日本オラクルは7月2日、内部統制の整備や、有効性の評価を支援するソフト「Oracle Governance, Risk and Compliance Manager(GRCM)」を発表した。Oracle GRCMは、企業が内部統制を整備し、運用していくうえで必要な情報を収集し管理する。「内部統制管理の責任者だけでなく、現場の担当者や、経営者など、色々な立場で内部統制にかかわる人が持つ情報を相互に活用可能にする」(アプリケーション推進本部ソリューション推進部の桜本利幸ディレクター)目的で利用する。
Oracle GRCMで管理する情報は、業務プロセス中のリスクや、リスクに対する統制(コントロール)が中心だ。どのリスクが、どの勘定科目に結びついているかなど、日本版SOX法で監査用として一般的に作成する「RCM(リスク・コントロール・マトリックス)」に含まれる情報が該当する。RCMで記述した内容を、有効に整備・運用しているかを確かめるためのテスト計画やテスト結果を同時に管理する。
日本オラクルは、Oracle GRCMと同時に3製品をオプションとして出荷する。具体的には、職務分掌管理ソフト「Oracle Application Access Controls(AAC)」、業務処理統制モニタリング・ソフト「Oracle Configuration Controls(ACC)」、Oracle GRCMなどで収集したデータの分析ソフト「Fusion Governance,Risk,Compliance(GRC) Intelligence」だ。
Oracle AACは、事前に決められた職務上の役割(職務)に応じた権限設定がされているかをチェックするソフト。権限設定に職務分掌上の違反があったユーザーなどを一覧表示できる。Oracle ACCは、アプリケーションのパラメータ設定などのログから、変更の履歴を記録する。アプリケーションが動作するインスタンスは複数に分かれていても、一元的に管理できる。内部統制の整備上、理想としたパラメータ設定との差異を分析することも可能だ。
両製品とも「現状ではオラクル傘下のアプリケーションが中心だが、将来的には非オラクル製品やメインフレームなどのデータも取得できるようになる」(桜本ディレクター)という。Fusion GRC Intelligenceは、社内の内部統制の整備状況などを分析するためのダッシュ・ボードを事前に用意する。
各製品とも出荷は7月3日から。価格は1ユーザー49万9375円で最小40ユーザーから導入可能だ。日本オラクルは、今回の発表に合わせてGRCMを販売するための専門組織を設立した。「ユーザー企業のシステム部門だけでなく、財務部門など内部統制にかかわる部門に広く売り込んでいきたい」(アプリケーション事業統括のブライアン・エンド シニア・ディレクター)としている。
