SAPジャパンは7月1日、同社のGRC(ガバナンス、リスク、コントロール)ソリューションの最新バージョン「SAP BusinessObjects Process Control 3.0」と「SAP BusinessObjects Risk Management 3.0」を発表した。出荷開始は10月を予定している。

SAPジャパン ビジネスユーザ&プラットフォーム事業本部 GRC/EPM事業開発部 GRCグループマネージャー 中田淳氏

今回より、この2つのソリューションの連携による内部統制の統合/自動化の強化が図られている。最大のポイントは、内部統制における「コントロールベースからリスクベースへのアプローチを促進する」(SAPジャパン ビジネスユーザ&プラットフォーム事業本部 GRC/EPM事業開発部 GRCグループマネージャー 中田淳氏)ところだ。統制ポイントを網羅的にカバーするのではなく、リスクの大小に応じてテスト計画を立てることを推奨する。「リスクの大きい統制ポイントはテストを重点的に行い、リスクの小さいポイントは自己診断、もしくはテストを実施しない、とリスクベースで運用を行うことで、内部や外部の環境変化にも迅速に対応することが可能になる。コンプライアンスと効率化の"二兎"を追える製品」(中田氏)という。

また、SOX法だけでなく、PCIなどのセキュリティ基準、米国食品医薬品局の規制であるFDA、企業独自の統制ルールなど、社内外のさまざまなコンプライアンスフレームワークへの拡張が図られている。

そのほか、BusinessObjectsのポートフォリオでSAPが統合したCrystal ReportsやXcelsiusとの連携が可能になり、40以上の定義済みレポートが提供、分析レポーティング機能が強化されている。また、Adobe Interactive Formsとの連携によりオフラインテストが実現、ネットワーク環境が不十分な支社や支店においても、スムースなコミュニケーションが可能になるという。

SAPジャパン ビジネスユーザー&プラットフォーム事業本部 GRC/EPM事業開発部 部長 中西正氏

SAPジャパン ビジネスユーザー&プラットフォーム事業本部 GRC/EPM事業開発部 部長 中西正氏は、リスクベースソリューションの重要性について、「人間が考えている以上にリスクは広範に存在しており、人手でさばくには限界がある」とした上で、「抱えているビジネスの何がリスクに晒されているのか、コンプライアンスとリスクの継続的なモニタリングを自動化することで、効率性とコスト削減を同時に実現できる」としている。内部統制は直接的な利益を生まないにもかかわらず、どうしてもコストがかかる。1年目と同じだけのコストをかけることは企業にとって避けたい事態のはずだ。また、リスク対応をおろそかにすれば、大きな経営リスクにつながりかねない。2年目以降は、コストを抑えながらも、ITによる効率的な統制が求められるといえそうだ。