テストの期間を従来の半分程度の3カ月に短縮できるという。

　多くのアプリケーションベンダ、コンサルティングファームと同様に、オラクルも内部統制は統合的なリスク管理の入り口に過ぎないと捉えている。内部統制の後にリスク・コントロール、リスク管理（Enterprise Risk Management：ERM）につなげていくのがオラクルの考える理想だ。オラクルが提供するGRC Applications Suiteはこのリスク管理を包括的に支援する製品との位置付け。入江氏はリスク管理を視野に入れたIT投資が必要との考えを示した。