コンプライアンスの実証

業界基準、社内ポリシー、そして進化し続ける規制要件が何千も存在するなか、変化するコンプライアンスの状況を最適に網羅するのは簡単ではありません。組織は、必要なプロセスとテクノロジーを設定し、コンプライアンス リスクを適切に特定、合理化、優先順位付けし、軽減することが極めて重要になります。この記事では、プロジェクト、フレームワーク、およびコンプライアンス マップ アプリを使用した、コンプライアンス プログラムに関する保証の実証方法について取り上げます。

この記事では、COBIT® 5 フレームワークの順守の実証方法が説明されています。ただし、同じワークフローは、次のことの順守を実証するためにも適用可能です。

  • 真性貸付法、アンチマネー ロンダリング、または預金保険をはじめとする金融機関に適用される規制
  • ISO や NIST などのその他の IT セキュリティ フレームワーク
  • EU GDPR、GLBA、HIPAA、および FERPA などのデータ プライバシー規制
  • 統一助成金指針(Uniform Grant Guidance)、単一監査、タイトル IV など、政府や高等教育に適用される規制

コンプライアンスの実証とは?

コンプライアンスの実証とは、組織に適用される規制と基準に準拠して、組織がビジネスを行うことに尽力することです。

コンプライアンスの実証は、コンプライアンスの要件が満たされていることを示すだけでなく、どのように要件が満たされ、 現在進行中のコンプライアンスを可能にする上でどんな構成のプログラムを設定するのかを示すことでもあります。

コンプライアンスをどこで実証するのか?

Diligent では、プロジェクト、フレームワーク、およびコンプライアンスマップアプリを使用して、査定者およびその他関心のある第三者に対して、強力な統制環境が存在することを証明できます。当社のコンプライアンス プログラムは、組織が規制の強制措置またはデータ漏えいにさらされないようにすることができますさらに当社は、各種の規則と基準を遵守する必要があるビジネスの利害関係者と協力できます。

全体像

  • コンプライアンス マップは、フレームワークに含まれる既存の組織の統制に要件をマッピングすることで、コンプライアンス チームが初回のコンプライアンス ギャップとリスク評価を実行できる場所です。
  • フレームワークはコンプライアンス マップとのつながりで使用され、要件と統制間のマスターの関係を一元化して把握し、進化する規制とビジネス環境で統制への変更を管理し、個々のプロジェクトを構築します。
  • プロジェクトは、統制の設計と運用の有効性をテストし、問題を把握するために使用されます。必要に応じて、プロジェクトからフレームワークに戻して変更を同期化することもできます。

要件をフレームワークの統制にマッピングすると、複数のプロジェクトからのテスト結果と問題はコンプライアンス マップに自動的に集約され、コンプライアンスの進捗状況についてリアルタイムで追跡、レポートできます。

手順

ツアーに向けて準備完了?

これらの機能を文脈でより詳しく見ていきましょう。

1. プログラムを設定する

コンプライアンス プログラムを構築する最初のステップは、プロジェクトとフレームワークを設定することです。フレームワークを作成して構造化された情報のセットを管理し、フレームワークを使用して複数のプロジェクトを構築できます。組織の基準に沿ってプロジェクトの用語およびラベルをカスタマイズして、これらの変更を他のプロジェクトに適用したい場合は、プロジェクトからフレームワークに変更を戻して同期化することもできます。

プロジェクトとフレームワークを設定する

フレームワークは、プロジェクトの設定に関わる手動での取り組みを減らす助けとなる上、規制環境とビジネス環境の展開において情報の一元管理に使用できます。

プロジェクト用語を構成する

さまざまな種類のプロジェクト間で、また同じ種類のプロジェクトを実行する組織間でも、用語が大きく異なる場合があります。各チームが使用する用語が関連するプロジェクトで反映されるよう、組織はさまざまなプロジェクトの種類を構成できます。

2. 正式なドキュメントを特定する

プロジェクトとフレームワークを設定したら、次のステップでは、組織に適用可能な正式なドキュメントを特定し、これらのドキュメントをコンプライアンス マップに含めます。

正式なドキュメントは、政府などの規制当局が発行する規制や、専門的実施機関や事業者団体が発行する専門的基準、管理職が発行する社内ポリシーや手続きの形を取る場合があります。

ヒント

ご利用の定期サブスクリプション プランの一環として、特定の基準と規制を利用できます。その他の基準と規制は、Diligent 製品で使用可能な業界固有のコンテンツの中央リポジトリである、コンテンツとインテリジェンス ギャラリーを通じて提供されるコンテンツ スイートをサブスクライブすることで利用できます。

3. 要件を解釈し合理化する

関連するコンテンツをコンプライアンス マップにインポートしたら、コンプライアンス リスク評価を実行し、要件の解釈と合理化のプロセスを始めることができます。あなたは、実現したい範囲を含む、社内のコンプライアンス プロセス、および達成したいコンプライアンス対象範囲のレベルを完全に管理できます。

コンプライアンス リスク評価を実行する

高い品質のコンプライアンス プログラムを実施する組織は、リスクの体系的な特定と評価を行います。コンプライアンス リスク評価は、標準または一般的な適用可能性の評価に加え、最初に管理すべき基準または規制の優先順位付け、そしてどの要件が組織に適用可能かの通知の手段を提供します。

適用可能で対象となる要件を特定する

コンプライアンス リスク評価を完了したら、適用可能で対象となる要件を特定するプロセスを開始できます。

要件を解釈、合理化する上で使用可能な基本的な方法が 2 つあります。

  • 要件で要求されたすべての項目に対処して適切に実現する:これはコンプライアンス以外のリスクを軽減するが、コンプライアンスを実現して管理する負担を増大させる
  • 専門的な判断を適用して要件を解釈し、組織に十分な、合理的で最適の対象範囲を決定する:これはコンプライアンスの負担を軽減するが、組織のコンプライアンス以外のリスクを増大させる可能性がある

ヒント

優れたコンプライアンス戦略では、できるだけ多くの既存のプロセスを活用することでコンプライアンスの対象範囲を最大化するために、必要なプロセスを合理化するとともに変更を管理することに努めます。

4. 認証プロジェクトを実行する

情報の一元化されたリポジトリとしてフレームワークを使用すると、証明プロジェクトを実行して運用リスク評価を実施するほか、統制の所有者と連携してすべての目標にわたりコンプライアンスのパフォーマンスを一元的に追跡し、問題を把握できます。認証プロジェクトを実行すると、組織がどの程度上手にコンプライアンス リスクと要件の管理を実施しているかをベンチマークできます。

運用リスク評価を実行する

運用リスク評価の実施は、組織がどの程度のリスクに直面するかの判断を伴うプロセスです。運用セグメント、エンティティ、または事業単位にわたり使用可能な共通の評価基準を策定し、定義されたスコアリング フレームワークに基づき、運用リスクのスコアを付けることができます。

ヒント

運用リスクの手動でのスコア付けを回避するには、評価ドライバーを使用し、さまざまなリスク評価を自動化することができます。リザルト アプリで作成されたメトリクスをプロジェクトのリスク評価にリンクさせ、評価を通知し、事前定義されたメトリクスの範囲に基づき、固有のリスク スコアを自動入力します。

統制を文書化および評価する

統制の所有者は、実施されている統制の文書化、評価や証拠の添付による統制の効果の評価、不適合の場合に対応するために欠落した統制を実施するアクション計画の定義、または統制が必要でない理由の説明を行う必要があります。

ヒント

組織の第一線のスタッフは、ミッション コントロールを使用して、アクセス可能な統制をプロジェクト アプリ外で管理することができます。ミッション コントロールは、プロジェクト内の統制情報を、簡略化して一元化したビューに表示するアプリです。

問題とアクションを把握する

コンプライアンスのレビュー プロセス全体で改善のために警告された問題の把握と割り当てを行い、問題を統制または問題の所有者に権限委譲し、状況と関連する行動計画を更新することができます。容易な追跡、証拠の把握、および解決ができるよう、アクションを関係者に割り当てることもできます。

5. コンプライアンスの進捗状況についてレポートする

結局のところ、コンプライアンスとは、よく管理、統制されたプログラムを実行した結果です。コンプライアンス マップにより、防御線の全 3 つが、各部門が行っている業務の考察を素早く得て、リアルタイムで集約情報を確認すできます。

コンプライアンスの進捗状況を実証するには、単一の全メトリクス (対象範囲) でコンプライアンスの保証のスコアを付けることができます。このメトリクスにより、経営陣は、組織による規制、ビジネス プロセス、またはエンティティ別の順守の度合いを即時理解できます。さらにいつでも、リアルタイム レポートを生成し、さまざまな統制分野の進捗状況とプログラムの全体的な進捗状況を伝えることができます。

次の手順

コンプライアンス プログラムを実装および自動化する方法を習得する

リザルト アプリより、評価者は、データ アナリティクスによるインシデントの把握に加え、インシデントのマッピングのためにトリガーされるワークフローの定義、根本原因分析と改善活動の実行を行い、報告の準備ができたらケースを閉じることができます。

詳細については、コンプライアンス プログラムの実装を参照してください。