SAPジャパンおよびプロティビティ ジャパンは2010年1月19日、日立情報システムズ(日立情報)が、SAPの「ガバナンス、リスク、コンプライアンス(GRC)」ソリューションである「SAP BusinessObjects Access Control」を2009年4月に導入し、本格的に稼働を開始したことを発表した。
導入に際しては、リスクマネジメントに特化したコンサルティング会社のプロティビティ ジャパンが、SAP ERPの権限(ロール)の定義の見直し、日立情報の業務プロセスに応じた職務分掌ルールのカスタマイズ、実装、リスク分析、トレーニングなどを担い、支援を行った。
発表によれば昨今、金融商品取引法の内部統制報告制度(J-SOX法)をはじめとする各種の法規制により、企業の健全な内部統制が厳しく求められるようになっている。SAP BusinessObjects Access Controlは、全社レベルのITシステムにおけるアクセス権限のリスクを特定、排除して不正を防ぎ、継続的な法規制遵守とアクセス権限管理にかかるコストの削減が可能なSAPのソリューション。
包括的なアクセス権限管理環境によって、コンプライアンスを考慮したユーザープロビジョニングや、特権ユーザーの管理と監視が可能になる。その結果、企業は、コンプライアンスに関わる時間、リスク、コストの削減と、法規制遵守に関するリスク低減を期待できる。
日立情報では、5,000人以上の従業員がSAP ERPを利用し、各種サービスを提供していることなどから、アクセス権限管理やプログラム変更管理などに関わる作業が多く発生して運用負荷が増加し、内部統制リスクの可視化や内部統制テスト評価の効率化が課題となっていたという。そのため、親和性の高いSAPのGRCソリューションが導入された。
その結果、システム上で故意・過失を問わず財務諸表の正確性に悪影響を与える可能性のあるユーザーの自動特定・排除によって統制強化が図られ、職務分掌レポートの自動作成機能による内部統制のテスト評価工数、監査対応工数の削減が可能になった。また、特権ユーザーの申請履歴と貸与期間の管理や、全作業証跡の確保により、日常的な特権ユーザーの管理とモニタリング、使用状況の可視化が行えるようになった。日立情報では、アクセス権限管理の運用、内部統制監査にかかる作業工数を導入前と比べ年に約780時間削減できたとのこと。
SAPジャパン
http://www.sap.com/index.epx
プロティビティ ジャパン
http://www.protiviti.jp/
