日本版SOX法の登場で、リスク管理部門の発言権が向上：SAP、統合リスク管理製品をリリース

[大津心，＠IT]

　SAPジャパンは10月9日、統合リスク管理製品「SAP GRC Risk Management」の日本語版の提供を開始した。SAPジャパン バイスプレジデント GRC/EPM事業開発本部 本部長 桐井健之氏は、「いままでの日本の企業では、監査室やリスク管理部門が事業部門へ発言しにくい風土があった。しかし、日本版SOX法の登場で、堂々といえる雰囲気ができあがりつつある。今後、日本版SOX法対策からさらに一歩進んだリスク管理業務へのよい道筋ができたのではないだろうか」とコメントした。

　GRC Risk Managementは、ERPなど基幹システムが持つデータを基に、最新のビジネス状況に応じたリスク管理を実現するための製品。SAPのSOA基盤である「NetWeaver」を土台として、SAP ERPはもちろんのことWebサービスを通じてさまざまなシステムとの連携を実現。それらのシステムから収集したデータを基に、財務・法務・販売・環境などの各種リスクを自動的に特定・管理することができる。

　桐井氏は、「日本企業の場合、リスク管理者の立場が弱く発言権がない場合が多い。これは“事業部門がお金を稼ぐ邪魔をするな”という発想があるからだろう。例えば、リスク管理者が事業部門へヒアリングに行ってもリスクが隠ぺいされてしまうケースがほとんどだ。しかし、GRC Risk Managementなどを使えば、全社共通基盤であるERPなどから直接データを収集できるので集めやすい。自動的に収集するので隠ぺいされる心配もない。このように同じデータの上に立って客観的に把握できる点が大きなメリットだ」とコメントした。

　GRC Risk Managementでは、各企業の固有のリスクを事前に定義する「計画策定」、業務システムのデータにKRI（Key Risk Indicator）を埋め込んで評価・分析を行う「リスク評価」、過去の経験などに基づき差異的な対応策を設定する「リスク対応」、リスク管理状況を数値化してダッシュボード上で可視化する「モニタリング」の4工程に分かれる。

　例えば、A社から「1カ月以内に鋼鉄1000トンを納入してほしい」という受注を受けた場合、「中国、ロシア、タイにある工場のどこで増産するべきか」や「原料調達ルートのリスク」などを各種システムからデータ収集し分析。「中国の場合には原料を海外から調達しなければならず、その許可証を政府からもらうのに時間がかかる」や「ロシアの場合、キャパシティオーバーで生産が追い付かない」などのリスクを可視化することで、判断材料とすることができる。

　販売ターゲットは、既存のSAPユーザーや継続的なリスク管理を目指している企業。従来のERPパートナーとは違ったスキルセットが必要なため、リスク管理コンサルティング経験の豊富なパートナーを拡充させていくとした。今後3年間で50社への導入を目指す。

　桐井氏は、「リスク管理製品の導入は計画策定やリスク評価が重要だが、この部分は企業ごとに大きく異なるため、ほとんどのケースでコンサルティングが必要だ。そのため、リスク管理が得意なコンサルティングパートナーとの連携が重要となる。そのため、既存パートナー協力と併せて、リスク管理が得意なパートナーとの協業も模索していく」と説明した。