有効性の評価を自動化することで工数を半減：SAP、GRCソリューション新製品を発表

[大津心，＠IT]

　SAPジャパンは7月1日、SAP BusinessObjectsのGRC（ガバナンスリスクコンプライアンス）ソリューションを構成する最新版「SAP BusinessObjects Process Control 3.0」（以下、Process Control 3.0）と、「SAP BusinessObjects Risk Management 3.0」（以下、Risk Management 3.0）を発表した。2009年10月から出荷を開始する。

SAPジャパン ビジネスユーザー＆プラットフォーム事業本部 GRC／EPM事業開発部 部長 中西正氏

　GRCとは「ガバナンス、リスク、コンプライアンス」の頭文字で、日本版SOX法を代表とする内部統制を支援するための取り組みを指す。今回のソリューションは、SAPが買収したBusinessObjectsのGRCソリューションを機能拡張したもの。SAPジャパン ビジネスユーザー＆プラットフォーム事業本部 GRC／EPM事業開発部 部長 中西正氏は「上場企業の内部統制報告書の締め切りが6月30日であり、多くの企業の内部統制担当者はほっと胸をなで下ろしているところだろう。しかし、このような経済情勢下において、2年目以降も初年度のようなコストや人はかけられないのが実情だ。また、現状では『リスクの認知まではできているものの、リスク対策の実行まではできていない企業』が大半だ。GRCソリューションを導入することで、リスクやコンプライアンス対策をプロセスに埋め込み可視化できるほか、コントロールの自動化などによってコスト削減も実現できる点は大きい」とコメントした。

　今回発表されたProcess Control 3.0とRisk Management 3.0は、BusinessObjectsのリスク管理ソリューションの一部を担う製品。Process Control 3.0は、モニタリングや自動コントロール、マニュアルテストなど、業務プロセスを管理するための製品。外部のリスク管理製品やアクセス管理製品などと連携が可能となっている。Risk Management 3.0は、リスクアセスメントやリスクの優先順位付け、KRIなどを提供する。新機能としては、リスクベースのアプローチに対応した点や、自動コントロールの拡充、新テクノロジの活用などが挙げられる。

　リスクベースのアプローチでは、従来はコントロールすべき項目ごとに固定的な対応をする“コントロールベース”のテスト計画に対応していたが、今回からはリスクの重要性に基づき、影響度に応じた対応を行う“リスクベース”のテスト計画に対応した。これにより、リスク項目ごとに詳細なテスト設計ができるため、必要以上のテストを省き、手間やコスト削減が可能になったという。

　自動コントロールの拡充では、200以上の定義済みスクリプトを提供することで有効性評価を自動化する。SAPが提供する定義済みスクリプト以外にテストの内製化も可能だ。同社 ビジネスユーザー＆プラットフォーム事業本部 GRC／EPM事業開発部 GRCグループマネージャ 中田淳氏は、「ある企業で有効性評価を自動化したところ、マニュアル時と比較して45〜55％の工数を削減できた」と説明した。

「Adobe Interactive Forms」との連携イメージ

　新テクノロジの活用では、XcelsiusやCrystal Reportといったレポーティングツールとの連携を強化。40種類以上の定義済みレポートを提供する。また、PDF技術を業務システムの入力画面として利用できる「Adobe Interactive Forms」との連携によって、オフラインテストの生産性も向上させたという。

　Risk Management 3.0では、新機能としてSAPがワールドワイドで培ったノウハウを基に作成した「定義済みKRI（Key Risk Indicator）」を提供する。例えば、品質リスクの場合、「顧客からのクレーム」というKRIに対して、「連続3カ月平均で10％の超過」というケースがあった場合には“リスクが大きいと判断する”といった具合だ。このようなKRIを提供することで、企業のリスク管理効率化を手助けするのが狙いだ。

　販売ターゲットは、既存のSAP ERPやSAP BusinessObjects GRCソリューション顧客を中心に、新規顧客を開拓する。目標は3年で100社とした。