「J-SOXのネガティブイメージ」に悩むITベンダ：Oracle GRC Suite強化版で払拭可能か

[垣内郁栄，＠IT]

　日本オラクルは8月5日、企業のガバナンス、リスク管理、コンプライアンスの整備、運用を支援するアプリケーション製品群「Oracle GRC Suite」を強化すると発表した。リスク管理データベース製品の機能を強化し、同時に統制状況が一覧できるポータルアプリケーションを追加した。

　日本で財務報告にかかる内部統制が義務付けられて約4カ月が経ったが、日本オラクルの製品戦略統括本部 シニアディレクターの入江宏志氏は「J-SOXにネガティブなイメージが付いていることが課題だ」と話す。多くの企業にとってJ-SOXは規制強化であり、本来の目的の1つである業務の効率化やリスク管理の向上は、ほとんど注目されていないのが現実だ。入江氏は「本質はまだまだ理解されていない。J-SOXはシートベルト着用を義務付ける道路交通法と同じ。自分の身を守るための法律だ」と指摘する。

　日本オラクルとはじめとするITベンダはJ-SOXへの対応を契機に、企業がパフォーマンス管理やリスク管理の仕組みを確立することの重要性を繰り返し説いてきた。しかし、実態はExcelを使って手作業でその場限りの文書化作業を行うなど、規制対応に手一杯だ。とても内部統制のその先を見通す余裕はない。入江氏は「シートベルトだけをしていてもクルマは動かない。シートベルトの材質や位置を議論する人が多いが、本来は（企業を成長させる）アクセルやリスクを検知する仕組みをどうするかを議論しないといけない。企業の意識は徐々に変わっていくと思うのだが」と話す。

　Oracle GRC Suiteが目指すのは、その場限りの内部統制ではなく、経営管理とリスク管理、ITインフラ管理を同時に実現すること。「コンプライアンスだけでも、儲けるだけでも企業は生き残れない」（入江氏）。リスク対応と経営管理のバランスを取りながら、事業目標の達成を支援するのが大きな目標だ。

　製品としては、業務アプリケーションに対してアクセスコントロールなどの統制を効かせる「GRC Controls」と、リスク・コントロールマトリクスに関する文書を保管し、ワークフローによる評価実行、モニタリング、レポート作成などを行うリスクデータベース製品「GRC Manager」、全社の内部統制状況を可視化し、ダッシュボードを作成するポータルアプリケーション「GRC Intelligence」の3つで構成する。最小構成価格は2000万円から。

　GRC Intelligenceは今回新たに追加した。また、GRC Managerはリスクに対処するためのコントロール項目を整理できる機能を追加した。日本オラクルの製品戦略統括本部 アプリケーションビジネス推進本部 シニアマネジャーの安池俊博氏は「多くの日本企業は文書化を終えて、内部統制文書管理や有効性評価を行う第2段階にいる。今後、2年目以降は増えすぎたコントロールの削減に取り組む必要がある」と指摘する。GRC Managerはほかに対応言語を11カ国語に増やすなどグローバル企業の業務にも対応できるようにした。