実際の操作の流れを見てみましょう。

1. 最初に、Avantage を使用して、BPMN 標準に合わせてビジネス プロセスを定義します (画面例をクリックすると拡大表示されます)。

2. 次に、プロセス モデルの該当ポイントのデータを取得します - 下図はデータ取得の様子を示しています。

ダイアグラム (または BPTree) で項目を選択し、SOX インスペクタ ビューで直接 SOX プロパティを変更します。

これらの 管理項目は簡単にレポートできます。

 

すべてのレポートは、Excel の表として表示されます (画面例をクリックすると拡大表示されます)。

 

企業が SOX 法 404 条のための予算を大幅に超える費用を費やしてきたことを示す報告が数多くあります。
この状況を打開すべく、企業は SOX に準じたコンプライアンスを低費用で維持できる方法を模索しています。

ユーザーの企業プロセス モデルに基づいた Avantage SOX インスペクタは、コンプライアンスの費用を削減し、役立つコンプライアンス管理情報をいつでも入手できるようお手伝いいたします。

初期段階の SOX 法 404 条コンプライアンスでは、

◆一般に、社内では特定の専門知識を持つ従業員がいないため、 費用のかかるコンサルタントが雇われました。

◆社内リソースに負担がかかり過ぎないよう、SOX チームに社内コンサルタントが参加しました。

◆会計事務所に依頼して、コンプライアンス対策を監査しました。

◆社内管理も相当巻き込まれ、多くの場合、 ビジネス パフォーマンス全体に比してかなりの費用が費やされました。

◆多くの場合、 標準化されたツールは使用されていませんでした。

このようなアプローチも、SOX コンプライアンスの「蜜月」期間においては有効かもしれませんが、やはり長期間持続できるソリューションの導入が必要です。

 

SOX の社内専門家という中心的存在と、社内監査スタッフや 社外の会計検査官の監査が必要ではありますが、 Avantage のアプローチでは、別々の専門チームが管理してきた多くの側面を、 日常業務に組み込めます。
この方法では、プロセスの所有者が、コンプライアンス関連のドキュメント および管理のテストの大半に対して責任を負うことになります。 社内監査スタッフおよび SOX 専門家が SOX コンプライアンスのイニシアチブを監視し、 上流のレビューにより管理と手順が有効に実施されていることを確認して、 プロセスの品質管理の責任を負います。
このアプローチには、プロセスの所有者が自分のプロセスをより詳しく理解できるようになり、ビジネス プロセスのリエンジニアリングや転換を 組織に浸透させることができるというメリットもあります。

次に、そのようなアプローチの実装方法について説明しましょう。

1. Avantage を標準ツールとして採用する

最初に、簡単に使用できるプロセス定義用の標準ツールを用意し、組織全体に配備する必要があります。 このような標準化により、組織内の異なるプロセス チームがプロセスの定義とコントロールを誤解するのを回避できます。ドキュメント作成とテストの責任は プロセス所有者になるからです。
ActiveModeler Avantage は、BPMN 国際標準に 100% 準拠した、簡単に使用できる ツールです。このメリットのおかげで、企業のすべてのプロセス関連ドキュメントを、 一般に認められた標準に合わせて開発できます。  

2. 従業員を教育する

プロセスの所有者が自分のプロセスを 「適切な詳細レベルまで」ドキュメント化できるよう、従業員を教育します。 Avantage を使用すれば簡単です。 必ず、全従業員が同じようにプロセスをドキュメント化します。 1 日のトレーニング コースを完了すれば、その従業員は国際標準に合わせてプロセスをドキュメント化できるようになります。 グラフィカルな要素はすべて、正確に管理され、定義されます。 ドキュメントと仕様書は同様に保存できます。

3. ドキュメントを管理する

企業は、適切な権限を持つメンバーのみがドキュメントを更新およびレビューできるよううまく定義されたレビュー プロセスにより、総合的にドキュメントを管理できなければなりません。 これは、プロセスと管理のドキュメント化が常に適正であるために非常に重要です。 バージョン管理が必要な場合、そのようなプロセス ドキュメントは CVS リポジトリに格納できます。 CVS リポジトリは、電子データの金庫室のような働きをし、特に大規模な組織で役立ちます。 ドキュメントの更新は厳しく管理され、完全な監査コントロールによりチェックされます。 Avantage は、単純なチェックイン/チェックアウト コマンドにより CVS リポジトリに簡単アクセスできるインターフェースを備えています。

4. 管理を定義する

プロセスがドキュメント化されたら、このドキュメントに管理を追加する必要があります。この作業では、社内の SOX 専門家が重要な役割を果たします。 必要な管理タイプとそれらの社内管理のテスト方法について、プロセス所有者にトップダウンのガイダンスとトレーニングを実施してもらいます。 SOX は、ドキュメント化の手順だけでなく、管理ポイントについても定めていることに注意してください。 Avantage を使用すると、これらの管理ポイントを強調し、管理手順をドキュメント化できます。 たとえば、プロセス マップですべての管理ポイントを赤で表示することができます。
過去に、多くの企業が非常に多数の SOX の管理や評価を導入しました。 このため、必要な管理タイプを決定するためのトップダウン アプローチが必要なのです。 Avantage を使用することにより、プロセス タスク レベル、またはそれより上位のエンティティ レベルで、管理を軽減できます。  

5. 管理をレビューする

トレーニングを完了すると、プロセス所有者は社内管理の良し悪しやドキュメント化の出来不出来を認識できるようになります。 プロセス所有者は、プロセスのドキュメント化要件をすべて明確に理解し、自分が管理するプロセスの社内管理をすべて把握しているはずです。 レビュー手順は、通常社内監査スタッフと SOX 専門家により、コンプライアンス プロセスを改善すべく適切に実施する必要があります。 プロセス所有者およびチーム メンバーへのトレーニングは、そのプロセスの社内管理で不具合が確認されたり、最終トレーニングから一定期間が経過した場合に、自動的に実施してください。  

6. 管理をテストする

長期間にわたって社内のすべての操作者に対し、一貫した方法での社内 管理のテストを確実に実施するため、Avantage は、プロセス管理と テスト結果を確認できる標準的なレポート作成機能を備えています。 このテスト要件は、ビジネスにコンプライアンス プロセスを首尾よく 導入するために非常に重要です。 それらのテストの更新は、社内監査スタッフやプロセス管理者など、権限を与えられた担当者に対してのみ許可します。 社内管理のテストが更新された場合は、社内のいずれの操作における社内管理テストにも最新バージョンのみを使用する必要があります。  

7. テスト結果を目視チェックする

Avantage では、社内管理についてしきい値に達しない評価を Excel で表示することができます。 これらの評価は、自動的に「問題あり」としてマークされ、社内で追跡されます。 主要なプロセス所有者と社内監査スタッフは、そのような不具合を目視チェックすることができます。  

8. アクションを修正する

標準以下の管理について修正されたアクションは、所定の期間内に問題が確実に解決するよう組織内で追跡する必要があります。

 

高い機能性	BPMN プロセスについて、リスク、コントロール ポイント、アサーション、COSO 属性、格付け、 テスト、および評価をすべて保存できます。
さまざまなエンティティ レベルのリスク	リスクは、ダイアグラム、プール、レーン、またはタスク レベルで定義できます。
表エディター	リスク、コントロール ポイント、アサーション、COSO 属性、格付け、およびテストの標準セットを編集し、 組織がそれらをどのように必要としているかを設定できます。
カラー コーディングとプレフィックス	リスクをともなうタスクは、ユーザー設定に応じた色で強調表示できます。 また、プレフィックスを目印として追加できます (組織単位を表したり白黒印刷の際に役立ちます)。
監査トレイル	更新や内外監査レビューは記録され、タイムスタンプが付与されてます。 バージョン情報は、CVS リポジトリに保持できます。
Excel リスク コントロール マトリックス	RCM は Excel に出力されます。 分析は、プロセス ツリーで選択した分析ポイントに応じて、1 つまたは多数のプロセスについて存在します。
Excel のフォーマット設定	RCM シートを作成し、必要に応じたユーザー設定に合わせてフォーマットできます。