PR

 SAPジャパンは2008年10月9日、全社的なリスクマネジメント(ERM)を支援するソフト「SAP GRC Risk Management」日本語版の販売を開始した。企業経営にかかわるリスクの洗い出しからリスクの評価、リスク対応策の立案、リスク対応策が有効かどうかを確認するモニタリングまで、ERMに必要な一連の作業を可能にするのが狙いだ。

 GRC Risk Managementは、ガバナンス(企業統治)やリスクマネジメント、コンプライアンス(法令順守)を支援するGRC(ガバナンス・リスク・コンプライアンス)製品を束ねる役割を果たす。同社はGRC製品として、アクセス管理用の「GRC Access Control」、統制プロセスを管理する「同Process Control」、貿易・通関管理用の「同Global Trade Services」、環境対応の「Environmental Solutions」を販売している。

 GRC Risk Managementを使うと、これらのGRC製品やERP(統合基幹業務システム)などの同社製パッケージから得られた情報を基にERMの仕組みを構築できるようにする。同社のミドルウエア「NetWeaver」を通じて、SAP以外のシステムを呼び出すことも可能だ。「リスクに関する情報を一元管理する仕組みにより、経営陣、事業部門、リスク管理者がそれぞれ同じ情報を基にどんなリスクが存在するかを理解し、適切なアクションを実施できる」と、桐井健之 バイスプレジデントGRC/EPM事業開発本部長は話す。ERMのポリシーをアプリケーションに“埋め込み”、全社に徹底できることもSAPがERM支援ソフトを提供するメリットという。

 GRC Risk ManagementでERMの仕組みを構築する際にはまず、リスクカタログを作成する。ここに想定される事業リスクをできるだけ挙げておく。次にそれぞれのリスクに対して、リスク間の因果関係(KRI=主要リスク指標)やどの程度の損失を許容するかなどを設定する。これらを使って、リスクの評価を実施する。設定したKRIを使って自動評価することも、定量・定性分析などで手動評価することも可能だ。その結果を「赤だと優先度“高”」などと色分けして表示する。

 評価したリスクに対して、対応策を設定したり状況をモニタリングする機能も備える。対応策の設定では、「財務報告にかかわる内部統制の不備にはGRCを使う」などとそれぞれのリスク対応に適するSAPの製品を割り当てる。「リスク対応策を業務の実践レベルにまで落とし込めるのが当社の強み」(GRC/EPM事業開発本部の中田淳マネージャー)。モニタリング機能として、リスクマネジメントや経営管理の状況をビジュアルに確認できるダッシュボードなどを提供する。

 同社としてはGRC Risk ManagementをSAPユーザー以外にも売り込んでいきたいとする。ただし「ERP製品と比べ、GRC製品は“道具”としての意味合いが強い」(桐井バイスプレジデント)といい、導入のハードルはかなり高いといえそうだ。同製品を使ったコンサルティングを提供するパートナーとして、アビーム コンサルティング、トーマツ企業リスク研究所、プロティビティ ジャパンの3社と協業する。3年間で50システムの販売を目指す。

 ちなみに現在、J-SOX(日本版SOX法)対応を進める企業のうち、「J-SOX対応で止まる」企業と「J-SOX対応をERMにつなげていく」企業の割合がどの程度になりそうかを尋ねたところ、桐井バイスプレジデントは「6対4程度ではないか。どちらが“6”かは想像にお任せする」と答えた。