SAP GRCとは?現代企業に必須のリスク管理機能を解説
INDEX LINK
はじめに
現代の企業には、さまざまな行動規範が求められています。
これらは、ガバナンス・コンプライアンスといった言葉で表現されますよね。
また、多種多様なリスク管理も必要です。
これらはコア業務ではないものの、決して蔑ろにできないものばかり。
SAPでもリスク管理やガバナンス、コンプライアンス管理に対応した製品「SAP GRC」が登場しています。
1.注目が集まるGRCツール
「GRCツール」と言う言葉を聞いたことがあるでしょうか。
内部統制がらみのプロジェクトを経験した方ならば、見覚えがあるかもしれません。
GRCツールとは、ガバナンス(Governance)、リスク(Risk)、コンプライアンス(Compliance)を管理するためのソフトウェアやシステムを意味します。
企業や組織がリスクを正しく管理し、規制や法令を遵守しながら、戦略的な目標を達成するために使用されるのがGRCツールです。
1-1.GRCツールの基本要素
GRCツールは、以下3つの基本要素を持っています。
・コーポレートガバナンス(Governance)
企業や組織が方針・目標に従い、業務が適切に運営されるようにまとめることを意味します。
本来は「統治」「管理」を意味する言葉ですが、これが転じて「企業統治」として語られるようになりました。
企業統治(コーポレートガバナンス)は、「企業がステークホルダーや社会的立場を踏まえたうえで、透明かつ公正で、迅速な意思決定を行うための仕組み」とされています。
ちょっとわかりにくいのですが、GRCツールでは、業務の割り当てや正常な運営の監視、意思決定システムの基準設定などが行われるようですね。
・リスク(Risk)
企業が慎重にリスク(法的、運用など)を特定し、評価し、管理するための機能もあります。
リスク管理は、潜在的なリスクを把握し、事前に対策を講じることで損失や問題を念頭に置くことが目的です。
・コンプライアンス(Compliance)
昨今よく耳にするコンプライアンスとは、「業界規制、法律、社内ポリシー、倫理基準」などを意味します。
これらに従って業務を行っているかどうかを確認し、確実にするプロセスがGRCツールに内包されています。
1-2.一般的なGRCツールの機能
一般的なGRCツールには、以下のような機能が含まれます。
・リスク管理: リスクの特定、評価、監視、対応策の実施を支援します。
・コンプライアンス管理: 法律や規制に対する状況遵守を確認し、禁止を防止します。
・内部監査機能: 定期的に業務プロセスやコンプライアンスの状況を監査する機能。
・レポート作成: リスク状況およびコンプライアンスの遵守状況に関する詳細なレポートを作成します。
・インシデント管理:セキュリティや法令のインシデントが発生した場合、その管理や対応をサポート。
2.GRCツールが重要とされるようになった背景
GRCツールは2010年代から徐々に注目され始め、現在では大手ITベンダーからもリリースされるほど大きなカテゴリになりました。
そのきっかけは、2000年代初頭にさかのぼります。
2-1.大企業の不祥事と規制強化
2000年代初頭、米国では大企業による会計不正や不祥事が多発しました。
特に有名な例が、エンロンやワールドコムといった企業による大規模な不正会計事件です。
これら巨大企業の中に潜み続けた不正の社会的影響力の大きさは驚異的で、結果的にこれらの企業は経営破綻に行きつきました。
また、2002年に成立したサーベンス・オクスリー法(SOX法)は、企業の会計や報告に関する規制を厳しくし、
コンプライアンスとリスク管理が企業経営の重要な要素となりました。
こうした法規制に対応するため、多くの企業がGRCツールを導入し始めたのがきっかけとされています。
2-2.グローバル化と規制の複雑化
企業が国際的に事業を展開するためには、異なる国や地域の規制や法律に対応する必要があります。
特に金融業界では、バーゼル規制やドッド・フランク法といった国際的な規制に対応するため、
リスク管理やコンプライアンスを効率的に行うためのツールが必要になりました。
このことがGRCツールの導入を後押しするきっかけになったと言われています。
2-3.情報技術の進展
2000年代後半からのITの発展に伴い、大量のデータを効率的に管理し、リスクやコンプライアンスを改めて監視できるシステムが開発されました。
これにより、GRCツールが進化し、企業全体でのリスクやコンプライアンスの一元管理が可能になりました。
2-4.現在も続くGRCへの要請
2010年代以降、リスク管理やコンプライアンスの重要性はさらに大きくなりました。
企業はサイバーセキュリティリスクやデータプライバシー規制(例:EUのGDPR)にも対応する必要が生じたからです。
GRCは単に内部不正を検知するだけではなく、リスクの予測、対応策の判断、コンプライアンス状況の監視など、
多機能なプラットフォームとしての役割が求められるようになっていったのです。
現在でもこの流れは変わらず、GRCツールはより高機能な製品へと進化を続けています。
日本ではそれほど導入が進んでいませんが、あらゆる業界でコンプライアンスが重視される今、GRCツールが存在感を増すことは間違いないでしょう。
3.SAP GRCツールとは
こうした時代の要請をうけて、SAPでもGRCツール「SAP GRCツール」を提供しています。
SAP GRCツールでは、複雑化したGRCへの対応を支えるために、GRC関連の情報を一元的に管理し、ワークフローやグループウェアとしての機能を持たせています。
3-1.内部統制評価機能
SAP GRCツール(SAP Process Control)には、企業グループ間で内部統制評価に必要な情報を一元管理するためのダッシュボード機能が搭載されています。
内部統制評価はとても手間のかかる作業です。
本社の各部門との連携、グループ会社との情報共有などが絡むため、一朝一夕には進みません。
この作業を効率化するのがSAP Process Controlです。
SAP Process Controlを導入することで、各部門担当者間において作業通知や情報収集作業の効率化が期待できます。
3-2.内部監査の自動化機能
GRCツール(SAP Audit Management)には内部監査がシステムの標準機能として搭載されています。
データベース化された情報をもとに、監査レポートのレビューを簡易にし、内部監査レポートの提出を迅速に行うことが可能です。
3-3.Access Controlによる権限管理の自動化
SAP GRCには職務分掌に応じてアクセス権を管理する機能「Access Control」も搭載されています。
Access Controlの主要機能は以下5つです。
・アクセスリスク管理:アクセスに関するリスクの発見と提言
・アクセス申請の管理:アプリケーションのアクセス管理を自動化
・ロールの管理:権限ロールの定義と管理
・定期アクセスレビューの管理:アクセス割り当ての正当性を管理
・緊急アクセス管理:緊急時のアクセスと特権ユーザーの管理
3-4.リスク分析
事前に定義された職務分掌やSAPが定義している職務分掌にしたがい、業務上のリスクが発生しないかを分析する機能です。
例えば、本来は在庫管理部門に属する人間が触れない機能(得意先登録や販売伝票作成)などを操作できてしまうと、架空の取引を作り上げるリスクが発生します。
こうしたリスクを機能的な面から潰してしまおうというのがリスク分析の要諦です。
「販売伝票と得意先登録の権限ロールが同一のユーザーに付与されないようにする」
「伝票登録のユーザーとマスタ登録のユーザー権限を分ける」
といったリスク回避のために使用されます。
ERPは組織構成がそのままシステムに反映されます。
しかし、上記のようなリスクはどうしても発生するため、組織のリスクをそのままシステムに持ち込めないように配慮されているのが、リスク分析機能なのです。
まとめ
今回は昨今注目されるGRCツールの概要と重要性、SAP GRCツールの機能について紹介しました。
GRCはますます重視される傾向にあり、GRCツールの需要も高まってくると予想されます。
ERPとも関係が深いツールですので、基礎的な機能については学習しておきましょう。
