SAP Strengthens Leadership in Compliance Solutions with Acquisition of Virsa
Enhanced Value to Customers Comes as SAP Broadens Enterprise Compliance and Risk Management Offerings
LAS VEGAS - April 03, 2006 - Recognizing the growing role of enterprise systems in assisting companies to meet the increasing challenges of corporate compliance and risk management, SAP AG (NYSE: SAP) today announced that it is acquiring Virsa Systems, Inc., a privately-held, leading supplier of cross-enterprise compliance solutions.

最近、Virsa Systemsが開発したCompliance Calibrator(CC)というABAPアプリケーションをSAPが再販していた。これが再販ではなく、SAPのプロダクトとなるのだ。
CCは、ERPなどのシステムに登録されているユーザのロールや権限、承認の設定などをチェックして、その権限を使ってユーザが不正な取引をする可能性を排除するソリューションであり、日本でもJ-SOXの対応に関連して注目されている。
ユーザロールや権限の中身を理解して、当該ユーザに適切なものを付与することはなかなか難しいもの。まさか、SAP_ALLを本番機のエンドユーザに割り当てている、というお客様はないと信じるが、また、逆にSAP_ALLはさすがにまずいということは、SAPをちょっとかじったことのあればすぐ判断できる。しかし、xという権限とyという権限を、同一ユーザに付与してもよいのか、不正の温床になるから悪いのか。また、ある事象が発生したときに承認を得る経路は正しいのか、抜け道は存在しないのか。あるいは100万円未満の請求を承認する権限を債権管理担当者に与えていたとして、同担当者が権限を乱用して100万円未満の小切手を多数振り出していることを、できるだけ短時間で察知できるか。
こういうリスクを「見える」化してくれるのがCCなのだ。
もともとこういった機能はSAPで保持しているべき、という声があったのだろう。この買収はよい判断ではなかったかと思う。
ところで、米国赴任中のあるお客様が、一ヶ月ほど前に、「SAPが『買収した』というVirsaの機能を教えて欲しい」とメールを下さった。その時にはそのような事実はなかったので「買収ではなくてSAPが再販しているものです」と答えたのだが.....どうしてその方はこれを予見できたのだろう。謎だ。