図◎Oracle Application Access Controls Governorの実行イメージ
図◎Oracle Application Access Controls Governorの実行イメージ
[画像のクリックで拡大表示]

 日本オラクルは2009年1月13日、内部統制で求められる職務分掌の管理を効率化・自動化するソフト「Oracle Application Access Controls Governor(AACG)」の出荷を開始した。内部統制の対象となる情報システムに対するアクセス権限の設定や管理といった作業を効率化し、管理コストの削減を狙う。「対応コストの削減が主眼になるJ-SOX(日本版SOX法)への取り組みの2年目以降に有効」と、システム事業統括本部の入江宏志シニアディレクターは強調する。

 職務分掌とは、内部統制の対象となる企業における部門や要員の責任や権限を明確にした上で、業務の範囲を決めることをいう。内部統制では必ず求められるものの一つである。IT統制ではこの職務分掌に基づき、対象システムへのアクセス権に関するルール(ポリシー)を策定・運用する。

 内部統制対応の初年度では職務分掌の仕組み作りで手一杯になり、管理の効率化や自動化まで至らないケースが少なくない。その場合は、Excelのような表計算ソフトなどでアクセス権のルールを管理することになる。これではルールの変更やそれに伴うシステムの設定変更が困難な上、システムの運用がルールに基づいているかを調べるモニタリングにも手間がかかる。

 AACGはこうした職務分掌にかかわる作業の効率化・自動化を狙ったものだ()。対象システム利用者の職務分掌に関するルールを一元管理し、ルールに基づいてシステムの利用状況をモニタリング。不正または不適切なアクセスがないかを調べる。職務分掌にかかわるリスクをシミュレーションしたり、内部統制の監査時に提出する証跡データを蓄積・出力することもできる。

 オラクルのERP(統合基幹業務システム)パッケージ「Oracle E-Business Suite」と「PeopleSoft」向けの職務分掌に関するルール集も備える。これらのアプリケーションを利用する企業は、ルール集を生かして職務分掌の管理を短期間で実現できる。ただし、他のERPパッケージや独自開発のシステムの管理も可能という。価格は100ユーザーで882万5000円から。

 AACGは、G(ガバナンス=企業統治)、R(リスク)、C(コンプライアンス=法令順守)の一元管理を狙った「Oracle GRC Applications Suite」の一製品である(関連記事)。Oracle GRC Applications Suiteは、(1)統制に関する情報を一元化するリスク・データベース「GRC Manager」、(2)統制の徹底と効率化を狙ったリスク・コントロール「GRC Controls」、(3)統制の状況を可視化するリスク・ポータル「GRC Intelligence」で構成する。AACGは(2)の第一弾に当たる。追って、変更管理ソフト「Configuration Controls Governor」とトランザクション管理ソフト「Transaction Controls Governor」を投入する予定だ。

 日本オラクルはAACGと同時に、(1)のGRC Managerを短期導入するためのテンプレートとサービスを組み合わせた「GRCテンプレートサービス」の提供も始めた。要件定義からテストまで従来は6カ月以上かかっていたのを、3カ月程度で導入可能になるとしている。