Tweet

EA／UMLによる日本版SOX法対応の進め方

オージス総研
寺田 晃

2006/7/8

前のページ｜1　2｜

■AA - アプリケーションアーキテクチャ

　AA（Application Architecture）においては、BAの段階で洗い出された情報システムから機能一覧やアプリケーションマップを作成します。ここではアプリケーションマップをUMLにおけるクラス図で作成しています。AAにより、財務情報の基となるデータを産出する関連業務プロセスと業務アプリケーションのマッピングが整理されることになります。

　また、各業務プロセスと業務アプリケーションは密接な関係があるために、業務処理統制は各アプリケーションについて組み込まれている場合が多くなりますが、アプリケーションが作成するアウトプット、例えば例外報告書に基づいて人間がフォローアップを行う場合や、アプリケーション間でデータが受け渡される場合のインターフェイスにおけるチェックについても業務処理統制として把握します。

システム機能一覧 アプリケーションマップ プロセス・アプリケーションマトリクス

図5　AAでは、BAで洗い出された情報システムから、機能一覧やアプリケーションマップを作成。AAにより、業務プロセスと業務アプリケーションがマッピングされる（図版をクリックすると拡大します）

■TA - テクノロジアーキテクチャ

　TA（Technology Architecture）においては、実際にネットワーク、ハードウェア、ソフトウェアがどのように構成され運用されているかを可視化するために、ネットワーク構成図、ソフトウェア構成図、ハードウェア構成図を作成します。IT部門が保有している既存の文書を内部統制の視点から組み替えあるいは更新する作業になると考えられますが、UMLで表記する場合には配置図やコンポーネント図を利用します。

　全般統制は通常インフラ単位で評価することになりますので、各アプリケーションがどのようなインフラで稼働しているかを識別するためにこれらの資料を活用します。また、障害発生による影響範囲を特定し事業の継続性管理に役立てるために、AAで作成されるアプリケーションマップを参考にビジネス・インパクト分析表を作成することができます。

　このビジネスインパクト分析は、必然的に重要な業務プロセスに関連する要素を可視化することになりますので、業務プロセスが依存しているIT要素にどのようなリスクがありどのような統制がなされているか、ということを同時に可視化することにもなります。

ソフトウェア構成図（例） ビジネスインパクト分析表（例）

図6　TAではネットワーク構成図、ソフトウェア構成図、ハードウェア構成図を作成する（図版をクリックすると拡大します）

SOX対応は「業務とITの最適化」のチャンス

　内部統制におけるITの取り扱いについては、COBIT、ITILやISO 17799（ISMS）をフレームワークとして採用する例が多く見られますが、それに加えて本稿では内部統制の文書化自体に対する方法論として、一般的にはITの領域でとらえられることの多いEAとUMLを採用しています。

　昨年、COSO（米国トレッドウェイ委員会組織委員会）から小規模公開企業の財務報告にかかわる内部統制についてのガイダンスのドラフトが公表されました。そこでは費用対効果の高い内部統制を確立し維持するための方法の1つとして、統制の標準化のためのITの利用を挙げています。

　SOX法対応は、ネガティブコストとしてとらえられがちです。しかし、現実に作成せざるを得ない膨大な内部統制関連文書を有効に活用することを考えるならば、SOX法対応をいわば次期（EA）モデルの作成としてとらえ、業務とITの最適化を目的とした将来（EA）モデルと長期計画を企画・実施することが、結果的にSOX法対応のコストを最小化することになるのではないでしょうか。

	図表参照
		「かんたん！エンタープライズ・アーキテクチャ」（オージス総研、加藤正和 著／翔泳社）

前のページ｜1　2｜

	Page1 内部統制の可視化手段としてのEA及びUMLによるモデリング 　BA - ビジネスアーキテクチャ 　DA - データアーキテクチャ
	Page2 　AA - アプリケーションアーキテクチャ 　TA - テクノロジアーキテクチャ SOX対応は「業務とITの最適化」のチャンス