日本版SOX法対応に役立つEA(後編)

EA/UMLによる日本版SOX法対応の進め方

オージス総研
寺田 晃

2006/7/8

第1回1 2次のページ

内部統制を確立するためには業務プロセスの可視化・文書化が求められる。人間系プロセスとIT系プロセスを統一的に記述する方法として、UMLモデリングを中核としたEA構築を解説する。(→記事要約<Page 2>へ)

内部統制の可視化手段としてのEAおよびUMLによるモデリング

- PR -

 業務プロセスを含めた企業全体を可視化する手法として、弊社ではUMLによるモデリングを中核としたEAを提唱しています。

 EAとはEnterprise Architectureのことで、「経営戦略を企業内の各レベルで実行するために、『誰が』『何を』『どのように』行うか、経営資源を構造化して、実行体を作り出すための企業構造設計図」として定義されます。詳細は下記の関連記事をお読みください。

 EAの目的は戦略の実現であり、財務報告の信頼性という目的にかかわる内部統制に焦点を当てる今回のSOX対応とはその目的において相違しますが(COSOフレームワークから発展したCOSO ERMフレームワークにはその目的に「戦略」が加えられています)、業務とITを統一的にとらえるフレームとして有用であり、さらに、リスクとコントロールの識別という内部統制に特有の領域を除けば実際の作業プロセスでは多くの部分が共通します。

図2 EAへのUMLの適用 ビジネスモデリング(図版をクリックすると拡大します)

 上記図表にその全体像が示されていますが、フレームワークとしてEAを利用しそのコンテンツは主にUMLによるモデリングによって可視化されています。UMLによるビジネスモデリングについても、モデリング手順を記載した記事がありますので詳細は当該記事を参照していただきたいのですが、以下に簡単な流れをまとめてみます。

 EAは、ビジネス・業務活動を可視化したBA(Business Architecture)、企業・組織が利用する情報を可視化したDA(Data Architecture)、ビジネス活動を支える情報システムの構造を可視化したAA(Application Architecture)、そして情報を管理し、情報システムを稼働させて、ビジネスに必要なサービスを提供するTA(Technology Architecture)の4つのレイヤから構成されています。

BA - ビジネスアーキテクチャ

 BA(Business Architecture)においては、企業全体の骨格を、事業体系(プロセスビュー)、組織体系(組織ビュー)、拠点配置(ネットワークビュー)の3つのビューで把握し、同時に組織ビューの各組織単位に資産(担当者、情報システム、帳票、データなど)を整理します。これらのビューにより整理された企業の構造や資産と勘定科目や事業拠点などの財務報告における重要性を勘案して内部統制の文書化・評価の対象とする業務プロセスを決定します。UMLにおける業務プロセスの一覧はユースケースとして表記し、そのうち内部統制の文書化・評価の対象となった業務プロセスについては、ユースケースに対してアクティビティ図により業務フローを作成するとともにリスクとコントロールを識別していきます。主要インプットやアウトプット、利用システム、担当者などは企業の資産として事前に整理されていますので、これらを活用することで効率的かつ体系的な業務フローの作成が可能となります。

企業全体の骨格
資産を洗い出す
プロセスを洗い出す
プロセスの業務フロー
図3 BAにおける3つのビューと各組織単位の資産整理を通じて、業務プロセスを決定する(図版をクリックすると拡大します)

 

DA - データアーキテクチャ

 DA(Data Architecture)においては、BAで整理された現在の業務プロセスにおいて使用されている情報を整理し、その関連をUMLにおけるクラス図を利用して記述します。アメリカの監査基準(PCAOB2号)では、内部統制の文書において、重要な取引がどのように開始(initiated)、承認(authorized)、記録(recorded)、処理(processed)、報告(reported)されているのかという情報が含まれていることが要件の1つとして挙げられています。この取引の流れ(flow of transactions)の中でBAおよびDAで整理した情報資産である伝票、書類、情報システムのデータなどは、各業務活動における入力や出力となりますが、その過程で誤りや不正が発生するリスクがあると考えられます。

 従って、虚偽記載が発生する可能性のあるポイントの識別は、CRUD分析に類似していると考えることができますので、情報資産が、作成(C)/参照(R)/更新(U)/削除(D)されているポイントに注目することが有効となります。

リファレンスモデル:詳細情報モデル(販売)
図4 DAは、BAの業務プロセスで使用されている情報を整理して、記述する(出典:ITコーディネータ専門知識教材14)(図版をクリックすると拡大します)

第1回1 2次のページ

EA/UMLによる日本版SOX法対応の進め方
→ Page 1
内部統制の可視化手段としてのEA及びUMLによるモデリング
 BA - ビジネスアーキテクチャ
 DA - データアーキテクチャ

  Page2
 AA - アプリケーションアーキテクチャ
 TA - テクノロジアーキテクチャ
SOX対応は「業務とITの最適化」のチャンス


この記事に対するご意見をお寄せください managemail@atmarkit.co.jp