日本オラクルは企業の内部統制管理/危機管理の分野での展開を強化し、企業のガバナンス、リスク、コンプライアンス(以下:GRC)をITシステムで支援するアプリケーション製品「Oracle Governance, Risk, and Compliance Manager (以下、GRCM)」と、「GRCM」のオプション製品として、職務分掌管理ツール「Oracle Application Access Controls(以下、AAC)」、業務処理統制モニタリングツール「Oracle Application Configuration Controls(以下、ACC)」とGRCに関する情報分析ツール「Fusion Governance, Risk, and Compliance Intelligence(以下、Fusion GRC Intelligence)」を発売すると発表した。
「GRCM」は、企業内を業務フローの観点から、会計部門、組織、勘定科目と、業務プロセスの関連付けを明確化し、統合的に管理。テストを実施し、不備、欠陥の把握から改善処理、有効性の評価、それらの報告といった業務を効率化する。また、監査、文書管理など、日本版SOX法で求められる、いまや緊急性を要する課題にも対応する。
今回の製品群は、「GRCM」を核に、「AAC」「ACC」「Fusion GRC Intelligence」をあわせ、企業の内部統制、危機管理を全般にわたり取り扱うソリューションという構造になり、「AAC」が職務分掌管理、「ACC」が業務システムの設定変更管理を担う。
|
|
|
Oracle Governance, Risk, and Compliance Managerの概要 |
「AAC」は、「Oracle E-Business Suite」が備える、ユーザーごとに機能を使える権限を制限する機能と連動、請求書の入力と支払いなどのような、同一の人物が兼任すべきでない職務を事前に特定したり、これに違反する事例をがあれば、一覧表示するなどの機能をもつ。
「ACC」では、「Oracle E-Business Suite」の、業務処理統制にかかわるパラメータ--与信限度額、手動解除の許可、在庫補充方法など--の変更を監視、推奨値と実際の設定値を比較するといった機能がある。
「Fusion GRC Intelligence」は、BI(Business Intelligence)の領域を受けもち、GRCについてレポートする。危機管理の工程と経営分析工程を統合するほか、それぞれのさらに詳細な情報へのドリルダウン機能などを備えている。
|
|
|
日本オラクル 執行役員 アプリケーションビジネス推進本部長 藤本寛氏 |
同社の藤本寛執行役員アプリケーションビジネス推進本部長は「オラクルの考えるGRCの概念は、企業全般の活動を一元管理しようとするものだ。オラクルのERP、データベース、ミドルウェアなどすべてを用いて、諸課題に網羅的に対処する」と話す。同社では「GRCM」の専任組織を設置、IBM ビジネスコンサルティング サービス、新日鉄ソリューションズ、ソピア、NEC、日本ユニシス、日立コンサルティングなどと連携して積極的に展開していく意向だ。
企業の内部統制をITで支援するしくみが求められている背景として、藤本氏は「この10-15年ほど、規制緩和、公営事業の民営化、自由化などが、ものすごい勢いで進行してきたが、その一方で、企業のオペレーションにかかわるところへの規制は、かえって増えており、企業をとりまく規制は複雑になっている」と述べ、会計関連、セキュリティ、ITガバナンス、法令順守など、企業への規制は非常に多様化していると指摘する。
そのような状況の下「従来、企業のオペレーションへの規制については、企業は、部門や事業の分野ごとに対応してきた。対処のため、個別にITのしくみをつくらざるを得なくなっている。しかも、制度、法の違いから、国、地域ごとに別々の取り組みを実行しなけらばならないため、いわば、掛け算のように複雑化していた。しくみは、それぞれが『サイロ化』している。今後、国内では、日本版SOX法が施行され、危機感をもつ企業も出てきている」(藤本氏)との現状があるという。
企業の内部統制への取り組みは徐々に進行している。必須的な、業務工程の標準化、文書化はまず第一に必要だが、規制、法制度の拡大傾向のなか、文書管理から、アクセスコントロール、職務分掌、システム運用管理、法令順守の教育、経営支援の視点に至るまで、課題となる事項もまた多岐にわたっている。同社ではこのような広範囲の諸条件に「包括的に対応するソリューションを提供できるのはオラクルだけ」と強調している。
同社のアプリケーション事業統括 ブライアン・遠藤 シニア・ディレクターは「GRCでは戦略的な観点が重要になる。GRCの目的は企業価値を向上させることや、訴訟されるなどのリスクを軽減することにある。戦略がないと、組織はサイロ化、アプリケーションは重複、情報が共有されない危険性が出てくる」と語り、内部統制には、企業全体を見据えた視点が必要と指摘する。
