SAP ジャパン、内部統制評価ツールの標準化を目指して

SAP ジャパンは2007年4月4日、 内部統制の評価プロセスを自動化・効率化する「SAP GRC Process Control」日本語版の販売を開始した。

製品自体は昨年9月に発表されており、 同社の包括的コンプライアンス対応/リスクマネジメントソリューション「SAP Solutions for GRC」の中核的製品となるもの。 すでに出荷済みの、システムの職務分掌（SoD）管理ツール「SAP GRC Access Control」とシームレスに統合する。

SAP では今後、これらの業種非依存型 GRC 標準化を促進する意向だ。

SAP Solutions for GRC *クリックして拡大

2006年6月に成立した「金融商品取引法」、いわゆる JSOX 法では、 財務諸表に係わる内部統制を評価する「内部統制報告書」の提出が義務づけられるが、その適用開始時期を2008年4月に控えて、 市場にはさまざまな“JSOX 法”対応商品があふれ、 企業側もその対策に追われているのが現状だ。

SAP ジャパン代表取締役社長 Robert Enslin 氏によると、 現在、企業の多くは、 業務に潜むリスクとそのリスクの発生を防ぐための統制ルールの関係を文書化する作業に取り組んでいるが、 文書化完了後は、 内部統制ルールが想定通り運用されているかどうかを評価する作業が不可欠となる、 という。

しかし、評価作業においても、 確認作業の漏れや重複する作業が多発するなどで、 文書化作業同様、コストが増加する傾向にある。

とりわけ、IT システムが関係する統制評価は、 対象システムの各種設定と、 文書化された統制ルールとの整合性確認作業が不可欠で、 最近のように業務のほとんどが IT システムを使用していることを考えると、 確認作業は膨大な量となることが予想される。

また、 評価作業には毎年実行しなければならず、 作業工数は文書化作業と同様かそれ以上がかかるといわれており、 作業効率化を図るツールの需要は大きい。

今回 SAP ジャパンが販売を開始する SAP GRC Process Control は、 内部統制の評価作業の自動化、効率化ツール。

SAP ERP などの統合基幹業務システムをはじめとするビジネスアプリケーションの統制に関する各種設定が、 文書化されたルールに沿っているかどうかを自動的にチェック、 テストする。

例としては、 「受注伝票登録時に、必ず受注先の与信限度をチェックする」という統制ルールがある場合、 受注伝票登録を実行する ERP で「与信限度をチェックする」設定があるかどうかが必要だが、 担当者が直接 ERP 設定を確認しなくても、 SAP GRC Process Control が自動的にチェックし、 設定に不備があれば担当者に自動的に通知する。

このほかにも、 「RCM（Risk Controll Matrix）作成」「サーベイ管理」「課題管理」「モニタリング」「経営者によるサインオフ」などの機能があり、 業界で唯一の包括的な GRC ソリューションだ、 と Enslin 氏は語る。

このツールは SAP NetWeaver で稼動するため、 他社製ビジネスアプリケーションとも連携できる。