EA/UMLによる日本版SOX法対応の進め方
2006/7/8
■AA - アプリケーションアーキテクチャ
AA(Application Architecture)においては、BAの段階で洗い出された情報システムから機能一覧やアプリケーションマップを作成します。ここではアプリケーションマップをUMLにおけるクラス図で作成しています。AAにより、財務情報の基となるデータを産出する関連業務プロセスと業務アプリケーションのマッピングが整理されることになります。
また、各業務プロセスと業務アプリケーションは密接な関係があるために、業務処理統制は各アプリケーションについて組み込まれている場合が多くなりますが、アプリケーションが作成するアウトプット、例えば例外報告書に基づいて人間がフォローアップを行う場合や、アプリケーション間でデータが受け渡される場合のインターフェイスにおけるチェックについても業務処理統制として把握します。
|
||||||||||||
図5 AAでは、BAで洗い出された情報システムから、機能一覧やアプリケーションマップを作成。AAにより、業務プロセスと業務アプリケーションがマッピングされる(図版をクリックすると拡大します) |
■TA - テクノロジアーキテクチャ
- - PR -
TA(Technology Architecture)においては、実際にネットワーク、ハードウェア、ソフトウェアがどのように構成され運用されているかを可視化するために、ネットワーク構成図、ソフトウェア構成図、ハードウェア構成図を作成します。IT部門が保有している既存の文書を内部統制の視点から組み替えあるいは更新する作業になると考えられますが、UMLで表記する場合には配置図やコンポーネント図を利用します。
全般統制は通常インフラ単位で評価することになりますので、各アプリケーションがどのようなインフラで稼働しているかを識別するためにこれらの資料を活用します。また、障害発生による影響範囲を特定し事業の継続性管理に役立てるために、AAで作成されるアプリケーションマップを参考にビジネス・インパクト分析表を作成することができます。
このビジネスインパクト分析は、必然的に重要な業務プロセスに関連する要素を可視化することになりますので、業務プロセスが依存しているIT要素にどのようなリスクがありどのような統制がなされているか、ということを同時に可視化することにもなります。
|
||||||||
図6 TAではネットワーク構成図、ソフトウェア構成図、ハードウェア構成図を作成する(図版をクリックすると拡大します) |
SOX対応は「業務とITの最適化」のチャンス
内部統制におけるITの取り扱いについては、COBIT、ITILやISO 17799(ISMS)をフレームワークとして採用する例が多く見られますが、それに加えて本稿では内部統制の文書化自体に対する方法論として、一般的にはITの領域でとらえられることの多いEAとUMLを採用しています。
昨年、COSO(米国トレッドウェイ委員会組織委員会)から小規模公開企業の財務報告にかかわる内部統制についてのガイダンスのドラフトが公表されました。そこでは費用対効果の高い内部統制を確立し維持するための方法の1つとして、統制の標準化のためのITの利用を挙げています。
SOX法対応は、ネガティブコストとしてとらえられがちです。しかし、現実に作成せざるを得ない膨大な内部統制関連文書を有効に活用することを考えるならば、SOX法対応をいわば次期(EA)モデルの作成としてとらえ、業務とITの最適化を目的とした将来(EA)モデルと長期計画を企画・実施することが、結果的にSOX法対応のコストを最小化することになるのではないでしょうか。
図表参照 | |||
「かんたん!エンタープライズ・アーキテクチャ」(オージス総研、加藤正和 著/翔泳社) |
株式会社オージス総研 アドバンストモデリングソリューション部所属
SIerにおける基幹システムの開発業務を経て、監査法人および関連コンサルティング会社において監査業務及び株式公開コンサルティングやシステム開発を行う。
現在は、EA/UMLビジネスモデリングによる業務の可視化の支援に従事
内部統制では業務プロセスの可視化・文書化が求められる。業務プロセスを含めた企業全体を可視化する手法として、UMLによるモデリングを中核としたEAを提唱する。
EAとは「経営戦略を企業内の各レベルで実行するために、『誰が』『何を』『どのように』行うか、経営資源を構造化して、実行体を作り出すための企業構造設計図」である。
EAは、ビジネス・業務活動を可視化したBA(ビジネスアーキテクチャ)、企業・組織が利用する情報を可視化したDA(データアーキテクチャ)、ビジネス活動を支える情報システムの構造を可視化したAA(アプリケーションアーキテクチャ)、そして情報を管理し、情報システムを稼働させて、ビジネスに必要なサービスを提供するTA(テクノロジアーキテクチャ)の4つのレイヤから構成される。
SOX法対応はネガティブコストとしてとらえがちだ。しかし、作成せざるを得ない膨大な内部統制関連文書の活用を考えるならば、SOX法対応を次期(EA)モデルの作成としてとらえて業務とITの最適化を行えば、結果的にSOX法対応コストを最小化することになるのではないだろうか。
Page1 内部統制の可視化手段としてのEA及びUMLによるモデリング BA - ビジネスアーキテクチャ DA - データアーキテクチャ |
|
Page2 AA - アプリケーションアーキテクチャ TA - テクノロジアーキテクチャ SOX対応は「業務とITの最適化」のチャンス |