三崎レイナ
社会人1年目。新卒でITコンサルティングファームに就職。初配属がSAPプロジェクトにアサインされる。SAPがわからないことだらけで悩んでいたところ、会社の先輩にSAPラボの所長を紹介され、毎週末に所長とSAPのお勉強中!
博士
SAPラボの所長。SAP大好き博士!SAP導入プロジェクトを構想策定~運用保守まであらゆるフェーズを数多く経験。
いまは優しきおじいちゃんだが、プロマネバリバリの時代はかなり怖かったらしい。現在は引退しSAPの後進育成と啓蒙活動に従事中!
若者に負けぬようX(旧Twitter)も奮闘中。
この記事を読むメリット
レイナ博士!
GRCの話の中で聞いたことがない単語がいくつも出てきてしまうんです。
博士それはSAP GRC独自の単語かもしれないのじゃ。
今回はGRC関連の単語について教えるのじゃ!
GRCで使われる用語にはどんなものがあるのでしょうか?
今回はGRC関連の用語についてまとめ、解説していきます。
新着のSAPフリーランス案件
【MM】
【SD】
【大手製造業S/4HANA Cloud導入(MM/SD)】埼玉・東京(ハイブリッド)/要件定義リード
【FI】
【大手製造業S/4HANA Cloud導入(FI)】埼玉・東京(ハイブリッド)/要件定義リード
【SD】
【中堅製造業SAP新規導入(SD設計)】フルリモート/基本設計・オフショア連携
【FI】
【SAP FI運用保守(チームリード)】フルリモート/計画管理・海外展開支援
【FI】
【自動車部品メーカーSAP導入(FI-AA)】フルリモート/設計・カスタマイズ
【MM】
【S/4HANA導入支援(MM移行)】東京・上野(基本リモート)/移行・テスト・課題対応
【MM】
【製造業S/4HANA導入(MM)】フルリモート/要件定義
【SD】
【建設業S/4HANA導入(SD)】大阪(リモート併用)/AsIs-ToBe・アドオン定義
【MM】
【その他】
【製造業S/4HANA(MM/PS)】フルリモート(富山出張有)/アドオン要件定義
【FI】
【製造業S/4HANA導入(FI-AP/AR)】大阪(リモート相談可)/要件定義・アドオン設計
ここではSAPのGRCで登場する用語について解説します。
多くがSAPのGRC独自の用語となっています。
| 用語 | 内容 |
|---|---|
| GRC | 「ガバナンス(Governance)」「リスク管理(Risk management)」「コンプライアンス(Compliance)」という主要な3つの要素の頭文字を合わせたもの。SAPの提供する機能。 |
| BIS | GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 「Business Integrity Screening」の略語。 複数の不正検知ルールを用いてデータを抽出する機能。 |
| Access Control | GRCの主要領域「ID・アクセスのガバナンス」のソリューションの1つ。 アクセスリスクの管理、アクセス申請の管理、ロールの管理、定期アクセスレビューの管理、緊急アクセス管理の領域からなる機能。 |
| ARA | Access Control の「アクセスリスクの管理」の機能である「Access Risk Analysis(アクセスリスク分析)」の略語。 ロール、ユーザ毎にどのようなリスクが存在しているか検知することが可能です。 |
| SoD | ユーザアクセスおよび職務分掌のこと。 |
| ARM | Access Control の機能である「Access Request Management(アクセス申請の管理)」の略語。 |
| BRM | Access Control の機能である「Business Role Management (ロールの管理)」の略語。 |
| EAM | Access Control の機能である「Emergency Access Management (緊急アクセス管理)」の略語。 ※GRCではないSAPの用語で「Enterprise Asset Management(設備資産管理)」も同様にEAMで表記されるため混同に注意。 |
| Firefighter ユーザ | 緊急アクセスを必要とするユーザのこと。 |
| Firefighter ID | 高い権限を付与されたユーザ IDのこと。 特権ID、特権ユーザなどと呼ばれることもある。 |
| FFID | 「Firefighter ID」の略語。 |
| 監査担当者 | Firefighting アクティビティから生成されたログファイルをレビューし必要に応じて承認するユーザのこと。 |
| オーナー | Firefighter IDおよび監査担当者とFirefighterユーザの割当に責任があるユーザのこと。 |
| Firefighting | 緊急時にタスクを実行するためにFirefighter ID を使用すること。 |
| 集中 Firefighting | FirefighterユーザがFirefighting用の別のシステムにログオンするための集中コンソールとして GRCシステムを使用すること。 |
| 分散 Firefighting | FirefighterユーザがFirefighting用のシステムに直接ログオンでき、GRCシステムは緊急アクセス割当の更新およびレポート用にのみ使用すること。 |
| SOX法 | 正式名称は「Public Company Accounting Reform and Investor Protection Act of 2002:上場企業会計改革および投資家保護法」 SOX法は米国の証券市場で株式上場をしている企業が不適切な会計手続きを行うことを防ぐ法律。 |
| J-SOX法 | 日本版のSOX法を意味する、正式名称は「内部統制報告制度」。 すべての上場企業に対して「財務諸表」「内部統制監査報告書」「内部統制報告書」の公開を義務付ける制度。 |
| 内部統制 | 「財務報告の信頼性」「事業活動にかかる法令等の順守」「資産の保全」「業務の有効性・効率性」を主目的とすると金融庁は定義している。 組織内のルール、ルールを順守する体制の整備すること。 |
| IAM | 「Identity and Access Management」の略語。 ユーザーIDとアクセス権限を管理すること。 |
| 企業リスク・コンプライアンス管理 | GRCの主要領域の1つ。 ソリューションとして「SAP Risk Management」「SAP Process Control」「SAP Audit Management」「SAP Business Integrity Screening」が存在している。 |
| SAP Risk Management | GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 リスクとなり得る要素の分析・評価を行う。 |
| SAP Process Control | GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 主要なビジネスプロセスのリスクの特定、評価、改善を行う。 |
| SAP Audit Management | GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つ。 内部統制の整備を行う。 |
| ID・アクセスのガバナンス | GRCの主要領域の1つ。 ソリューションとして「SAP Access Control」「SAP Cloud Identity Access Governance」が存在している。 |
| SAP Cloud Identity Access Governance | GRCの主要領域「ID・アクセスのガバナンス」のソリューションの1つ。 オンプレミス環境とクラウド環境のアクセス管理をシンプル化する。 |
| サイバーセキュリティ | GRCの主要領域の1つ。 ソリューションとして「SAP Enterprise Threat Detection」「SAP Privacy Governance」が存在している。 |
| SAP Enterprise Threat Detection | GRCの主要領域「サイバーセキュリティ」のソリューションの1つ。 サイバー攻撃の事前検知、外部脅威の特定、分析を行う。 |
| SAP Privacy Governance | GRCの主要領域「サイバーセキュリティ」のソリューションの1つ。 データプライバシー規制の管理、内部のセキュリティ統制を行う。 |
| 国際取引の管理 | GRCの主要領域の1つ。 ソリューションとして「SAP Watch List Screening」「SAP Global Trade Services」が存在している。 |
| SAP Watch List Screening | GRCの主要領域「国際取引の管理」のソリューションの1つ。 ビジネスパートナーのスクリーニングを簡潔化する。 |
| SAP Global Trade Services | GRCの主要領域「国際取引の管理」のソリューションの1つ。 貿易業務の効率化、コンプライアンスの強化を行う。 |
GRCは「ガバナンス(Governance)」「リスク管理(Risk management)」「コンプライアンス(Compliance)」という主要な3つの要素の頭文字を合わせたものです。
SAPが提供しているGRCソリューションは下記の4つの領域に分かれています。
GRCの主要領域「企業リスク・コンプライアンス管理」のソリューションの1つで「Business Integrity Screening」の略語です。
複数の不正検知ルールを用いて異常、不正行為、ポリシーからの逸脱のデータを抽出する機能です。
下記がBISで実現可能です。
例として次のような検知が可能です。
不正検知ルールとしてワードリストに「一時金」を登録します。
そうすると伝票テキストに「一時金」を含む伝票をアラートとして検知します。
「Access Control」とはユーザアクセスに関する潜在リスクを明らかにし、それを修正、あるいは予防するSAP提供の仕組みのことです。
「Access Control」には主要な機能が下記の5つとなっています。
「アクセスリスクの管理」の機能の1つです。
ロール、ユーザ毎にどのようなリスクが存在しているか検知することが可能です。
SAP標準の職務分掌ルールでは下記のように「トランザクションコード:FD02」と「トランザクションコード:VA01」を使用できる権限を付与されているユーザはアクセスリスク分析で「架空の顧客を登録し、不正な販売伝票を作成することで売り上げを粉飾できる」リスクがあると検知されます。
今回のポイント!!
・GRCは「ガバナンス(Governance)」「リスク管理(Risk management)」「コンプライアンス(Compliance)」の3つの頭文字を合わせたもの。
・略語については他のモジュールにも同名称のものがあるため注意が必要。
・Firefighter IDは高い権限を付与されたユーザ IDのこと。
新着のSAPフリーランス案件
【MM】
【SD】
【大手製造業S/4HANA Cloud導入(MM/SD)】埼玉・東京(ハイブリッド)/要件定義リード
【FI】
【大手製造業S/4HANA Cloud導入(FI)】埼玉・東京(ハイブリッド)/要件定義リード
【SD】
【中堅製造業SAP新規導入(SD設計)】フルリモート/基本設計・オフショア連携
【FI】
【SAP FI運用保守(チームリード)】フルリモート/計画管理・海外展開支援
【FI】
【自動車部品メーカーSAP導入(FI-AA)】フルリモート/設計・カスタマイズ
【MM】
【S/4HANA導入支援(MM移行)】東京・上野(基本リモート)/移行・テスト・課題対応
【MM】
【製造業S/4HANA導入(MM)】フルリモート/要件定義
【SD】
【建設業S/4HANA導入(SD)】大阪(リモート併用)/AsIs-ToBe・アドオン定義
【MM】
【その他】
【製造業S/4HANA(MM/PS)】フルリモート(富山出張有)/アドオン要件定義
【FI】
【製造業S/4HANA導入(FI-AP/AR)】大阪(リモート相談可)/要件定義・アドオン設計
SAPラボでは、SAPの知識を活かして副業をしたい方を募集してるのじゃ!
SAPラボのライターの特徴
・ライティング初心者OK!
・報酬高単価!
・業務委託契約なので副業として最適!
SAP記事執筆者としての活動実績として利用可能なので、転職時や案件探しの際に企業へのアピール材料にもなります。
募集要項
・SAP導入や運用保守プロジェクトへの参画経験1年以上
ご応募/お問合せ先
info@sap-labo.com
少しでもご興味ある方、ぜひお気軽にご連絡下さい!
