 |
(編集部)コンプライアンス対策でのプロセス管理は、どんなベースラインに則って行われるべきだと考えますか?
シュラーゲンハウフ SOX法対策に限って言えば、内部統制については「COSO(Committee of Sponsoring Organizations of the Treadway Commission)」のフレームワーク、ITガバナンスについては「COBIT(Control Objectives for Information and Related Technology)」、IT運用管理に関しては、「ITIL(IT Infrastructure Library)」、セキュリティについては国際標準の「ISO17799」などにそった形で対策を行うのが一般的です。
|
|
 |
|
|
こうした各枠組みのフレームワークに、自社のこれまでの管理の手法を当てはめ、問題があるところは修正し改善することで、SOX法が求めている要件というのは、ほぼ満たされるのではないかと思います。
なかでもCOBITについては、先頃、ITGI(ITガバナンス協会)から、新たに「COBIT4.0」が発表されましたが、これは多くのアナリストや専門家からも高い評価を得ているもの。コントロール統制の具体的な方法や、統制の指標となる測定値の提供など、これまでの経験値が細部に十二分に反映されており、前回のバージョンよりも格段に改善され成熟したものであるといえます。今後、コンプライアンスへの取り組みを考える企業にとって、これは非常に有効な選択肢の一つになるのではないでしょうか。
|
|
|
|
|
|
|
|
(編集部)今、HPでは、コンプライアンス対策の方法論として、「Continuous Control Measurement & Modeling(以下CCMM)」という新しいコンセプトを提唱していますが、これはどういうものか、簡潔にご説明いただけますか?
シュラーゲンハウフ CCMMは端的には「継続的な統制環境を効率的に構築するための考え方」で、コンプライアンス対応へのこれまでの取り組みの経験から導き出された、先進的な指針とも言えるものです。
具体的な手法としては、企業のITシステム全体を「IT運用リスク」「アプリケーションリスク」「財務プロセスリスク」の3つの領域に分け、それぞれの領域を継続的にモニタリングしながら、「統制指標:Control Indicator」と呼ばれる指標を基準に評価を行い、全体の統制環境を効率的に構築していきます。HPはこのコンセプトのパイオニアである一企業として、そのコンセプトを具現化する製品やソリューションをすでに発表、活用しており、業界を牽引するリーダーとしての立場からも、積極的な取り組みを推進しています(図版:継続的な統制の計測&モデリング)。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(編集部)そのメリットや特徴を教えてください。
シュラーゲンハウフ 最大の特徴は「先手を打って対応できる」という点ですね。このコンセプトを元に、継続的なモニタリングを行い、そこから得られる指標の"傾向値(トレンド)"をベースにすれば、リスクが生じる予兆をその傾向値からの偏差(隔たり)で把握することができ、問題が生じる芽を事前に摘みとることができるというわけです。
|
|
 |
|
|
例えば「売り掛け管理における統制指標」について、それぞれの領域ごとにモニタリングして、IT運用リスクでは「システム管理者のアカウント数」が、アプリケーションリスクでは「利用されていないユーザアカウント数」が、財務プロセスリスクでは「受注の重複数」がはじき出されるとします。そこに通常とは異なる範囲の数値が表れると、そこには新たなリスクが潜んでいると予測でき、事前に対応策を練ることができます。また、さまざまな問題解決についても、プロセス全体を3つの領域に切り分け、管理することで、部分的・局所的な原因究明を行うことができ、外部の監査が入る前に、確実に問題解決を図ることが可能になります(図版:例:売り掛け管理における統制指標)。
こうして先手を打ち、問題を事前に解決する、また、改善のためのテストにかかっていた手間や時間を大幅に減らし、外部の監査機関や担当者に支払う費用を劇的に削減するなど、コンプライアンス遵守の目的を果たしながら、コスト削減も実現することができます。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(編集部)CCMM導入をバックアップする製品やソリューションにはどんなものがありますか?
シュラーゲンハウフ HP OpenViewの管理ソリューションは、数多くの実績を誇り、お客様には高い評価をいただいているのですが、これらの既存のHP OpenView製品と連携しながら、内部統制を実現することを可能とする製品として、私たちは「HP OpenView Compliance Manager(以下Compliance Manager)」をご提供しています。これはCCMMのコンセプトをベースに、特にSOX法におけるIT全般統制での監査の効率化を目的に開発されたソリューションで、従来の運用管理ツールとは異なり、純粋に監査を目的とした製品です。
Compliance Managerは可用性やインシデント、変更管理などの統制領域について、HP OpenView Service DeskやHP OpenView Internet Servicesといった製品から、内部統制に関わるデータを自動的に収集、集約し、統制指標に基づいた評価を行ないます。ここで特筆すべきなのは、このツールが、集められたデータをプロセスの観点から、適切な統制領域と関連づけ、さらにはアプリケーションやビジネスプロセスにまで連携させることができるという点。最終的にはそれらのデータを集計することで、「プロセスの中に潜んでいるリスク」を可視化することができるわけです。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
なおCompliance Managerでは今後、その他のHP OpenView製品やサードパーティ製品からの、データのインポートもサポートしていく予定ですので、これが実現すれば、内部統制でカバーしなければならない全ての統制領域を網羅できるようになると思います(図版:OVCM1.0の製品内容とデータソース)。 ≫ 【Chapter 4】 コンプライアンス対策のこれから |
|
|
|
|
|
|
印刷用画面へ
