IBM OpenPages GRC oW 800n VEKChpublic.dhe.ibm.com/.../openpages/ja/8.0.0/op_grc_modules.pdfIBM...

IBM OpenPages GRCバージョン 8.0.0

ソリューション・ガイド

IBM

IBM OpenPages GRCバージョン 8.0.0

ソリューション・ガイド

IBM

ii IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

注記

本書および本書で紹介する製品をご使用になる前に、 121 ページの『特記事項』の情報をお読みください。

iii

iv IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

本書は IBM OpenPages GRC バージョン 8.0.0 を対象として作成されており、その後のリリースも対象となる場合があります。

ライセンス資料 - IBM Corporation の所有財産。

© Copyright IBM Corporation, 2003, 2019.

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

原典：IBM OpenPages GRCVersion 8.0.0Solutions Guide

発行：日本アイ・ビー・エム株式会社

担当：トランスレーション・サービス・センター

v

vi IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

目次

注記 . . . . . . . . . . . . . . . . iiiv

概要 . . . . . . . . . . . . . . . . ixオブジェクト・タイプ・ライセンス. . . . . . . xOpenPages Financial Controls Management . . . xOpenPages Operational Risk Management . . . . x

Algo Risk Content on Cloud . . . . . . . xiOpenPages Policy and Compliance Management xiiOpenPages IT Governance . . . . . . . . . xiiiOpenPages Internal Audit Management . . . . xiii課題管理および是正 . . . . . . . . . . . xiv重要リスク評価指標および重要業績評価指標 (KRIおよび KPI) . . . . . . . . . . . . . . xviOpenPages Vendor Risk Management . . . . xvii

第 1 章新機能 . . . . . . . . . . . . 1バージョン 8.0.0.2 の新機能 . . . . . . . . . 1バージョン 7.4.0 の新機能 . . . . . . . . . . 1バージョン 7.3.0 の新機能 . . . . . . . . . . 2バージョン 7.2.0.1 の新機能 . . . . . . . . . 2バージョン 7.2.0 の新機能 . . . . . . . . . . 2バージョン 7.1.0 の新機能 . . . . . . . . . . 4バージョン 7.0.0 の新機能 . . . . . . . . . . 5

第 2 章オブジェクト・タイプ . . . . . 7オブジェクト名のマッピング . . . . . . . . . 7オブジェクト・タイプの説明 . . . . . . . . 11サブコンポーネント . . . . . . . . . . . 29

第 3 章計算済みフィールド . . . . . . 33

第 4 章ヘルパー . . . . . . . . . . 37Scenario Completion Helper . . . . . . . . 38KRI 値作成ユーティリティー . . . . . . . . 39KPI 値作成ユーティリティー . . . . . . . . 39RCSA Completion Helper . . . . . . . . . 40RCSA Process Alignment Helper . . . . . . . 41RCSA 起動ユーティリティー・ヘルパー. . . . . 41RCSA サイト同期ヘルパー . . . . . . . . . 42規程ビューアー . . . . . . . . . . . . . 42規程比較ビュー・ヘルパー . . . . . . . . . 43規程ロック解除ヘルパー . . . . . . . . . . 43バッチ通知の公開ヘルパー . . . . . . . . . 44規程認知度ビュー・ヘルパー . . . . . . . . 44認証作成レポート・ヘルパー . . . . . . . . 45基準取得ヘルパー . . . . . . . . . . . . 45リソース・リンク作成ヘルパー . . . . . . . . 45監査の完了ヘルパー . . . . . . . . . . . 45計画の追加または変更ヘルパー . . . . . . . . 46タイムシート・ヘルパー . . . . . . . . . . 46

タイムシート・エントリー・ヘルパー . . . . 47タイムシート承認ヘルパー . . . . . . . . 48タイムシート・エントリー・レポート・ヘルパー 48管理人タイムシート・エントリー・レポート・ヘルパー . . . . . . . . . . . . . . . 49

第 5 章通知 . . . . . . . . . . . . 51課題およびアクションの報告通知 . . . . . . . 52KPI リマインダーの通知 . . . . . . . . . . 52KPI 違反通知 . . . . . . . . . . . . . . 52KRI リマインダーの通知 . . . . . . . . . . 52KRI 違反通知. . . . . . . . . . . . . . 53インシデント通知 . . . . . . . . . . . . 53アンケート評価通知 . . . . . . . . . . . 53

第 6 章レポート . . . . . . . . . . 55リスク評価レポート . . . . . . . . . . . 57リスク・レポート . . . . . . . . . . . . 57統制活動レポート . . . . . . . . . . . . 58テスト・レポート . . . . . . . . . . . . 59可視化レポート . . . . . . . . . . . . . 59インディケーター・レポート . . . . . . . . 59損失イベント・レポート . . . . . . . . . . 60課題管理および是正のレポート . . . . . . . . 60シナリオ分析レポート . . . . . . . . . . . 61資本モデリング・レポート . . . . . . . . . 61規制コンプライアンス・レポート . . . . . . . 62IT 資産のレポート . . . . . . . . . . . . 62IT コンプライアンス・レポート . . . . . . . 63監査管理レポート . . . . . . . . . . . . 64

第 7 章トリガー . . . . . . . . . . 67バージョン 7.2.0.1 における新しいライフサイクル・トリガー . . . . . . . . . . . . . . . 68ライフサイクルの構成 . . . . . . . . . . . 69トリガーを含むオブジェクト・タイプ . . . . . 70課題管理および是正のトリガー . . . . . . . . 71

課題ライフサイクル・トリガー . . . . . . . 71内部統制上の課題ライフサイクル・トリガー (バージョン 7.2.0.1 以降) . . . . . . . . . . . . 72リスクと統制の自己評価トリガー . . . . . . . 74可視化のトリガー . . . . . . . . . . . . 74KRI ライフサイクル・トリガーと KPI ライフサイクル・トリガー . . . . . . . . . . . . . 75損失イベント・ライフサイクル・トリガー . . . . 75

損失イベント計算トリガー . . . . . . . . 76損失イベント承認の送信トリガー . . . . . . 76損失イベントの承認トリガー . . . . . . . 76

損失イベント・ライフサイクル・トリガー (バージョン 7.2.0.1 以降) . . . . . . . . . . . . . 76

「ライフサイクル」ボタンを制御する条件 . . . 79

vii

統制活動ライフサイクル・トリガー . . . . . . 79インシデント・ライフサイクルのトリガー . . . . 81アンケート評価ライフサイクル・トリガー . . . . 82規程のインポート・トリガー . . . . . . . . 84ポリシー・ロック・トリガー . . . . . . . . 85リスク評価の監査の計算トリガー . . . . . . . 85監査完了自動化トリガー . . . . . . . . . . 86

第 8 章プロファイル. . . . . . . . . 87OpenPages VRM マスター・プロファイル . . . . 87OpenPages RCM マスター・プロファイル . . . . 88OpenPages MRG マスター・プロファイル . . . . 88OpenPages FCM マスター・プロファイル . . . . 88OpenPages ORM マスター・プロファイル . . . . 89ORM オペレーショナル・リスク・チーム・プロファイル . . . . . . . . . . . . . . . . 89ORM ビジネス・ユーザー・プロファイル . . . . 90ORM 簡易ユーザー・プロファイル . . . . . . 90

OpenPages FIRST 損失プロファイル . . . . . . 91OpenPages PCM マスター・プロファイル . . . . 91OpenPages ITG マスター・プロファイル . . . . 92OpenPages IAM マスター・プロファイル . . . . 92ホーム・ページ・フィルターが設定されているリスト . . . . . . . . . . . . . . . . . 93アクティビティー・ビュー . . . . . . . . . 101グリッド・ビュー . . . . . . . . . . . . 108

第 9 章役割テンプレート . . . . . . 111役割テンプレート権限 . . . . . . . . . . 111役割テンプレートによって割り当てられるオブジェクト・タイプ権限 . . . . . . . . . . . . 111

特記事項 . . . . . . . . . . . . . . 121

索引 . . . . . . . . . . . . . . . 125

viii IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

概要

IBM® OpenPages® GRC Platform には、 IBM OpenPages Financial ControlsManagement や IBM OpenPages Operational Risk Management などのソリューションが含まれています。

対象読者

「IBM® OpenPages® GRC Platform ソリューション・ガイド」の対象読者は、OpenPages GRC Platform で提供されるソリューションを使用する必要があるユーザーです。各ソリューションのオブジェクト・タイプについて説明します。また、各ソリューションでサポートされるサブコンポーネント、計算済みフィールド、ヘルパー、通知、レポート、トリガー、プロファイル、役割テンプレート、ビュー、およびワークフローについても明記します。

IBM OpenPages GRC の資料に関する以下の重要な情報をお読みください

IBM では、IBM OpenPages GRC のクラウド版とオンプレミス版の両方のデプロイメントについて解説する資料を 1 つのセットにまとめています。IBMOpenPages の資料には、OpenPages GRC on Cloud では使用できない場合がある特定の機能や関数に関する説明があります。例えば、OpenPages GRC on Cloudには、IBM Business Process Manager との統合および特定の管理機能は含まれていません。

使用している製品バージョンで利用可能な機能について質問がある場合は、IBM サポート・コミュニティーを通じて IBM OpenPages サポートにお問い合わせください。

情報の検索

製品資料 (各国語版の資料を含む) を Web で入手するには、IBM KnowledgeCenter (http://www.ibm.com/support/knowledgecenter) にアクセスしてください。

アクセシビリティー機能

アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーが情報技術プロダクトを快適に使用できるようにサポートします。 OpenPagesGRC Platform 資料にはアクセシビリティー機能が備わっています。 PDF 文書は補助的なものであるため、追加のアクセシビリティー機能はありません。

将来の見通しに関する記述

このマニュアルには製品の現在の機能が記載されています。一部の内容で、現在利用できない項目について言及している可能性があります。これは、将来利用できるようになることを意味するものではありません。このような言及は、何らかの資料、規約、または機能を提供するという誓約、保証、または法的義務ではありませ

ix

https://www.ibm.com/mysupport

https://www.ibm.com/mysupport

http://www.ibm.com/support/knowledgecenter

http://www.ibm.com/support/knowledgecenter

ん。IBM はその裁量に基づき、機能の開発、リリース、タイミングや機能性を決定します。

オブジェクト・タイプ・ライセンス購入済みの各 IBM OpenPages GRC Platform ソリューションのオブジェクト・タイプを使用するライセンスが交付されています。

各ソリューションで提供されるオブジェクト・タイプの完全なリストについては、7 ページの『第 2 章オブジェクト・タイプ』を参照してください。その他のオブジェクト・タイプの使用は、IBM から事前に書面による承認を受けていない限り、禁止されています。

OpenPages Financial Controls ManagementIBM OpenPages Financial Controls Management は、財務報告に関連する現行のコンプライアンスに準拠するために必要な時間とリソース・コストを削減します。

IBM OpenPages Financial Controls Management は、文書およびプロセスを管理する強力な機能と、機能性に優れた対話式レポート作成機能を、柔軟性と適応性を備えた使いやすい環境にて結合します。この機能により、CEO、CFO、管理者、独立監査人、および監査委員会は、財務報告に関する規則に準拠するうえで必要なすべてのアクティビティーを、簡単かつ効率的に実行できます。

財務統制文書化プロジェクトの状況を簡単に確認できるほか、内部統制文書を安全なリポジトリーに格納することができます。

主要な機能は以下のとおりです。

v Financial Controls Management のリポジトリーでは、プロセス、リスク、および統制を、複数レベルでの多対多の関係や共有関係で論理的に表すことができます。また、あらゆるレベルのプロセス、リスク、統制、およびテストに対して、ファイル添付機能とアクション計画を使用することができます。

v 財務統制管理アクティビティー (設計レビュー、運用レビュー、認証など) の通知や実行を柔軟に自動化することができます。

v レポート作成、モニタリング、および分析。

詳しくは、「OpenPages GRC Platform FCM Solution Details」資料を参照してください。

OpenPages Operational Risk ManagementIBM OpenPages Operational Risk Management は、文書とプロセスの管理をモニタリングおよび意思決定支援システムに結合します。IBM OpenPages OperationalRisk Management により、組織は簡単かつ効率的にリスクを分析、管理して、リスクの軽減を実現できます。

IBM OpenPages Operational Risk Management は、オペレーショナル・リスクの測定およびモニターのプロセスの自動化を支援します。また、リスクと統制の自己

x IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

評価、損失イベント、シナリオ分析、外部損失、重要リスク評価指標 (KRI) を含むすべてのリスク・データを、単一の統合ソリューションに結合します。

IBM OpenPages Financial Controls Management の主要な機能は以下のとおりです。

v 損失イベント。運用上の損失をもたらすおそれがある内部イベントおよび外部イベントの追跡、評価、および管理を行うために使用します。

v リスクおよび統制の自己評価 (RCSA)。リスクの識別、測定、および軽減を行うために使用します。

v 重要リスク評価指標 (KRI) と重要業績評価指標 (KPI)。パフォーマンス・メトリックを追跡して、リスクの状況や傾向の存在または状態を潜在的に示すことができます。

v シナリオ分析。特定の種類のリスク、とりわけ発生頻度が低く、重大度が高いイベントを特定し、測定するために使用する評価手法です。

v 外部損失イベント。IBM Algo Risk® Content on Cloud、ORX、および ORICの各損失データベースから損失データをインポートするために使用します。

v 課題管理および是正 (IMR)

v 資本モデリング。資本モデリングの情報を OpenPages に保管するための機能を提供します。

v レポート作成、モニタリング、および分析

詳しくは、「OpenPages GRC Platform ORM Solution Details」資料を参照してください。

Algo Risk Content on CloudIBM Algo Risk Content on Cloud データベースは、リスク・ケース・スタディーの形式の、外部の公開オペレーショナル・リスクの損失イベントのコレクションです。

Algo Risk Content on Cloud イベントは金融部門を対象とし、20 年以上にわたるイベントから構成されます。これらのイベントは BIS 規制カテゴリーや業務など、13 のキーワード階層に索引付けされています。その他の階層として、制御因子、イベント・トリガー、事業部のタイプ、および拠点の種類があります。Algo RiskContent on Cloud ケースには、イベントを分割して根本原因の分析を行ったり、制御の詳細、得られた教訓、経営陣の対応およびイベントの余波を確認したりするための詳細な説明が含まれています。また、イベントには、イベントのタイムライン、イベントが発生した機関の関連情報、または損失の影響度に関するその他の詳細を示すための補足の詳細を含むセクションも組み込まれています。

Algo Risk Content on Cloud の大部分のイベントは、定量的情報および詳細な質的分析を収集します。この定量的情報は、イベント時に取り込まれる損失額の形式になります。

Algo Risk Content on Cloud は、FastMap 機能との互換性を持つフォーマットで、Algo Risk Content on Cloud データベースで毎日更新されるデータ・アドオンへのサブスクリプションを提供します。IBM OpenPages GRC Platform のお客様は、Algo Risk Content on Cloud FastMap データ・アドオンを使用して、

概要 xi

OpenPages GRC Platform アプリケーション内でエンド・ユーザーに Algo RiskContent on Cloud ケース・スタディーへのアクセス権を付与できます。OpenPages GRC Platform にデータがロードされた後は、エンド・ユーザーはAlgo Risk Content on Cloud ケース・スタディーを参照したり、ケース・スタディーをオブジェクト (シナリオ分析、リスク、損失イベントなど) に関連付けたりすることができます。 Algo Risk Content on Cloud data add-on for OpenPagesGRC Platform の取得についての詳細は、IBM アカウント担当者にお問い合わせください。

Algo Risk Content on Cloud データベース・サービスにサブスクライブすると、Algo Risk Content on Cloud データを IBM OpenPages Operational RiskManagement にシームレスにロードできる、互換性のある FastMap ファイルがAlgo Risk Content on Cloud から提供されます。

デフォルトで、IBM OpenPages Operational Risk Management には OpenPagesFIRST 損失プロファイルが含まれています。このプロファイルを持つユーザーは、IBM OpenPages FastMap 機能を使用して、FIRST Loss データをロードすることができます。このプロファイルについて詳しくは、 91 ページの『OpenPagesFIRST 損失プロファイル』を参照してください。

OpenPages Policy and Compliance ManagementIBM OpenPages Policy and Compliance Management は、複数の法的規約や企業ポリシーに準拠する際のコスト、複雑性、煩雑さを軽減する、企業コンプライアンス管理ソフトウェア・ソリューションです。

IBM OpenPages Policy and Compliance Management を使用することで、企業は、以下をはじめとする完全な一連の統合機能を通じて、コンプライアンス・アクティビティーを管理し、モニターすることができます。

v 規則ライブラリーと変更管理

v リスクおよび統制の評価

v 規程管理 (規程の作成、レビューと承認、規程認知度など)

v 統制テストおよび問題の是正

v 規制者とのやり取りの管理

v インシデント追跡

v 重要業績評価指標


IBM OpenPages Policy and Compliance Management 内では、IBM OpenPagesGRC Platform によって以下の 3 つのアプローチがサポートされます。

データ中心規程の属性は規程オブジェクトにメタデータとして格納されます。規程およびプロシージャーの内容の作成、保管、編集、およびレビューは、規程ビューアーで行われます。草稿が繰り返されている間は、赤線の変更が追跡されません。

文書中心規程の属性は規程オブジェクトにメタデータとして格納されます。規程およ

xii IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

びプロシージャーの内容は OpenPages GRC Platform の外部で作成され、文書全体が規程オブジェクトに添付されます。規程およびプロシージャーの内容は、OpenPages GRC Platform にインポートも格納もされません。

混合型規程の属性は規程オブジェクトにメタデータとして格納されます。規程およびプロシージャーの内容は、Microsoft Word 文書で作成されて編集されてから、OpenPages GRC Platform にインポートされて格納されます。草稿が繰り返されている間の赤線が引かれた変更の追跡には、Microsoft Wordで使用可能な「変更履歴の記録」機能が使用されます。

詳しくは、「OpenPages GRC Platform PCM Solution Details」資料を参照してください。

OpenPages IT GovernanceIBM OpenPages IT Governance は、企業のビジネス構想、戦略、運用基準に合わせて IT サービス、リスク、および規程を調整します。

IBM OpenPages IT Governance では、サポートされるビジネス・プロセスに従って、内部の IT 統制とリスクを管理することができます。また、サイロ化された ITリスクおよびコンプライアンスを統合して、可視性を高め、意思決定を的確に支援し、最終的に企業の業績を拡大させます。


v IT 関連の規制および規程のコンプライアンス

v リスクおよび統制の評価

v 統制テストおよび問題の是正

v IT リソースの管理

v インシデント追跡

v 脆弱性の追跡とスコアリング

v 重要業績評価指標と重要リスク評価指標


詳しくは、「OpenPages GRC Platform ITG Solution Details」資料を参照してください。

OpenPages Internal Audit ManagementIBM OpenPages Internal Audit Management では、内部監査人が組織のガバナンス、リスク、およびコンプライアンス (GRC) を独自に設定した視点でとらえることができます。これにより、監査でのリスクとコンプライアンスの管理アクティビティーの幅が広がります。

IBM OpenPages Internal Audit Management は財務統制管理、IT ガバナンス、規程とコンプライアンスへの取り組み、およびオペレーショナル・リスク管理プログラムに完全に統合されています。内部監査チームは、監査部門または実施中の特定

概要 xiii

の監査の具体的なニーズに従って、ビジネスの利害関係者と一体となったパートナーとして、または完全に独立した立場で、あるいはその中間の立場で、作業を進めることができます。


v それぞれの監査方法に従って構成された監査領域のリスク・ランクを判定する機能

– それぞれのリスク評価方法を強力にサポート

– 監査領域全体を対象とした完全なレポート作成

v ビジネス全体にわたって監査を定義し、計画し、実施し、報告する機能

– 監査、監査セクション、調書、および監査リソースの要件と割り振りを追跡して管理

– 自由に構成できるレポートを通じて操作を自動化

v GRC 活動の一環としてビジネスや作業を独立して保証する機能

– 経営陣の GRC 活動に独立した立場で意見を述べる

– 機密性の高い監査、フィールド、および監査専用ビューへのアクセスを制御

詳しくは、「OpenPages GRC Platform IAM Solution Details」資料を参照してください。

課題管理および是正課題管理および是正 (IMR) プロセスは、すべてのリスク管理プログラムの重要なコンポーネントです。堅固な IMR フレームワークを構築すると、このフレームワークによってサポートされるリスク管理プログラムの認識性、検証性、および透明性が向上します。

適切に実施された場合、最小のオーバーヘッドで高い価値が得られ、リスク管理プログラムの継続的な改善のための根本的な推進力として機能します。有効な IMRフレームワークでは、識別された課題の文書化、モニター、是正、および監査が効果的に行われます。

課題とは、リスクを正確に管理してレポートするための機能に悪影響を及ぼすイベントのことです。課題は、文書化された IMR フレームワークに対して特定されます。課題は、フレームワーク内のオブジェクトに関連付けることができ、通常は、焦点領域を特定する属性 (所有権、スケジュール、是正の状況など) が設定されています。課題は、複数の親に関連付けることができます。例えば、課題が損失イベントによって発見された場合、その課題を損失イベント、発生したリスク、および文書化された不合格の統制に関連付けることができます。

IMR プロセスは、以下の主要なアクティビティーにおいて動作します。

1. 課題の作成および割り当て

2. アクションの作成および割り当て

3. 是正処理

4. 課題のクローズ

5. レポート

xiv IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

課題の作成および割り当て

課題は、さまざまなリスク管理アクティビティー (損失イベント、KRI しきい値違反、統制の脆弱性の識別など) の結果として生じます。これらのアクティビティー全体にわたって、ユーザーは課題を IBM OpenPages GRC Platform 内で作成できます。

課題は、標準のユーザー・インターフェースを介して追加されます。原因となる要素の結果として自動的に作成されません。

作成時には、課題の状況が「未着手」に設定されます。作成者は、「現在の期限(current due date)」フィールドに値を入力する必要があります。課題の初回保存時に、「現在の期限 (current due date)」は、「元の期限」を格納する読み取り専用フィールドにコピーされます。課題が作成されると、課題の責任者 (課題の作成者と同じであるとは限らない) に E メールによる通知が行われます。

アクションの作成および割り当て

識別された課題を解決するための適切なアクションを確立して記録するのは、課題の責任者の役割です。アクションは、標準のユーザー・インターフェースを使用して手動で作成します。アクション・アイテムについて次のデータが取り込まれます:「説明」、「担当者」、「開始日」、「期限」、「実クローズ日 (actual closuredate)」、「ステータス」(読み取り専用) および「コメント」。

アクションの担当者は、アクションを実行しなければならないことを、「自分の未着手アクション・アイテム」または E メールによって通知されます。

是正処理

通知を受けたら、担当者は割り当てられたアクションを実行します。アクションによっては、完了するまで時間がかかるため、担当者は「コメント」フィールドを使用して進捗状況を追跡します。

このアクションの完了時に、担当者は「クローズのために送信 (Submit forClosure)」フィールドを「はい」に設定します。これにより、「課題の責任者」フィールドは親課題からアクションにコピーされ、アクションの状況は「承認待ち」に設定されます。

この状況変更により、レビューおよび承認のためにこのアクションが課題の責任者のホーム・ページに送信されます。

課題のクローズ

課題の責任者は、ホーム・ページまたは E メールからアクションのリストにアクセスしてクローズを承認します。

アクションを却下して保存した場合、状況が「未着手」に戻り、アクションはアクション担当者に返されます。クローズのためにアクションを承認して保存した場合、アクションの状況が「完了」に変わり、フィールド「クローズ日 (Closuredate)」に現在の日付が取り込まれます。

概要 xv

アクションの完了時に、課題の責任者は課題をレビューして、その状況を「完了」に更新します。

レポート

課題レポートとアクション・レポートの選択は、すべてのユーザーが可能です。また、以下の情報を含むすべての E メール通知は、ユーザーへの統合された課題およびアクションの報告に含まれます。

v 過去 X 日間に受信者に割り当てられた課題。

v 過去 X 日間に受信者に割り当てられたアクション。

v あと X 日でクローズの期限となる課題。

v あと X 日でクローズの期限となるアクション。

v 期限切れの課題。

v 期限切れのアクション。

v クローズ承認待ちのアクション。

重要リスク評価指標および重要業績評価指標 (KRI および KPI)重要リスク評価指標 (KRI) と重要業績評価指標 (KPI) は、IBM OpenPagesOperational Risk Management および IBM OpenPages IT Governance の各ソリューションで使用できます。

重要指標ライフサイクルの主要な段階は、定義、値の作成、値の取得、およびレポート作成です。メトリック管理プログラムをサポートするためにこれらの各段階で、KRI および KPI の両方に対して以下の自動化が用意されています。

指標定義指標を初めから作成することも、指標ライブラリー内の標準指標に基づいて作成することもできます。

値の作成KRI 値オブジェクトおよび KPI 値オブジェクトは、値作成ユーティリティーによって自動的に作成されます。このユーティリティーは通常、スケジュール・ベースで実行されます。スケジュールされていた自動ジョブの実行に失敗した場合、管理者が値作成ユーティリティーを実行できます。

値の取得収集日が近づいているアクティブ指標の値コレクターに、値を入力しなければならないことを示す通知が、ホーム・ページ・フィルターが設定されているリストおよび E メールを使用して自動的に送信されます。値を入力して保存すると、KRI トリガーまたは KPI トリガーによって、違反状況値およびその他の状況値が計算され、これらの値は、値および指標に保持されます。また、違反状況が緑色または琥珀色から赤色に変わると、リスクのオーナーに通知が送信されます。

指標レポート作成KRI ダッシュボード・レポートおよび KPI ダッシュボード・レポートには、選択された拠点とその下層についての指標情報の要約が表示されます。ドリルスルーにより、指標値の詳細情報および傾向情報をできます。

xvi IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

KRI および KPI のトリガーについて詳しくは、「OpenPages GRC PlatformSolutions Metrics Details」資料を参照してください。KRI ダッシュボード・レポートおよび KPI ダッシュボード・レポートについて詳しくは、「OpenPages GRCPlatform Solutions Report Details」資料を参照してください。

OpenPages Vendor Risk ManagementIBM OpenPages Vendor Risk Management は、企業が取引相手のベンダーに関連するリスクを評価および分析する際のサポートを提供します。

IBM OpenPages Vendor Risk Management は、ベンダーおよびベンダーが雇用する下請け業者の業務およびセキュリティー・アクティビティーに透過性をもたらします。それは、サード・パーティーのコンプライアンスおよびリスクを管理するスケーラブルな方法を提供します。企業はそれを使用することで、個々のベンダーやエンゲージメントがビジネス・プロセスにどのように関わっているかをより明確に理解することができます。

IBM OpenPages Vendor Risk Management により、企業は以下のタスクを実行できるようになります。

v すべてのベンダーおよびエンゲージメントを作成、管理、および文書化する

v ベンダーを低、中、または高の重大度で分類、つまり「層」に分ける

v サード・パーティー・ベンダーとの契約を管理する

v サード・パーティー・エンゲージメントがビジネスをどのようサポートしているかを理解する

v 標準リスク評価を使用して、個々のベンダーに固有の方法でリスクを識別および軽減する

v アンケート評価機能を活用して、リスクやコンプライアンスのアンケート評価で収集した情報によりベンダーやエンゲージメントの層分けを実施する

v 証拠を収集し、一元的に管理する

v 識別されたリスクを是正および軽減する

v 重要業績評価指標と重要リスク評価指標を作成する

v 継続的にリスクを監視してレポートを作成する

概要 xvii

xviii IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

第 1 章新機能

このリリースの IBM OpenPages GRC Platform ソリューションでは、新機能が導入されています。

このリリースのすべての新機能について詳しくは、「IBM OpenPages GRC PlatformNew Features Guide」を参照してください。

バージョン 8.0.0.2 の新機能これ以降の各セクションでは、IBM OpenPages GRC Platform バージョン 8.0.0.2の新機能について説明します。

ソリューションの機能拡張

表 1. ソリューションの機能拡張

必要な情報トピックの参照...

IBM OpenPages Internal AuditManagement ソリューション用の新しいタイムシート・エントリー・ヘルパー

47 ページの『タイムシート・エントリー・ヘルパー』

IBM OpenPages Internal AuditManagement ソリューション用の新しいタイムシート承認ヘルパー

48 ページの『タイムシート承認ヘルパー』

新しいタイムシート却下通知 51 ページの『第 5 章通知』

新しい GRC ワークフロー機能「IBM OpenPages GRC 管理者ガイド」の『GRC ワークフローの構成』

結果、内部統制上の課題、損失イベント、および調書の各オブジェクト・タイプに対する新しいワークフロー例

「IBM OpenPages GRC 管理者ガイド」の『ワークフロー例』

タスク中心 UI での、FCM、RCM、およびIAM の各ソリューション内のオブジェクト・タイプに対する更新されたグリッド・ビューとタスク・ビュー

「IBM OpenPages GRC 管理者ガイド」の『タスク中心 UI のビュー』

バージョン 7.4.0 の新機能以降のセクションでは、IBM OpenPages GRC Platform バージョン 7.4.0 の新機能について説明します。

ソリューションの機能拡張

表 2. ソリューションの機能拡張

必要な情報トピックの参照...

新しい脆弱性オブジェクト。 11 ページの『オブジェクト・タイプの説明』

1

バージョン 7.3.0 の新機能IBM OpenPages GRC Platform ソリューションのバージョン 7.3.0 には、新しいソリューションおよびソリューションの機能拡張が含まれています。

IBM OpenPages Vendor Risk Management

新しい IBM OpenPages Vendor Risk Management (VRM) ソリューションは、企業が取引相手のベンダーに関連するリスクを評価および分析する際のサポートを提供します。ベンダー、エンゲージメント、契約という 3 つの新しいオブジェクト・タイプが追加されました。詳しくは、 11 ページの『オブジェクト・タイプの説明』を参照してください。アンケート評価は、ベンダーおよびエンゲージメントに適用されるように拡張されました。

IBM OpenPages Operational Risk Management

IBM OpenPages Operational Risk Management (ORM) ソリューションは、シナリオ分析が改善されて機能拡張されました。詳しくは、 11 ページの『オブジェクト・タイプの説明』を参照してください。

バージョン 7.2.0.1 の新機能IBM OpenPages GRC Platform ソリューションのバージョン 7.2.0.1 には、新しいソリューションおよびソリューションの機能強化が含まれています。

新しい構成可能なライフサイクル

OpenPages バージョン 7.2.0.1 では、既存のアンケート・ライフサイクルおよびインシデント・ライフサイクルに加えて、新しい 3 つのライフサイクルが製品に追加されています。これらのライフサイクルは、以下のとおりです。

v 内部統制上の課題

v 統制活動

v 損失イベント

ライフサイクルは、必要に応じて継続し、他のオブジェクトに拡張できます。内部統制上の課題イベントおよび損失イベントのライフサイクルは、それらのイベントのオブジェクトで定義されている既存のトリガーと統合されます。新しいライフサイクル (インシデントを含む) の一環として送信される E メールの内容が強化され、リソースに関する情報がさらに詳しく記載されるようになりました。内部統制上の課題および損失イベントも更新されており、ライフサイクルを通じて作成されたすべての要求に対する期限が含まれるようになりました。

詳しくは、 68 ページの『バージョン 7.2.0.1 における新しいライフサイクル・トリガー』を参照してください。

バージョン 7.2.0 の新機能IBM OpenPages GRC Platform ソリューションのバージョン 7.2.0 には、新しいソリューションおよびソリューションの機能強化が含まれています。

2 IBM OpenPages GRC バージョン 8.0.0: ソリューション・ガイド

モジュールのソリューションへの名称変更

以前はモジュールと呼んでいた概念をソリューションと呼ぶようになりました。本ガイドのタイトルは「IBM OpenPages GRC Platform ソリューション・ガイド」になりました。

IBM OpenPages Regulatory Compliance Management

IBM OpenPages Regulatory Compliance Management (RCM) ソリューションにより、組織が規則を要件のカタログに分割し、業務へのその影響を評価し、アクション可能なタスクを作成することがサポートされます。1 つのソリューションとして、企業が以下のタスクを実行できるようにします。

v 法的義務を満たす要件のカタログの作成

v 内部統制活動環境と法的義務の比較

v 内部統制活動のコンプライアンス・レベルを法的要件に照らして評価

v コンプライアンス評価の結果に基づいて是正アクティビティーを開始Initiate®

以下のアイテムの表が更新され、RCM に関連する新しい列および行が組み込まれました。

v オブジェクト・タイプ

v サブコンポーネント

v トリガーを含むオブジェクト・タイプ

v プロファイル

v ホーム・ページ・フィルターが設定されているリスト

v アクティビティー・ビュー

v 「新規追加」ウィザードを起動するアクティビティー・ビュー

IBM OpenPages Model Risk Governance

IBM OpenPages Model Risk Governance (MRG) ソリューションにより、組織のモデル・インベントリーの編成および一元化がサポートされます。ソリューションとして、構成可能かつカスタマイズ可能なプラットフォームを提供し、企業が以下のタスクを実行できるようにします。

v 全社的なモデル・リストの編成および保守

v モデルに関する問題の文書化および追跡を一元的に実施

v モデル変更管理のガバナンス・アクティビティーを記録

v モデルのレビューおよび検証のスケジュール、追跡、および管理

v モデル所有権およびモデル・リスク管理に対する適切な役割および責任の割り当て

v モデル・インベントリーおよびモデルの問題に関するレポート

以下のアイテムの表が更新され、MRG に関連する新しい列および行が組み込まれました。

v オブジェクト・タイプ

v サブコンポーネント

v 通知

第 1 章新機能 3

v レポート

v トリガーを含むオブジェクト・タイプ

v プロファイル

v ホーム・ページ・フィルターが設定されているリスト

v アクティビティー・ビュー

v 「新規追加」ウィザードを起動するアクティビティー・ビュー

アンケート評価

アンケート評価の導入により、企業がビジネス・ユーザーから収集する情報の収集、編成、および一括管理をサポートします。ライフサイクル・トリガーにより、アンケート評価レビューがサポートされます。以下のオブジェクトが追加されました。

v アンケート評価

v アンケート・テンプレート

v セクション・テンプレート

v サブセクション・テンプレート

v 質問テンプレート

v プログラム

インシデントのライフサイクル

インシデント・オブジェクトのライフサイクルの導入により、企業におけるインシデントの評価方法および調査方法の合理化および標準化がサポートされます。

管理人タイムシート・エントリー・レポート・ヘルパー

管理人タイムシート・エントリー・レポート・ヘルパーのセクションが更新されました。

詳しくは、 48 ページの『タイムシート・エントリー・レポート・ヘルパー』および 49 ページの『管理人タイムシート・エントリー・レポート・ヘルパー』を参照してください。

バージョン 7.1.0 の新機能IBM OpenPages GRC Platform モジュールのバージョン 7.1.0 には、新機能および機能強化が含まれています。

OpenPages Capital Modeling との統合

IBM OpenPages Operational Risk Management は、OpenPages CapitalModeling と統合されました。この統合により、ユーザーは資本モデリングの機能およびレポートを使用できます。オペレーショナル・リスク・データおよびオペレーショナル・リスク資本での収集、モデル化およびレポート作成を同時に行うことができます。ユーザーは OpenPages GRC Platform から Capital Modeling アプ


リケーションにデータ (内部および外部損失データ) をロードします。モデリング・プロセスが完了すると、以降のレポート作成や分析のために、モデルが OpenPagesアプリケーションに保存されます。

以下のタイプのオブジェクトを可視化することができます。

v 資本モデル

v モデル結果

以下のレポートが含まれます。

v 拠点別出資

v リスク・カテゴリー別出資

「新規追加」ウィザードにアクティビティー・ビューが追加されました。

以下のオブジェクト・タイプに「新規追加」アクティビティー・ビューが含まれます。

v リスク

v 統制活動

v 調書

バージョン 7.0.0 の新機能IBM OpenPages GRC Platform のバージョン 7.0.0 には、新機能および機能強化が含まれています。

強化された Operational Risk Management の機能

新規のワークフロー、自動化、およびレポートが IBM OpenPages OperationalRisk Management に追加されており、以下のプラクティスの標準アプローチを使用できます。

v 損失イベント

v リスクおよび統制の自己評価

v 重要リスク評価指標

v 重要業績評価指標

v シナリオ分析

v 外部損失データ分析

v 課題管理および是正

可視化

リスク分析担当者またはコンプライアンス管理者は、ビジネス・プロセスを視覚的にレンダリングして、他のリスク分析ユーザーに伝えることができます。また、対話式の可視化を作成し、プロセス・フローと拠点の階層構造に関する情報を伝えることができます。

以下のタイプのオブジェクトを可視化することができます。

第 1 章新機能 5

v プロセス・ダイアグラム

v データ入力

v データ出力


第 2 章オブジェクト・タイプ

IBM OpenPages GRC Platform ソリューションには、さまざまなオブジェクト・タイプが含まれています。

「OpenPages GRC Object Model Details」資料に、各ソリューションのオブジェクト・タイプ間の関係についての情報が記載されています。

オブジェクト名のマッピングオブジェクト名には、デフォルトのオブジェクト・タイプのラベルがマップされています。

表 3. オブジェクト名にマップされたオブジェクト・タイプのラベル

アイコンオブジェクト名オブジェクト・タイプのラベル

Assertion アサーション

Attestation 認証

AuditableEntity 監査可能拠点

Auditor 監査人

AuditPhase 監査セクション

AuditProgram 監査

Campaign キャンペーン

CapitalModel 資本モデル

CapitalModelResult 資本モデル結果

Challenge 課題

ChangeRequest 変更要求

Committee 委員会

CompliancePlan コンプライアンス計画

ComplianceTheme コンプライアンスのテーマ

Contract 契約

CostCenter コスト・センター

CtlEval 統制評価

DataInput データ入力

DataOutput データ出力

7

表 3. オブジェクト名にマップされたオブジェクト・タイプのラベル (続き)


Documentation 文書

Employee 従業員

Engagement エンゲージメント

Finding 結果

FIRSTLoss FIRST 損失

Incident インシデント

KeyPerfIndicator KPI

KeyPerfIndicatorValue KPI 値

KeyRiskIndicator KRI

KeyRiskIndicatorValue KRI 値

LossEvent 損失イベント

LossImpact 損失の影響度

LossRecovery 損失の回収

Mandate 規約

Metric メトリック

MetricValue メトリック値

Model モデル

ModelInput モデル入力

ModelLink モデルのリンク

ModelOutput モデル出力

ModelReport モデル・レポート

Model Result モデル結果

ORICLoss ORIC 損失

ORXLoss ORX 損失

Plan 計画

Policy 規程

PolicyReviewComment 規程レビュー・コメント




Preference 設定

PrefGrp 設定グループ

Procedure プロシージャー

ProcessDiagram プロセス・ダイアグラム

ProcessEval プロセス評価

Program プログラム

Project プロジェクト

ProjectActionItem マイルストーン・アクション・アイテム

Qsection セクション

Quest 質問

Questionnaire アンケート

QuestionnaireAssessment アンケート評価

QuestionnaireTemplate アンケート・テンプレート

QuestionTemplate 質問テンプレート

RAEval リスク評価

RegApp 規則の適用性

RegChange 法的変更

RegInt 規制者とのやり取り

Register 登録

RegTask 法的タスク

Regulator 規制者

RegulatoryInitiative 規制イニシアチブ

ReportSection レポートのセクション

Requirement 要件

RequirementEvaluation 要件評価

RequirementEvaluationValue 要件評価値

Resource リソース

第 2 章オブジェクト・タイプ 9



ResourceLink リソース・リンク

Review レビュー

ReviewComment 監査レビュー・コメント

RICat RI カテゴリー

RIReq RI 要求

RiskAssessment リスクの評価と対応

RiskEntity 統制計画

RiskEval リスク評価

RiskSubEntity 基準

ScenarioAnalysis シナリオ分析

ScenarioResult シナリオ結果

SectionTemplate セクション・テンプレート

SOXAccount 勘定科目

SOXBusEntity 拠点

SOXControl 統制活動

SOXControlObjective 統制目標

SOXDocument ファイル

SOXExternalDocument リンク

SOXIssue 内部統制上の課題

SOXMilestone マイルストーン

SOXProcess プロセス

SOXRisk リスク

SOXSignature 署名

SOXSubaccount 補助科目

SOXSubprocess サブプロセス

SOXTask アクション・アイテム

SOXTest テスト計画




SOXTestResult テストの結果

Submandate 下位規約

SubSectionTemplate サブセクション・テンプレート

Timesheet タイムシート

Usage 使用法

Vendor ベンダー

Vulnerability 脆弱性

Waiver 免除

Workpaper 調書

オブジェクト・タイプの説明IBM OpenPages GRC Platform ソリューションには、さまざまなオブジェクト・タイプが含まれています。

勘定科目勘定科目は、財務レポートの 1 つ以上の明細に対応します。それぞれの勘定科目は、繰り返し実行されるプロセスの影響を受けます。このようなプロセスでは、財務統制の文書化プロジェクトで文書化する必要があるリスクが生じる可能性があります。勘定科目は、各種の要因に基づいて重度として特定されます (要因にはサイズ、勘定科目に作用するプロセスの複雑度、あるいは勘定科目が事業の新たな製品ラインに関連付けられているかどうかなどがあります)。具体化しかねないリスクや勘定科目に重大な影響を与えかねないリスクは、勘定科目に作用するプロセスを検討することで特定されます。

アサーションアサーション・オブジェクトは、統制オブジェクトを勘定科目 (または補助科目) オブジェクトにリンクするために使用します。通常、アサーション・オブジェクトのデータ・フィールドとして統制が対応しているアサーションのタイプを保管します。

認証認証オブジェクトは、規程認知機能の一部であり、規程を読み理解したという確約を従業員から得るために使用します。認証の 1 次親は従業員レコード、2 次親は関連付けられたキャンペーンです。

監査監査は、監査可能拠点に対する毎回の監査の実施を表します。例えば、監査可能拠点が 2 年ごとに監査される場合は、2006、2008 などの 2 年単位の期間ごとに別個の子監査インスタンスを作成する必要があります。組織ではさまざまなプロセスが監査されます。例えば、拠点、特定の規制要件、データ・センターの物理的セキュリティーなどが監査の対象となり得ます。


監査オブジェクトは、自己完結型オブジェクト・タイプとして構成され、監査インスタンスごとにフォルダーが自動的に作成されます。この構成により、ユーザーは、テンプレート監査および監査コンポーネントを、オブジェクト命名の競合なしにライブラリーから監査階層にコピーできます。

監査リソースの計画とスケジューリングは、監査レベルで行われます。

監査の大まかな進捗は、監査の状況値と日付値をモニターすることで追跡できます。監査の主要マイルストーンを追跡するには、追跡対象である各主要マイルストーンの完了日を表すフィールドを追加します。

監査オブジェクトは、企業全体で監査プロセスを管理するために使用します。監査では、範囲、目的、タイミング、レビュー、実施、および承認の役割などの情報を得るための保持ポイントが特定されます。所定の計画範囲で実施する監査のサブセットを追跡することも、監査領域の全監査を追跡することもできます。

監査レビュー・コメント監査レビュー・コメント・オブジェクト・タイプは、監査とそのコンポーネントのレビュー・プロセスでフィードバックを提供するために使用します。このオブジェクト・タイプは、フィードバックの提供対象である監査、セクション、調書、または結果のインスタンスの子として関連付けられます。

監査セクション監査セクションは、監査のフェーズ、監査内の作業プログラム、あるいは監査の他のコンポーネントを、必要な詳細レベルで表すために使用します。

組織によっては、監査ごとに複数の標準コンポーネントが存在する場合があります。各標準コンポーネントのセクションが含まれているテンプレート監査をライブラリーに作成することができます。これらのセクションの計画開始日/終了日および実開始日/終了日を使用して、監査の主要マイルストーンの進捗が報告されます。

各マイルストーンの監査セクションを組み込むことで、詳細な監査の進捗を追跡できます。あるいは、組織での必要に応じて、追跡対象とする各主要マイルストーンの完了日を表す監査のフィールドを追加することもできます。

監査セクションを使用して監査リソースの計画とスケジューリングを行うこともできますが、ほとんどの組織はそこまでの詳細さを必要としていません。

監査可能拠点監査可能拠点オブジェクトは、拠点の子です。内部監査拠点階層が確立され、監査可能拠点はいずれも内部監査拠点オブジェクトの子として作成されます。これらの拠点には、拠点組織階層の各要素に対応した監査可能拠点も関連付けられます。

監査可能拠点は、監査領域 (ビジネスで監査対象となる要素の集合) の個々の要素を表します。監査可能拠点のほとんどは、事業上または法律上の拠点を表しますが、プロセス、長期のプロジェクトやイニシアチブ、コンプライアンス・プログラム、共有 IT サービスなどを表すこともあります。

監査可能拠点には、毎年リスク・ランクが設定されて、その年度の監査実施優先順位が決定されます。重み付けリスク・スコアが計算されますが、このスコアはオーバーライドできます。


監査人リソースの計画および割り振りには、監査作業を実施する各個人に関する主要な情報が必要となります。監査人オブジェクトは、監査に割り当てることのできる監査人のプールを作成するために使用します。

監査作業に割り当てられた各ユーザーは、監査人インスタンスとして表されます。これで監査人をリソースの割り振りに使用できるようになります。監査人オブジェクトには、監査エンゲージメントに関わる監査人を評価して選択するための属性 (専門分野、言語、認定資格など) が含まれています。監査人オブジェクトは、内部監査組織階層の関連コンポーネントに関連付けられます。監査人オブジェクトの名前をユーザー名と一致させておくことがベスト・プラクティスです。

基準基準オブジェクト・タイプは、ライブラリー要件のテンプレートを表します。このオブジェクト・タイプは自己完結型です。つまり基準ごとにフォルダーが作成されます。ライブラリー内の基準は、IT 運用環境の要素を表します。それらは、当該タイプの要素の要件にリンクされます。基準オブジェクトはライブラリーからビジネス階層にコピーされ、ライブラリー内の要件に対する関連付けが行われます。また、リスク、統制、テストの各オブジェクト・タイプが子オブジェクトとして作成されます。リスク、統制、テストの各オブジェクトには、要件からデータが取り込まれます。

例えば、基準オブジェクトは、個人情報 (PII) が保管され、機密データ分類が指定されたデータ・センターの要件オブジェクトの集合を表すことができます。それぞれの要件オブジェクトに対し、統制する対象 (リスク・オブジェクト) と統制方法 (統制オブジェクト) を定義するベスト・プラクティスを設定します。統制の有効性を検証するための慣行 (テスト・オブジェクト)を設定することもできます。

拠点拠点は、事業構造を抽象的に表したものです。拠点は、複数の下位拠点 (部署、事業部、地理的位置など) を含むことができます。作成する拠点構造は、事業上のニーズによって決まります。例えば、本社を表す親拠点と、個々の場所や部署を表す下位拠点を作成することができます。また、法律上の拠点構造と事業上の拠点構造の両方を表す必要が生じることもあります。

拠点は、リスク・ライブラリーや統制ライブラリーなどのライブラリー・データや法的な内容 (法律、規制、標準など) を編成する場合にも使用します。

拠点の階層を設定する場合は、IBM OpenPages GRC のコンサルタントと協力して設定してください。拠点の構造は、このアプリケーションで引き出すことのできる情報の種類と品質に影響します。

IBM OpenPages Internal Audit Management では、拠点によって内部監査組織構造もモデル化することで、内部監査チームのレポート作成とセキュリティーを支援します。内部監査組織構造は最上位の拠点です。こうすることで、ビジネス・ユーザーに誤って内部監査情報へのアクセスを許可する可能性を最小化します。内部監査チームが所有する監査領域の要素は、チーム拠点に関連付けられます。最上位の拠点構造をもう 1 つ作成して、機密監査を編成してそれらの監査に特別なセキュリティーを適用することができます。また、テンプレート監査コンテンツのライブラリーを編成する場合にも拠点を使用できます。


キャンペーンキャンペーン・オブジェクトは規程認知機能の一部であり、認知キャンペーンのプロジェクト管理の各局面を管理するために使用します。また、各規程を読んで認証する必要がある従業員を特定するための要件と基準を定義する場合にも使用します。通常、キャンペーンは公開された規程階層で作成されます。

資本モデル資本モデル・オブジェクトは、先進的計測手法 (AMA) を使用して算出された、オペレーショナル・リスクの資本モデリング結果を保管するために使用されます。

資本モデル結果資本モデル結果オブジェクトは、オペレーショナル・リスク資本の最終的な推定を表示します。

課題

課題オブジェクトを使用して、モデル・インベントリーの任意の部分に対する課題を保管し、その存在を証明できます。課題が提示され、応答が記録されます。課題オブジェクトは、モデル・オブジェクトおよび使用法オブジェクトの子です。

変更要求変更要求オブジェクトはモデル・オブジェクトおよび使用法オブジェクトの子であり、モデルでの変更とそれらのデプロイメントに関連するガバナンス・アクティビティーの作成およびトラッキングを可能にします。このオブジェクトは、変更要求ライフサイクルでの重要な承認ステップやガバナンス・ステップを記録することを可能にするだけでなく、変更タイプ、変更の説明、ステータスなどのデータも取り込みます。

委員会委員会オブジェクトは拠点の子であり、組織がガバナンスのグループ/委員会を表すことを可能にします。これらのオブジェクトはその後使用法に合わせて調整することができ、また従業員オブジェクトの親にすることもできます。委員会の委任事項、ミーティングの頻度、および議長の詳細などの情報を格納できます。

コンプライアンス計画コンプライアンス計画は、構造化された設定で規制要件に対処するための、または法的タスクのセットを構造化するための、全体的な計画の作成を可能にします。例えば、法的タスクを追跡するため、またはさまざまな規制要件に対するコンプライアンス評価を実施するために、コンプライアンス計画が作成される場合があります。1 つまたは複数のコンプライアンスのテーマをグループ化して、組織の全体コンプライアンス計画を作成します。

コンプライアンスのテーマコンプライアンスのテーマは、ユーザーが評価の目的で規制要件をテーマに編成できるようにします。これは、組織全体に影響を与えるテーマ全体の規制要件をグループ化することで、標準的な拠点手法を越えてコンプライアンス要件を評価できるようにします。サンプル・テーマには、データ・プライ


バシー、ガバナンス、責任などが含まれます。これによって、ユーザーは、拠点内だけでなく、組織の複数エリアに言及するテーマ全体に対して規則の影響を評価できます。

契約契約オブジェクトは、ベンダー・オブジェクトまたはエンゲージメント・オブジェクトの子オブジェクトです。契約とは、拠点とベンダー間、または拠点とエンゲージメント間におけるビジネス上のまたは法的な合意のことです。契約には、追加の補足情報、例えば、契約期間や金銭の情報が含まれます。契約は任意です。

統制活動統制は、リスク軽減の対応を確実に実施する規程とプロシージャーです。

慣行で発生するリスクを認識したら、承認、認可、検証などの統制活動を確立します。これらの統制により、当該リスクの除去、限定、あるいは移動を行います。

統制は、リスクの予防または検出を可能にします。統制には、統制が有効であることを確認するテストが関連付けられます。例えば、人事部門は新規採用プロセスでのリスクを特定します。このプロセスは、多様性および差別行為に関する規制やガイドラインに従っていません。このリスクを軽減するための統制 (雇用の規程と手順の確立、雇用管理者向け必須研修の実施など)を定義します。

IBM OpenPages Internal Audit Management では、統制を使用して、監査対象のアクティビティーに対する既存の統制またはこれから適用する統制の詳細なモデルを作成します。事業と共有された場合、統制は内部監査と事業で個別に評価することができます。

IBM Regulatory Compliance Analytics から統制をインポートし、IBMOpenPages Regulatory Compliance Management の統制として取り込むことができます。

統制評価統制評価オブジェクトは、リスク評価オブジェクトと似ていますが、統制の子として作成される点が異なります。このオブジェクトには統制評価データが格納されます。レポート対象期間と統制評価サイクルが一致していない場合は、統制評価オブジェクトを使用して 1 つのレポート対象期間内に複数の評価サイクルを取り込みます。

統制目標統制目標は、プロセスまたはサブプロセスのリスク・カテゴリーを定義する評価オブジェクトです。

統制目標では、統制によって軽減される対象となる COSO コンプライアンス・カテゴリーを定義します。統制目標は、コンプライアンス、財務レポート、戦略、運用、不明などのカテゴリーに分類できます。

統制目標を特定した後に、その統制目標に属するリスクを定義することができます。ほとんどの場合、各統制目標には 1 つのリスクが関連付けられます。ただし、複数のリスクが関連付けられる場合もあります。例えば、金融サービス業者は、業務で必要となる倫理基準を認識しているトレーダーを採用します。人事部門は、「要員」という統制目標を設定します。この統制目


標に関連付けられるリスクは、「倫理的で公正な取引に関する社内目標と相反する商取引に従業員が従事する」というものです。

デフォルトでは、OpenPages Internal Audit Management の統制目標が無効になっています。このオブジェクトを使用する可能性がある他のソリューションと連携させる場合を除いては、このオブジェクトはほとんど使用されません。

統制計画統制計画は自己完結型オブジェクト・タイプです。つまり、個々の統制計画に対してフォルダーが作成されます。統制計画では、複数の基準をグループにまとめて、リスクの評価対象となる運用環境内の要素を表します。統制計画は、連携して 1 つの機能を実行したり 1 つの IT サービスを構成したりする一連の基準オブジェクトのコンテナーとして機能します。例えば、企業E メールを実現するサーバー、オペレーティング・システム、アプリケーション、データベース、サポート要員、および設備を 1 つの統制計画オブジェクトで表すことができます。

コスト・センターコスト・センター・オブジェクトは、拠点での損失イベントをグループ化するために使用します。多くの場合、企業は損失イベントが発生した場所を精細に (例えばコスト・センター・レベルで) 追跡したいと考えますが、組織のすべての層を拠点として表すことは求めていません。

データ入力、データ出力データ入力オブジェクトとデータ出力オブジェクトは、プロセスの子オブジェクトであり、既存のリスクにのみ関連付けることができます。これらのオブジェクトは、ビジネス・フローへの入力またはプロセス内の各種アクティビティーからの出力 (例えば、レポートの実行、CRM システムの更新、外部データ・ソース・フィードの取得など) を示すフローの各要素を表します。

文書文書オブジェクトは、多くの場合にモデルの開発、デプロイメント、およびレビューに関連付けられている大容量リッチ・テキスト・コンテンツをユーザーが取り込むことを可能にします。モデルに対して別のオブジェクトを使用することで、これらの文書オブジェクトを複数のモデルまたはレビュー、あるいはその両方に簡単に関連付けることが出来ます。文書オブジェクトは、モデル・レポートのプロセスでレポート・セクション・オブジェクトに関連付けることもできます。文書タイプには、仮定、理論および方法論、開発コンテンツ、およびデータがあります (これに限定されるわけではありません)。文書オブジェクトは、モデル文書に対する「データ中心」アプローチに従います。

従業員従業員オブジェクトは、規程認知機能の一部です。このオブジェクトは、個々の従業員に関する情報 (名前、役職、E メール、地域、部署、状況など)を取得するために使用します。従業員プロファイルから得た情報が、キャンペーンに定義されている認証要件と照合されて、各規程を認証する必要がある従業員が判別されます。通常、従業員データは人事システムのエクスポートで取得され、オンライン FastMap によってロードされ、参照従業員拠点に配置されます。従業員名フィールドとユーザーのユーザー名を一致させておくことがベスト・プラクティスです。


エンゲージメントエンゲージメント・オブジェクトは、ベンダー・オブジェクトの子オブジェクトです。エンゲージメントとは、ベンダーが提供する単一のサービスのことです。エンゲージメントは、ベンダーとともに使用するさまざまなサービスと合意を区別するために使用します。エンゲージメントはオプションです。エンゲージメントは、アンケート評価、リスク・アセスメント、または階層化の影響を受ける可能性があります。さまざまなエンゲージメントに関連付けられたリスクを要約して、分析することが可能です。エンゲージメントでサポートされるプロセスまたはサブプロセスに親の関連付けを追加できます。

ファイルファイル・オブジェクト・タイプは、ファイル (文書、フローチャート、スプレッドシートなど) への参照を IBM OpenPages システムに組み込み、1つ以上の関連オブジェクトに関連付けるために使用します。

結果結果は、会社、監査委員会、またはその両方に報告することができる観察結果を表すために使用できます。あるいは、事実としての個々の観察結果を結果で表す一方で、統合テーマおよびシステム上の問題を課題で表して、それらを会社、監査委員会、またはその両方に報告することができます。

結果は、監査の過程で明らかとなり、かつ経営陣が責任を負い、経営陣による対応が必要となるすべての事項を表します。結果を使用して、特定された基本となる課題への経営陣の対応の進捗を追跡することができます。課題オブジェクトを、結果オブジェクトの代わりに使用したり、結果オブジェクトと組み合わせて使用したりすることができます。

FIRST 損失FIRST 損失オブジェクトを FIRST 外部損失データベースからインポートして、シナリオ分析、ベンチマーキング、レポート生成に使用したり、損失データを分析ツールや資本配分アプリケーションにエクスポートしたりすることができます。FIRST 損失オブジェクトは、多くの場合損失カテゴリー (製品ラインやイベント・タイプなど) 別に分類されます。例えば、拠点を使用して FIRST 損失データの階層を作成します。ルート・オブジェクトに「FIRST-data」という名前を付け、ルートの下にカテゴリー・フォルダーを作成します。これに外部損失をリンクします。

インシデントインシデントは、企業に悪影響をもたらす可能性がある出来事です。インシデントと他の関連データの調査担当者などの情報を記録するには、インシデント・オブジェクトを作成します。インシデント・オブジェクトは、インシデント分析を容易にするためにライフサイクルで使用します。インシデントに適用されるカテゴリーには、規制コンプライアンス、法的コンプライアンス、情報セキュリティー、IT などがあります。インシデントは、イベントが発生した拠点または IT リソースの下に格納され、影響を受ける規約や規程に 2 次的に関連付けられます。

課題、アクション・アイテム内部統制が適切に実施されていない領域では課題が発生しますが、課題オブジェクトを使用してあらゆるオブジェクト・タイプに関連付けられた問題を文書化することができます。例えば、統制にテストが関連付けられていて、


最後のテストに不合格だった場合などです。この潜在的な問題を課題オブジェクトで捕捉することで、その問題を明らかにすることができます。

課題はアクション・アイテムを通じて解決されます。1 つのアクション・アイテムまたは関連する一連のアクション・アイテムを使用して、アクション計画を作成することができます。各アクション・アイテムは、解決を担当するユーザーに割り当てられ、進捗を追跡します。課題に対するすべてのアクション・アイテムが完了して担当者が値を 100% に設定したら、課題をクローズします。

OpenPages Internal Audit Management では、課題とアクション・アイテムを結果の代わりに使用するか、または結果と併用できます。

KPI、KPI 値KPI (重要業績評価指標) は、リスク・モニタリング・プロセスのコンポーネントであり、潜在的なリスク状況の先行指標または遅行指標として使用されます。組織内の KPI の各インスタンスには、固有の目標としきい値制限を設定することができます。KPI 値オブジェクト・タイプには、特定ポイントでの KPI オブジェクトの値が記録されます。KPI オブジェクトを作成し、定期的 (日次、週次、月次) に KPI 値オブジェクトを作成することで、傾向を検出できます。

KRI、KRI 値KRI (重要リスク評価指標) は、リスク・モニタリング・プロセスのコンポーネントであり、潜在的なリスク状況の先行指標または遅行指標として使用されます。組織内の KRI の各インスタンスには、固有の目標としきい値制限を設定することができます。KRI 値は、特定の時点におけるインディケーターの実際の値を記録するために使用されます。

リンクリンク・オブジェクト・タイプは、URL への参照を OpenPages システムに組み込み、1 つ以上の関連オブジェクトに関連付けるために使用します。

損失イベント損失イベントは、組織のあらゆる部分で発生する運用上の損失を追跡するために使用します。通常、損失イベントは、損失が発生した拠点の下に格納されます。損失イベント・オブジェクトを使用して、関連する内部損失データが追跡され、評価され、管理されます。損失の影響度オブジェクトおよび損失の回収オブジェクトを使用して、各損失イベントについて複数の影響度と回収を追加することができます。損失イベント、損失の影響度、および損失の回収の各オブジェクトは IBM OpenPages Loss Event Entry でも作成できます。

損失の影響度損失の影響度は、損失イベントに起因する財務面および非財務面の影響です。損失の影響度では、損失イベントが引き起こした各種の影響 (法定賠償責任、資産の損失と損害、事業の中断など) が追跡されます。各損失イベントには、複数の損失の影響度を関連付けることができます。

損失の回収損失の回収オブジェクトは、損失イベントに起因する損失の回収に関連付けられるプロセスを追跡するために使用します。

規約規約は、組織が準拠する必要がある外部の条項 (法律、規定、標準など) を


表します。デフォルトの構成では、デロイトと UCF が規定した内容が直接サポートされますが、他のベンダーが規定した内容をサポートするように構成を調整できます。規約はライブラリー拠点構造内にあり、システム内で複製されることはありません。例えば、保険会社では HIPAA 用と GLBA 用に別々の規約オブジェクトを使用します。同じ規約を組織内の複数のグループに関連付けることができます。例えば、プライバシー規約を、給与計算、保険サービス、法務、IT の各部署に適用する場合などです。規約では、規制コンプライアンスの内容もサポートします。IBM Regulatory ComplianceAnalytics から文書をインポートし、IBM OpenPages RegulatoryCompliance Management の規約として取り込むことができます。

メトリック、メトリック値メトリック・オブジェクトは、組織が追跡することを選択したパフォーマンス測定の定義を記録します。ユーザーは、メトリック・タイプ、黄色のしきい値、赤色のしきい値、およびその他の収集情報を設定します。メトリックは、拠点、使用法、およびモデルの各オブジェクトの子です。

メトリック値オブジェクトは、メトリックのパフォーマンス測定の結果を記録します。これは、組織が測定の結果を時系列に保管できるように動作するよう設計が行われています。

マイルストーン、マイルストーン・アクション・アイテムマイルストーンは、プロジェクトの進行における重要なポイントを表します。マイルストーンは、特定の日付に結び付けたり、プロジェクト全体の一部分の完了を示すために使用したりすることができます。マイルストーンには、他のマイルストーンやマイルストーン・アクション・アイテムを含めることができます。マイルストーンをオブジェクト階層の他のオブジェクトに関連付けることはできません。

マイルストーン・アクション・アイテムは、マイルストーンに到達するために完了させる必要がある具体的な目標です。通常、マイルストーンに到達するために、マイルストーンに関連付けられたマイルストーン・アクション・アイテムを完了させる必要があります。マイルストーン・アクション・アイテム・オブジェクトが割り当てられると、「自分の作業」タブの「自分のマイルストーン・アクション・アイテム (My Milestone Action Items)」セクションにそれが表示されます (構成されている場合)。

モデルモデル・オブジェクトは、組織内のモデルを表現します。理論的なレベルで、入力データを定量的な推定に処理するために、統計的、経済的、財政的、または数学的な理論、技術、および仮定を適用する、定量的な方法、システム、またはアプローチとしてのモデルです。モデルの説明、モデルの所有権、モデル・ステータス、開発ライフサイクルの日付、モデル・タイプとモデル・カテゴリー、およびモデルのリスクの評価と対応のデータを含む主要なモデル情報を、OpenPages のモデル・オブジェクト内で表現できます。

モデル入力組織が、モデル文書に対するより詳細な手法の採用を希望する場合、モデル入力オブジェクトは入力を記録する機能を提供します。入力責任者、タイプ、ステータス、説明などのフィールドが含まれます。モデル入力オブジェ


クトは、モデル出力オブジェクトの子にすることもできます。これにより、モデルのリンク手法の詳細度が十分でない場合に、詳細レベルでモデル・チェーンを作成できます。

モデルのリンク組織が、モデル文書に対する詳細度の低い手法の採用を希望する場合、あるモデルから別のモデルへのフィードの明示的な詳細は提供しない広範なタイプの関連付けであるモデルのリンクを使用します。これは、複数のモデルの子として動作して、モデル・チェーンを生成できるようにします。

モデル出力組織でモデル文書に対するより詳細な手法の採用が必要な場合、モデル出力オブジェクトはモデルの出力を記録する機能を提供します。この使用目的は、ガバナンスの観点から出力の説明と概要を記録することであり、モデル結果を記録することではありません。

モデル・レポートこのオブジェクトは、マスター・モデル・レポートまたはモデル文書レポートの照合用のヘッダー・レコードです。フィールドには、説明、作成者、ステータス、および概要が含まれます。

モデル結果モデル結果オブジェクトは、結果として生成されたオペレーショナル・リスク資本の推定額、または選択された最も適合する頻度分布と重大度分布のシミュレーションから生成された損失総額の分布です。それぞれのモデル結果は、資本モデル・オブジェクトに関連付けられます。単一モデルの場合 (シナリオ・モデル、内部損失モデル、FIRST 損失モデル)、リスクの個々の値(VaR) の資本が、さまざまなパーセンタイルで表示されます (パーセンタイルの数と値は構成できます)。独立モデルと相間モデルの場合、個別のVaR、追加の ESF (予想される不足)、追加の VaR の資本が、さまざまなパーセンタイルで表示されます (パーセンタイルの数と値は構成できます)。

ORIC 損失ORIC 損失オブジェクトを ORIC 外部損失データベースからインポートして、シナリオ分析、ベンチマーキング、レポート生成に使用したり、損失データを分析ツールや資本配分アプリケーションにエクスポートしたりすることができます。

ORX 損失ORX 損失オブジェクトを ORX 外部損失データベースからインポートして、シナリオ分析、ベンチマーキング、レポート生成に使用したり、損失データを分析ツールや資本配分アプリケーションにエクスポートしたりすることができます。外部 ORX 損失データを OpenPages Operational RiskManagement にインポートして、シナリオ分析と資本のモデル化に使用することができます。

計画、タイムシート計画オブジェクト・タイプは、監査リソースを任意のレベルで簡単にスケジューリングし、配分できるようにします。例えば、監査全体に対して 1 つの計画オブジェクトを作成したり、監査に関与している各監査人に対してタスクごとに 1 つの計画オブジェクトを作成したりすることができます。計画オブジェクトは、望ましいリソースに求められる可用性、スキル、経験を決定するために使用します。OpenPages の監査アクティビティー・ビュー


やレポートなどは、監査レベルでの計画に沿ったものとなっています。代わりに監査セクションに計画を関連付けることもできますが、その場合はこれらのコンポーネントを変更する必要があります。

計画オブジェクトでは、時間の追跡も行われます。つまり、計画の時間全体が追跡されます。タイムシート・オブジェクト・タイプを使用して、監査の計画オブジェクトで実際に消費された時間と費用が週単位で記録されます。タイムシート・オブジェクトが計画に関連付けられているため、計画上の時間と費用と実際の時間と費用の間のずれを容易に追跡できます。時間と費用のデータを入力または変更する際には、必ずタイムシート・エントリー対話式レポートを使用する必要があります。このため、デフォルトのOpenPages Internal Audit Management の構成には、「タイムシート」トップ・メニュー項目がありません。

通常、計画オブジェクトを作成または変更するには、監査の詳細ページのリンクからアクセスする「計画の追加または変更」ヘルパーを使用します。

規程規程は、組織内の取締役会や上級統治機関によって採用される内部のガイドラインを表します。規程の本文は、オブジェクトの標準化されたフィールドに格納されるか、オブジェクトの添付ファイルとして格納されます。一般に規程には、原案から公開済み、期限切れへと至る明確なライフサイクルがあるほか、レビューと承認のプロセスがあります。通常、規程の原案は組織のビジネス階層内にあり、公開済みの規程と期限切れの規程は参照ライブラリー拠点内にあります。規程が関連するライブラリー内の規約に規程がマップされることもよくあります。

規程レビュー・コメント規程レビュー・コメントは、対象分野の専門家およびコンプライアンス担当者による規程とプロシージャーのレビューと承認のプロセスをサポートし、促進します。

設定、設定グループ設定オブジェクトは拠点または設定グループの子であり、レポート、ワークフロー、および計算対象フィールドに影響する可変値を含んでいます。ここに含まれるのは、同じワークフローで動作を変えられるようにする拠点固有の可変値です。例えば、レビューと承認のワークフローの動作を決定する可変値 (各レベルのレビューと承認に適したユーザーなど) を定義し、必要なレビューと承認のレベル数を決定するしきい値を定義します。

設定グループは、設定オブジェクトをグループ化するために使用します。このグループ化オブジェクトがないと、各設定オブジェクトを関連するそれぞれの拠点に個別に関連付けなければなりません。設定グループにより、関連する保守作業を最小限に抑えることができます。

IBM OpenPages Internal Audit Management のデフォルトの構成では、これらのオブジェクトを使用して、年次評価のリスク・ランキングで使用されるリスク要因の重みが設定されます。重みと要因は監査のタイプ (財務、運用、戦略など) によって異なる可能性があるため、監査タイプごとに個別の設定インスタンスを作成します。このオブジェクトは拠点の子であるため、拠点固有の可変値を設定することができます。

プロシージャープロシージャーは、組織での規程の実施について、「何を」、「どこで」、


「いつ」、「どのように」実施するかを定めたものです。プロシージャーのテキストは通常、オブジェクトのフィールドに格納されます。通常、プロシージャーは規程の子として表され、親規程と同じ拠点構造に配置されます。

プロセスプロセスは、拠点内でリスクにさらされる主要なエンドツーエンドのビジネス・アクティビティーを表します。プロセスは、財務レポート、コンプライアンス、情報セキュリティーなどの領域にあります。例えば、売掛金管理部門のプロセス (受注から入金など) を統制によって強化して、財務レポートの信頼性にかかわるリスク (詐欺的な行為や不正確な財務レポートなど) を防ぐことができます。

OpenPages Internal Audit Management では、監査の範囲を指定する際にもプロセスが使用されます。監査では、拠点で作成されたプロセスをコピーすることも、独自のプロセスを作成することもできます。

プロセス・ダイアグラムプロセス・ダイアグラムはプロセスの子オブジェクトです。1 つのプロセスに複数のダイアグラムを作成できます。プロセス・ダイアグラムは、判定ノードなどの注釈とともにリスクと統制が関連付けられているプロセスに含まれる一連のサブプロセスやアクティビティーを格納するために使用します。ビジネス・プロセスを可視化するすべての属性は、プロセス・ダイアグラム・オブジェクトに格納されます。

プロセス評価プロセス評価オブジェクトはプロセス・オブジェクトの子であり、傾向の把握を目的としたプロセス測定値を取り込むために使用します。

レポート対象期間と評価サイクルが一致していない場合は、プロセス評価オブジェクトを使用して 1 つのレポート対象期間内に複数の評価サイクルを取り込むことができます。

プログラムプログラム・オブジェクトは、アンケート・テンプレートと共に使用してアンケート評価を実装します。事業管理者がプログラムを起動すると、アンケート評価が作成されます。プログラムは、基礎となる資産、プログラムが作成したアンケート評価、およびベースとなっているアンケート・テンプレートに関連付けられます。プログラムにより、アンケート評価が従うライフサイクルが定義されます。

プロジェクトプロジェクトは、法的タスクを全体的なコンプライアンス・プロジェクトに編成するように設計されています。例えば、コンプライアンス・フレームワークで対処する必要のある法的変更がある場合があります。ユーザーはプロジェクトを作成し、タスクを識別して割り当てることができます。

アンケート、セクション、質問アンケートを実施するには、アンケート、セクション、質問の各オブジェクトを一緒に使用します。アンケートは、ライブラリー内でテンプレートとして作成され、応答者から情報を収集します。セクション・オブジェクトは親アンケート・オブジェクトの子で、関連する質問のセットを編成します。質問オブジェクトはセクション・オブジェクトの子で、応答者のデータを取得します。事業管理者は、アンケート設定アクティビティー・ビューを使用し


て、アンケート・テンプレートを構成します。アンケート・テンプレートは、親オブジェクト・タイプである拠点、プロセス、サブプロセス、または従業員オブジェクト・タイプにコピーされます。

アンケートはアンケート評価とは関連していません。アンケートについて説明する情報は、アンケート評価に適用されません。

アンケート評価アンケート評価オブジェクトは、組織のビジネス・ユーザーから情報を収集するための手段です。アンケート評価は、プログラムを起動したときに作成されます。アンケート評価は、基礎となる資産、そのアンケート評価を起動したプログラム、およびベースとなっているアンケート・テンプレートに関連付けられます。アンケート評価は、ライフサイクルと共に使用され、評価プロセスを促進します。

アンケート評価はアンケートとは関連していません。アンケート評価、アンケート・テンプレート、およびプログラムについて説明する情報は、アンケートに適用されません。

アンケート・テンプレート、セクション・テンプレート、サブセクション・テンプレート、および質問テンプレート

アンケート・テンプレート、セクション・テンプレート、サブセクション・テンプレート、および質問テンプレートの各オブジェクトは、プログラムと共に使用して、アンケート評価を実装します。アンケート・テンプレート・オブジェクトが親オブジェクトであり、セクション・テンプレート・オブジェクトを編成します。セクション・テンプレート・オブジェクトは、アンケート・テンプレート・オブジェクトの子であり、サブセクション・テンプレート・オブジェクトを編成します。サブセクション・テンプレート・オブジェクトは、親セクション・テンプレート・オブジェクトの子であり、質問テンプレート・オブジェクトを編成します。質問テンプレート・オブジェクトには、質問と回答の選択肢が含まれます。

登録登録オブジェクトはエンティティー・オブジェクトの子であり、使用法オブジェクトとモデル・オブジェクトの親です。登録オブジェクトの使用はオプションです。その主な目的は、開発中にモデルのライブラリーとして機能することです。また、このオブジェクトを使用して、使用法の読み取り専用コピーを、デプロイメント・サイクルの一部として承認された後に保管することもできます。

規則の適用性規則の適用性オブジェクトは、組織の事業階層内にあります。このオブジェクトでは、ライブラリー内の規約が拠点に与える規制の影響が評価され、追跡されます。

規制者規制者オブジェクトは、規制者とのやり取り管理機能の一部であり、組織がやり取りを行うすべての規制者を 1 つにまとめた名簿を作成できるようにします。通常、規制者は参照ライブラリー拠点に作成されます。このオブジェクトは拠点の子であり、規約および規制者とのやり取りに関連付けることができます。

規制者とのやり取り規制者とのやり取りオブジェクトは、規制者とのやり取り管理機能の一部で


あり、外部規制者に関連付けられているやり取り、通信、内部作業、レビューと承認 (質問、送信、ファイリング、尋問、監査など) を管理できるようにします。尋問や監査といった複雑なやり取りには、3 層のオブジェクト構造 (規制者とのやり取り、RI カテゴリー、および RI 要求) を使用して、やり取り全体、やり取りの各セクション、および個々の要求を管理し、追跡できます。ユーザーは、簡単な要求や質問には、規制者とのやり取りオブジェクトを単独で使用して、要求と応答の詳細を管理できます。

法的変更法的変更オブジェクトは、法的変更管理機能の一部です。法的変更 (既存の規則あるいは新たな規制要件に対する変更やガイダンス) の追跡、変更が組織に与える影響の評価、適切な社内の人員に対する変更の通達、変更に対応するための内部プロセスの実施を可能にします。通常、法的変更はライブラリー拠点に配置され、変更対象である規約に直接関連付けられます。法的変更には、さらに複数の法的タスクが関連付けられます (それぞれの規約の影響を受ける拠点ごとに 1 つずつ)。

規制イニシアチブ規制イニシアチブ・オブジェクトは拠点の子であり、組織に影響を与える規則に関する記述情報を取り込みます。規制イニシアチブは、規制のより広範なグループを表します。例えば、マネー・ロンダリング防止を規制イニシアチブにして、組織が準拠する必要がある、複数の異なるマネー・ロンダリング規制を含めることができます。これらの規制イニシアチブは、関連付けられた規制要件と併せて、IBM Regulatory Compliance Analytics のソリューションから供給され、評価の目的で OpenPages RCM に統合されます。

法的タスク法的タスク・オブジェクトは、法的変更管理機能の一部です。法的変更に関連付けられた変更管理プロセスを推進します。法的タスクは組織ビジネス階層で作成され、変更された規約の影響を受ける各拠点の個人に関連付けられます。このオブジェクトは、変更に伴ってアクション (規程、統制評価、トレーニングの改定など) が必要となるかどうか、およびアクションの進捗を追跡し、モニターするために使用します。

レポートのセクションこのオブジェクトは、モデル・レポートの照合で使用されます。これはモデル・レポートの子であり、文書の親です。レポートのコレーター/作成者は、レポートのセクションを生成してモデル文書を細分化します。その後レポートのセクションは、それぞれマスター・レポートをレンダリングするための文書の複数の部分に関連付けることができます。フィールドには、説明、概要、および表示順序が含まれます。

要件要件は、関連するすべての下位規約に準拠するために遂行する標準化されたタスクを表します。要件には主に 2 つの目的があります。1 つは、難解で冗長なことが多い規約や下位規約の言い回しをわかりやすく言い換えること、もう 1 つは複数の下位規約間の共通点を利用することです。例えば、強力なパスワードの使用を指示する下位規約が、多数の規約に多数存在している場合があります。この場合、1 つの要件で強力なパスワードの必要性を詳述することができます。この 1 つの要件に準拠することで、IT 部門は多数の規約と下位規約を満たすことができます。


デフォルトの構成では、デロイトと UCF が規定した内容が直接サポートされます。他のベンダーが規定した内容をサポートするように構成を調整できます。通常、要件はライブラリー拠点構造内にあり、システム内で複製されることはありません。

要件では、規制コンプライアンスの内容もサポートします。要件を使用して、法的文書から抽出した法的義務を表すことができます。IBMRegulatory Compliance Analytics から義務をインポートし、IBMOpenPages Regulatory Compliance Management の要件として取り込むことができます。

要件評価ユーザーは、規則から生成された要件に内部統制をマップすると、特定された要件に対してどのように操作しているかの評価を実施できるようになります。ユーザーは、コンプライアンスのテーマの範囲内で統制の運用状況の有効性および整備状況の有効性を評価できます。

要件評価値要件評価値は、要件評価の範囲内の任意の時点で、要件の実際の値を記録するために使用されます。

リソースCOBIT では、IT 資産に 4 つのタイプがあることを示唆していますが、その他のタイプの実務担当者は少なくありません。リソース・オブジェクトは、これらのタイプの IT 資産を表す従属フィールドを使用してサブタイプに分類されます。リソースは、一般に資産を所有または担当する IT 拠点に関連付けられたプールとして作成され、その後 IT 運用環境の関連する運用要素 (基準やプロセスなど) に関連付けられ、場合によっては事業の関連拠点にも関連付けられます。リソースは、個々の IT 資産 (特定の MicrosoftWindows 2003 Server など) を表すこともありますが、多くの場合、資産のグループ (特定のアプリケーションで使用される Windows 2003Application Server のプールなど) を表します。

リソース・リンクCOBIT では、IT 資産に複雑な関係があることを示唆しています。担当者、プロセス、インフラストラクチャー、情報の各タイプの資産が、互いに親となり子となる可能性があることを指摘しています。加えて、多くの場合、同じタイプのリソースは互いに関連付ける必要があります。リソース・リンクを使用すれば、リソースを多対多の関係でリンクすることができますが、ユーザー・インターフェース・ヘルパーでサポートされる通常の方法は、厳密に 2 つのリソースをリンクすることです。いずれかの親リソースの名前または属性を変更すると、リソース・リンクの名前と属性がその親リソースと同期されていない状態になります。

レビューレビュー・オブジェクトは、モデル・レビュー・アクティビティーのスケジューリングおよび結果を記録するために使用されます。これは、使用法オブジェクトおよびモデル・オブジェクトの子です。フィールドには、説明、範囲、予定日と実施日、実施者、レビューアー、および結果が含まれますが、含まれる対象はこれらに限定されません。このオブジェクトの目的は、レビ


ューが実施前であるか実施後であるかどうか、または第二の防衛線で実行されたか第三の防衛線で実行されたかどうかに関わらず、それらのレビューの結果を取り込むことです。

RI カテゴリーRI カテゴリー・オブジェクトは規制者とのやり取り管理機能の一部であり、3 層のオブジェクト・モデル (規制者とのやり取り、RI カテゴリー、および RI 要求) の中間層として使用されます。このオブジェクトは、尋問や監査などの複雑なやり取りの個々のセクションまたはカテゴリーを編成し、その進捗を追跡するために使用します。

RI 要求RI 要求オブジェクトは規制者とのやり取り管理機能の一部であり、3 層のオブジェクト・モデル (規制者とのやり取り、RI カテゴリー、および RI要求) の最後の層として使用されます。このオブジェクトは、尋問や監査などの複雑なやり取りの一部として、作業前タスクとオンサイト・タスクの個々の要求、レビュー、および承認を編成し、追跡するために使用します。

リスクリスクは潜在的な負債です。リスクはビジネス・プロセス、拠点、または規約へのコンプライアンスに関連付けることができます。各リスクには、そのリスクの防止策となる統制があります。統制によって、リスクがもたらす結果を軽減することができます。リスク・オブジェクトは、リスクの分類に使用されるほか、観測されたリスク・データと計算されたリスク・データの頻度、評価、重大度を取得したり、トップ・リスク項目を特定するためのレポートを表示したりするために使用します。例えば、キャッシュ勘定科目に給与計算というプロセスがあります。給与計算での潜在的なリスクには、二重の給与支払いや、架空の給与支払いの作成があります。プロセスでのリスクを識別することは、財務統制文書化プロジェクトを進めるための重要な要素です。

OpenPages Internal Audit Management では、内部監査人と事業の間で共有されるリスクが別々にランク付けされます。

リスクの評価と対応リスクの評価と対応では、一連の拠点またはプロセスの潜在的負債を評価し、レポートすることができます。リスクの評価と対応オブジェクトには、評価者とレビューアーの名前、評価の時間枠、および評価の状況が格納されます。リスクの評価と対応は、リスクの自己評価プロセスを管理するために使用します。リスク・オブジェクトをリスクの評価と対応に関連付けると、拠点とリスクの間にリンクが作成されます。例えば、オペレーショナル・リスク (外部からの窃盗や詐欺、内部の不正、物理的資産の損傷、事業の中断など) を評価するために、リスクの評価と対応を作成します。

リスク評価リスク評価 (Risk Assessment Evaluation) オブジェクトは、リスク評価(Risk Evaluation) オブジェクトに似ていますが、リスクの評価と対応の子としてインスタンス化される点が異なります。このオブジェクトにはリスク評価データが格納されます。

リスク評価リスク評価オブジェクトはリスク・オブジェクトの子であり、傾向の把握を目的としたリスク測定値を取り込むために使用します。レポート対象期間と


リスク評価サイクルは一致しないことが多いため、リスク評価オブジェクトを使用して 1 つのレポート対象期間内に複数の評価サイクルを取り込むことができます。

シナリオ分析シナリオ分析 (SA) は評価手法の 1 つで、潜在的なオペレーショナル・リスク・イベントを特定し、そのイベントが発生する可能性を測定するために使用されます。それは従来のオペレーショナル・リスク評価とは異なり、将来を見越した「what if」分析です。

シナリオ分析は、ビジネスおよびリスク管理の専門家から、妥当と思われる運用上の損失の可能性とその影響の評価を適正に導き出すように設計されています。また、自然災害、テロリズム、不正を行うトレーダーなど、発生頻度は低いが、発生時の損失の重大度が大きいイベントを特定し、評価する場合によく使用されます。この分析の質的な要素と併せて、この分析が企業のオペレーショナル・リスク資本を推定するための入力データとして直接使用されることもよくあります。OpenPages のシナリオ分析プロセスを利用することで、シナリオ分析を構築して、分析に役立つ質的なデータと定量的なデータを収集することができます。一般に、シナリオ分析は拠点に対して作成され、リスク・カテゴリーが割り当てられます。また、リスク評価、関連する損失イベント、ORIC 損失、ORX 損失、およびリスクなど、裏付けとなる ORM データを関連付けることもできます。各シナリオ分析内の「バケット」に、一連の頻度および重大度の予測を評価の裏付け情報とともに記録することができます。シナリオ分析が完了したら、シナリオ分析Completion Helper を実行して評価を完結し、シナリオ分析結果オブジェクトを作成することができます。

シナリオ結果シナリオ結果オブジェクトはシナリオ分析オブジェクトの子であり、比較および傾向の把握を目的としたシナリオ分析ワークショップの結果を取り込むために使用します。

署名署名は、一般にはオブジェクトの承認に同意したことを示します。これには、適用を強制する力はありません。また、承認後に項目を変更できないようにすることはできません。署名付きのオブジェクトには、「署名」タブで署名者名の横に署名アイコンが表示されます。

署名は (ロックが関連付けられているかどうかにかかわらず)、オブジェクトの詳細ページのオブジェクトに適用されます。

システムで署名ロックが構成されている場合は、オブジェクトでサインオフを行ったときに、オブジェクトとそのすべての関連子オブジェクトがロックされ、署名者が署名を取り消すか管理者がオブジェクトのロックを解除するまで変更できなくなります。

補助科目補助科目は、より大きな親勘定科目 (または別の補助科目) の一部であるより小さく、より的を絞った明細を表します。各補助科目オブジェクトは、親である勘定科目オブジェクトまたは補助科目オブジェクトに関連付けることができます。

下位規約下位規約は、組織が準拠する必要がある外部 (または内部) の下位項目を表


します。デフォルトの構成では、デロイトと UCF が規定した内容が直接サポートされます。この構成は、他のベンダーが規定した内容をサポートするように調整できます。通常、下位規約はライブラリー拠点構造内にあり、システム内で複製されることはありません。下位規約は繰り返し使用されますが、デロイトや UCF の内容で使用されている下位規約のレベルは 1 つだけです。下位規約では、規制コンプライアンスの内容もサポートします。下位規約を使用して、法的文書から抽出した段落を表すことができます。

サブプロセスサブプロセスはプロセスの構成要素です。プロセスを評価目的でより小さな単位に分割するために使用します。例えば、受注から入金までの財務プロセスは、買掛金、購買、一般会計などの複数のサブプロセスで構成されます。これらのサブプロセスは拠点をリスクにさらす可能性があり、統制を使用して改善することができます。

OpenPages Internal Audit Management では、このオブジェクトは監査の対象範囲を選定する際には使用しませんが、プロセスの詳細を文書化する際には使用可能です。

テスト計画テスト計画は、テストのコンテナーであり、親である統制オブジェクトと子オブジェクト (テストの結果や課題など) に関連付けることができます。詳細なテストを実施し、結果を文書化することで、統制の運用状況の有効性を確認します。テスト計画では、統制が有効かどうかを判別する仕組みを記述します。例えば、「人事による従業員状況の変更の認可」というサンプルの統制を考えてみます。この統制に対するテストには「新規従業員レコードでの人事認可スタンプの検証」などが考えられます。テストでは、新規統制が実施されて使用中であることが検証されます。

デフォルトの OpenPages Internal Audit Management 構成では、テスト計画およびテストの結果の代わりに、調書オブジェクトが使用されます。監査オブジェクトではこれらのオブジェクトにアクセスできる必要があります。ビジネス・テストを文書化するためにこれらのオブジェクトが使用されることが多いためです。

テストの結果テストの結果は、テスト計画を実行して得られる情報です。

デフォルトの OpenPages Internal Audit Management 構成では、テスト計画およびテストの結果の代わりに、調書オブジェクトが使用されます。監査オブジェクトではこれらのオブジェクトにアクセスできる必要があります。ビジネス・テストを文書化するためにこれらのオブジェクトが使用されることが多いためです。

使用法使用法オブジェクトは、拠点および委員会の子です。このオブジェクトは、1 つ以上のモデルの展開を記録する重要な要素で使用されます。使用法には、説明、ステータス、所有者、およびフィールドが含まれており、所定のモデルのリスク評価を行うことができます。使用法は、モデル、モデル・レポート、変更要求、およびメトリックの各オブジェクトの親です。

ベンダーベンダーとは、企業による商品やサービスの調達元のサード・パーティーの


会社を表します。ベンダーには、2 種類の子オブジェクトとして、エンゲージメントと契約があります。ベンダーは、アンケート評価、リスク評価、または層分けの対象にすることができます。各種ベンダーに関連するリスクを要約および分析することができます。ベンダーがサポートするプロセスやサブプロセスに親の関連付けを追加できます。

脆弱性脆弱性は、セキュリティー上の弱点を追跡して評価できるようにします。脆弱性の共通脆弱性評価システム (CVSS v2) を使用して、脆弱性にスコアを割り当てます。脆弱性の親オブジェクトは、コントロール・ペイン、インシデント、リソース、リスクのうちいずれかになります。通常は、IT セキュリティー・ソリューションから脆弱性をインポートします。

免除免除では、企業ポリシー、情報セキュリティー・ポリシー、IT ポリシー、または規制コンプライアンス要件での例外のライフサイクルを文書化し、処理し、管理することができます。免除は、拠点、規程、プロシージャー、要件、リスク、統制、基準、およびリソースに関連付けることができます。

調書調書は、監査の目的で追跡する作成物や成果物です。契約書、テスト・マトリックス、面談メモ、あるいは問題の監査に応じたその他の成果物を表すことができます。調書自体は、属性として調書オブジェクトに格納するか、または Microsoft Word、Microsoft Excel、あるいはその他の種類のファイルとして調書オブジェクトに添付することもできます。調書をテストの証拠に使用する場合は、テスト計画とテスト結果の両方が調書で文書化されます。

調書オブジェクトは、監査セクションの詳細ページで作成します。調書オブジェクトはライブラリーからコピーすることもできます。ライブラリーでは、内部の監査部署が作成した各種調書のテンプレートが調査オブジェクトで表されています。

サブコンポーネントIBM OpenPages GRC Platform ソリューションには、複数のサブコンポーネントが含まれています。

サブコンポーネントはオブジェクト・タイプのグループであり、ソリューション内の論理機能をサポートします。

以下の表には、デフォルトで含まれているサブコンポーネントがリストされています。

表では以下の頭字語が使用されています。

v VRM = IBM OpenPages Vendor Risk Management

v RCM = IBM OpenPages Regulatory Compliance Management

v MRG = IBM OpenPages Model Risk Governance

v FCM = IBM OpenPages Financial Controls Management

v ORM = IBM OpenPages Operational Risk Management

v PCM = IBM OpenPages Policy and Compliance Management

v ITG = IBM OpenPages IT Governance

v IAM = IBM OpenPages Internal Audit Management


表 4. OpenPages GRC Platform のサブコンポーネント

サブコンポーネントオブジェクト・タイプのラベル VRM RCM MRG FCM ORM PCM ITG IAM

組織拠点 X X X X X X X X

設定設定グループ、設定 X X X X X X X X

リスクの評価と対応リスクの評価と対応、リスク評価

X X X X X X X X

プロセスプロセス、プロセス評価、サブプロセス、統制目標

X X X X X X X X

リスクリスク、リスク評価 X X X X X X X X

統制活動統制、統制評価 X X X X X X X X

テストテスト計画、テストの結果 X X X X X X X X

内部統制上の課題課題、アクション・アイテム

X X X X X X X X

アンケートアンケート、セクション、質問

X X X X X X X

アンケート評価アンケート評価、アンケート・テンプレート、セクション・テンプレート、サブセクション・テンプレート、質問テンプレート

X X X X X X X X

マイルストーンマイルストーン、マイルストーン・アクション・アイテム

X X X X X X X X

可視化プロセス・ダイアグラム、データ入力、データ出力

X X X X X X X X

評価プログラムプログラム X X X X X X X X

従業員従業員 X X X X X X X X

勘定科目勘定科目、補助科目、アサーション

X

シナリオ分析シナリオ分析、シナリオ結果

X

外部損失 ORX 損失、ORIC 損失、FIRST 損失

X

損失イベント損失イベント、損失の影響度、損失の回収、コスト・センター

X

資本モデリング資本モデル、資本モデル結果

X

KRI KRI、KRI 値 X X X X

KPI KPI、KPI 値 X X X

規制ライブラリー規約、下位規約、要件 X X X X

インシデントインシデント X X X

免除免除 X X X


表 4. OpenPages GRC Platform のサブコンポーネント (続き)

サブコンポーネントオブジェクト・タイプのラベル VRM RCM MRG FCM ORM PCM ITG IAM

規程規程、プロシージャー、規程レビュー・コメント

X X X

規程の認証規程、プロシージャー、認証

X

キャンペーンキャンペーン、従業員、認証

X

規制者とのやり取り規制者とのやり取り、規制者、RI カテゴリー、RI 要求

X

法的変更法的変更、規則の適用性、法的タスク

X X

ITG 規程規程、プロシージャー X

統制計画統制計画、基準 X

リソースリソース、リソース・リンク

X

年間計画監査可能拠点、監査 X

エンゲージメント計画計画、タイムシート、監査人

X

結果結果 X

現場作業監査セクション、調書、監査レビュー・コメント

X

コンプライアンス・プロジェクト

プロジェクト、コンプライアンス計画、コンプライアンスのテーマ

X

要件評価要件評価、要件評価値 X

規制者規制者、規制イニシアチブ X

モデル・モニタリングメトリック、メトリック値 X

委員会構造委員会、従業員 X

モデルおよびレビュー・レポート

モデル・レポート、レポートのセクション、文書

X

モデル・インベントリーおよびライフサイクル

登録、使用法、モデル、変更要求、モデル入力、モデル出力、モデルのリンク

X

レビューおよび課題レビュー、課題 X

ベンダーベンダー、エンゲージメント、契約

X

この表にリストされているサブコンポーネントの他に、以下のオブジェクト・タイプが各ソリューションに含まれています。これらのオブジェクト・タイプには、許可されたユーザーがアクセスできます。

v 署名

v ファイル


v リンク


第 3 章計算済みフィールド

IBM OpenPages GRC Platform ソリューションには、複数の計算済みフィールドがあります。計算済みフィールドは読み取り専用フィールドで、その値は他のフィールドの値から生成されます。計算済みフィールドに含めることができるデータ型には、ブール、日付、小数、整数、およびシンプルな文字列などがあります。

以下の表に、デフォルトで各ソリューションに含まれている計算済みフィールドをリストします。







表 5. OpenPages GRC Platform ソリューションの計算済みフィールド

オブジェクト・タイプのラベル

フィールド・グループ

フィールド名説明 RCM ORM PCM ITG IAM

リスクの評価と対応

OPSS-RA

RCSA Completion Helper

RCSA Completion Helper を起動するリンクを作成します。このヘルパーを使用すると、RCSA コーディネーターがリスク評価を完了し、履歴参照用の評価ツリーを作成できます。

X


OPSS-RA

RCSA Process AlignmentHelper

RCSA Process Alignment Helper を起動するリンクを作成します。このヘルパーを使用すると、RCSA コーディネーターは関連付けられたプロセス、リスク、および統制をレビューし、さらなる関連付けを作成できます。また、このヘルパーは、プロセス、リスク、および統制を「評価待ち」の状況に設定します。

X

シナリオ分析

Scenario CompletionHelper

Scenario Completion Helper を起動するリンクを作成します。このヘルパーは、ワークショップの完了後、シナリオ結果を作成するために使用されます。

シナリオ分析が完了したら、シナリオ責任者またはリスク・チームは、ヘルパーを手動で開始できます。

X

33

表 5. OpenPages GRC Platform ソリューションの計算済みフィールド (続き)




認証

OPSS-Attest

規程の認証

規程認知度ビュー・ヘルパーを起動するリンクを作成します。

X

規程

OPSS-Pol

規程の変更

規程エディター・ヘルパーを起動するリンクを作成します。

X

規程

OPSS-Pol

規程の表示

規程ビューアー・ヘルパーを起動するリンクを作成します。

X

規程

OPSS-Pol

「新しい改訂サイクルに入れるために規程を開く」または「追加で変更を行うために規程をもう一度開く」

規程エディター・ヘルパーを起動するリンクを作成します。

X

規程レビュー・コメント

OPSS-PolRevComm

規程のレビュー

規程レビュー・ビュー・ヘルパーを起動するリンクを作成します。

X

統制計画

OPSS-RiskEnt

基準

基準取得ヘルパーを起動するリンクを作成します。

X

リソース

OPSS-Res

リソース・リンク

リソース・リンクの追加ヘルパーを起動するリンクを作成します。

X

監査可能拠点

OPSS-AudEnt

重み付けリスク・スコア

関連する各リスク要因値と、それに関連付けられたリスク要因の重みの積和を計算します。リスク要因値は、監査可能拠点に入力されます。リスク要因の重みは、監査可能拠点で指定された監査タイプを突き合わせたときに「もっとも近い」監査リスク要因設定オブジェクトから取得されます。

X


表 5. OpenPages GRC Platform ソリューションの計算済みフィールド (続き)




監査

OPSS-Aud

監査の完了

監査の完了ヘルパーを起動するリンクを作成します。

X

監査

OPSS-Aud

計画

監査起動ヘルパーを起動するリンクを作成します。

X

監査

実際の交通費

この監査についての全計画の全タイムシートの交通費エントリーの合計を計算します。

X

監査

実際の時間

この監査についての全計画の全タイムシートの時間エントリーの合計を計算します。

X

計画

OPSS-Plan

実際の時間

この監査についての全計画の全タイムシートの交通費エントリーの合計を計算します。

X

計画

OPSS-Plan

実際の交通費

この計画の全タイムシートの時間エントリーの合計を計算します。

X

プロセス・ダイアグラム

OPSS-ProcDiag

ProDiaLnk

プロセス・ダイアグラムを起動するリンクを作成します。

X

要件評価

RCM-Req-Eval

評価ガイダンスの更新

要件評価を起動するリンクを作成します。 X

注: OpenPages Policy and Compliance Management は、URL フィールドからヘルパー・アプリケーションを起動します。計算済みフィールドは、URL フィールドとして実装されます。

第 3 章計算済みフィールド 35


第 4 章ヘルパー

IBM OpenPages GRC Platform ソリューションには、複数のヘルパーが含まれています。

以下の表に、デフォルトで各ソリューションに含まれているヘルパーをリストします。









表 6. IBM OpenPages GRC Platform ソリューションのヘルパー

ヘルパー VRM RCM MRG FCM ORM PCM ITG IAM

38 ページの『Scenario CompletionHelper』

X

39 ページの『KRI 値作成ユーティリティー』

X X X

39 ページの『KPI 値作成ユーティリティー』

X X X

40 ページの『RCSA CompletionHelper』

X

41 ページの『RCSA ProcessAlignment Helper』

X

41 ページの『RCSA 起動ユーティリティー・ヘルパー』

X

42 ページの『RCSA サイト同期ヘルパー』

X

規程の表示注: このヘルパーと規程のレビューは、同じヘルパーです。それぞれに異なる機能があり、ライフサイクル内の規程がある場所に依存します。

X

規程のレビュー注: このヘルパーと規程の表示は、同じヘルパーです。それぞれに異なる機能があり、ライフサイクル内の規程がある場所に依存します。

X

37

表 6. IBM OpenPages GRC Platform ソリューションのヘルパー (続き)

ヘルパー VRM RCM MRG FCM ORM PCM ITG IAM

43 ページの『規程比較ビュー・ヘルパー』

X

43 ページの『規程ロック解除ヘルパー』

X

バッチ通知の公開 X

規程認知度ビュー X

認証作成レポート X

45 ページの『基準取得ヘルパー』 X

45 ページの『リソース・リンク作成ヘルパー』

X

45 ページの『監査の完了ヘルパー』 X

46 ページの『計画の追加または変更ヘルパー』

X

47 ページの『タイムシート・エントリー・ヘルパー』注: このヘルパーは、バージョン 8.0.0.2以降で使用できます。

X

48 ページの『タイムシート承認ヘルパー』注: このヘルパーは、バージョン 8.0.0.2以降で使用できます。

X

48 ページの『タイムシート・エントリー・レポート・ヘルパー』注: このレガシー・ヘルパーはまだ使用できます。ただし、このヘルパーと、管理人タイムシート・エントリー・レポート・ヘルパーは 1 つに結合されて、タイムシート・エントリー・ヘルパーと呼ばれるようになりました。

X

49 ページの『管理人タイムシート・エントリー・レポート・ヘルパー』注: このレガシー・ヘルパーはまだ使用できます。ただし、このヘルパーと、タイムシート・エントリー・レポート・ヘルパーは 1 つに結合されて、タイムシート・エントリー・ヘルパーと呼ばれるようになりました。

X

起動プログラム・ヘルパー X X X X X X X X

Scenario Completion Helperシナリオ・ワークショップの完了時に、オペレーショナル・リスク・チームまたはシナリオ責任者はシナリオ・オブジェクトのシナリオ結果を更新します。シナリオを完結させるために、責任者が Scenario Completion Helper を実行します。


シナリオ分析プロセスのまとめ役として、オペレーショナル・リスク・チームはIBM OpenPages GRC Platform の大部分のアクティビティーを実行します。このヘルパーは以下のステップを実行します。

1. データを検証します。

2. シナリオ結果オブジェクトを作成します。

3. シナリオ分析から「シナリオ結果」フィールドに値を取り込みます。

4. 「シナリオ結果の詳細」レポートを実行し、それを「シナリオ結果」に添付します。

KRI 値作成ユーティリティー重要リスク評価指標 (KRI) が定義されると、KRI 値作成ユーティリティーによって、その KRI オブジェクトの子として KRI 値オブジェクトを生成する必要があるかどうかが判別されます。

KRI 値作成ユーティリティーは、翌週にデータが取り込まれる必要がある空の KRI値オブジェクトを生成します。このユーティリティーは、夜間に実行するようにスケジュールされた週次タスクとして開始されます。ただし、管理者は、スケジュールされたタスクが自動的に開始しない場合は、手動で開始できます。

このユーティリティーは KRI を検査し、今後 7 日以内に収集の期限が切れる KRIを識別します。その KRI は、KRI の「頻度」と「頻度オフセット (FrequencyOffset)」データの値に基づいて識別されます。KRI が「アクティブ」としてマーク付けされている場合、KRI 値作成ユーティリティーは子 KRI 値を生成し、その値に以下のデータを取り込みます。

v ID

v 説明 (親 KRI に基づく)。

v KRI 担当者 (親 KRI に基づく)。

この担当者は、OpenPages GRC Platform で KRI 値を記録するユーザーです。

v 予想取得日。

この日付は読み取り専用フィールドであり、「頻度」と「頻度オフセット(Frequency Offset)」の値に基づきます。

v KRI 値の状況 (「収集待ち」に設定)。

KRI が「非アクティブ」としてマーク付けされている場合、ユーティリティーは空の値を生成しません。値オブジェクトは、最初は「収集待ち」状況のプレースホルダーとしてセットアップされます。

KPI 値作成ユーティリティーKPI が定義されると、OpenPages GRC Platform ヘルパー機能によって、そのKPI の子として KPI 値オブジェクトを生成する必要があるかどうかが判別されます。

KPI 値作成ユーティリティーは、翌週にデータが取り込まれる必要がある空の KPI値オブジェクトを生成します。このユーティリティーは、夜間に実行するようにス

第 4 章ヘルパー 39

ケジュールされた週次タスクとして開始されます。ただし、管理者は、スケジュールされたタスクが自動的に開始しない場合は、手動で開始できます。

このユーティリティーは KPI を検査し、今後 7 日以内に収集の期限が切れる KPIを識別します。その KPI は、KPI の「頻度」と「頻度オフセット (FrequencyOffset)」データの値に基づいて識別されます。KPI が「アクティブ」としてマーク付けされている場合、KPI 値作成ユーティリティーは子 KPI 値を生成し、その値に以下のデータを取り込みます。

v ID。

v 説明 (親 KPI に基づく)。

v KPI 担当者 (親 KPI に基づく)。

この担当者は、OpenPages GRC Platform で KPI 値を記録するユーザーです。

v 予想取得日。

この日付は、「頻度」と「頻度オフセット (Frequency Offset)」の値に基づく読み取り専用フィールドです。

v KPI 値の状況 (「収集待ち」に設定)。

KPI が「非アクティブ」としてマーク付けされている場合、ユーティリティーは空の値を生成しません。値オブジェクトは、最初は「収集待ち」状況のプレースホルダーとしてセットアップされます。

RCSA Completion HelperRCSA Completion Helper を使用すると、RCSA コーディネーターはリスク評価を完了し、履歴参照用の評価ツリーを作成できます。

RCSA コーディネーターは、続行するかどうかを確認するメッセージを受け取ります。コーディネーターがメッセージを確認すると、ヘルパーは以下のアクションを実行します。

1. 「リスクの評価と対応」状況フィールドを「承認」に設定します。

2. 子の評価レコードの以下のリンクされた構造を作成します。

v リスク評価 (Risk Assessment Evaluation)

v プロセス評価

v リスク評価

v 統制評価

3. キー・データを新しい評価レコードにコピーし、2 次関連付けを作成します。

どのフィールドをコピーするかを指定する必要があります (「設定」メニュー)。


RCSA Process Alignment HelperRCSA Process Alignment Helper を使用すると、RCSA コーディネーターは関連するプロセス、リスク、および統制をレビューし、さらなる関連付けを作成できます。また、このヘルパーは、プロセス、リスク、および統制を「評価待ち」の状況に設定します。

RCSA コーディネーターが RCSA サイクルを開始したい場合、コーディネーターはリスク評価の詳細ページ上の URL リンクからヘルパーを始動できます。

このタスク駆動型のヘルパーは、始動時に以下のアクションを実行します。

1. プロセス、リスク、および統制を追加または削除します。

2. プロセス、リスク、および統制の所有権をレビューします。

3. RCSA コーディネーターが評価を開始する必要があるかどうかを確認します。

v コーディネーターの応答が「はい」の場合、ヘルパーは以下のプロセスを続行します。

– すべてのリスクと統制を「評価待ち」に設定します。

– リスク・オブジェクトの「承認のために送信」フィールドを「いいえ」に設定します。

– リスク・オブジェクトの「承認/却下」フィールドを空の値に設定します。

– リスク・オブジェクトの「却下のコメント」フィールドを空の値に設定します。

v コーディネーターが RCSA サイクルを開始しない場合、評価を保存して閉じます。

RCSA 起動ユーティリティー・ヘルパーRCSA 起動ユーティリティー・ヘルパーは、評価対象の拠点のリスク評価オブジェクトを生成します。

起動ユーティリティー・ヘルパーは、管理者が RCSA プロセスを開始するのを以下のようにして支援します。

1. 拠点の下にリスク評価を作成し、その拠点の下のすべてのプロセスをそのリスク評価に関連付けます。

2. リスク評価の詳細を要求します。

管理者は、生成されたすべてのリスク評価のフィールド (「開始日」、「終了日」、「指示/説明 (Instructions / Guidance)」など) に値を指定します。

3. すべての「評価対象」拠点を識別します。

4. すべての「評価対象」拠点のリスク評価オブジェクトを生成します。

5. ステップ 1 で指定された値をリスク評価オブジェクトに取り込みます。

6. リスク評価の状況を「開始されていません」に設定します。「RCSA 管理者」フィールドに該当のユーザー名が取り込まれます。

7. RCSA サイクルが開始可能であることを知らせる E メールを RCSA コーディネーターに送信します。


管理者は、「設定」ページを使用して E メールの内容を指定できます。リスク・コーディネーターの E メールでは、指定された RCSA コーディネーターが含まれる最も近い設定レコードの情報が使用されます。

RCSA サイト同期ヘルパーRCSA サイト同期ヘルパーは、オブジェクト・データのビジネス・インスタンスをライブラリー・データ構造の値と同期させます。

このヘルパーは、始動時に、マスター/ライブラリー・オブジェクトに対するすべての変更を識別します。ヘルパーは共通キーとして「ライブラリー参照」フィールドを使用し、オブジェクトのすべてのローカル・インスタンスをマスターと同期させます。

規程ビューアー一連の規程ビューアーを使用すると、規程とプロシージャーの作成、編集、レビュー、および承認のプロセスが容易になります。このビューアーを使用すると、ユーザーは「規程」テンプレートの標準化を維持しつつ、規程と関連プロシージャーの複数のセクションを、編集、レビュー、および承認用に単一の説明形式のビューに集約できます。

このヘルパーには、以下のビューがあります。

v 規程の変更 - 「規程」オブジェクトから開かれます。「規程の変更」は編集可能なビューであり、規程の作成者と責任者はこのビューを使用して「規程」オブジェクトとその関連「プロシージャー」を作成したり編集したりすることができます。「規程の変更」ビューアーは、規程管理に対する「データ中心」のアプローチの一部としてのみ使用されます。

v 規程の表示 - 「規程」オブジェクトから開かれます。「規程の表示」は読み取り専用のビューであり、ユーザーはフォーマット設定された説明形式のビューで規程とそのプロシージャーを表示すること (「データ中心」アプローチおよび「混合型」アプローチ) も、「規程の添付」リンクからそれらを表示すること (「文書中心」アプローチ) も可能です。

v 規程のレビュー - 「規程レビュー・コメント」オブジェクトから開かれます。「規程のレビュー」は役割ベースのビューであり、レビューと承認プロセスを容易にします。「規程」オブジェクトと「プロシージャー」オブジェクト、または「規程の添付」リンクが表示されることに加え、このビューには「規程レビュー・コメント」オブジェクトが含まれており、レビューアーと承認担当者はこのオブジェクトを使用して、直接「規程」オブジェクトを編集するか「コメント」フォームを使用してフィードバックを送信できます。 IBM OpenPages GRCPlatform (「設定」ページ) で設定されたパラメーターに応じて、レビューアーには、規程とそのプロシージャーの編集可能ビューまたは読み取り専用ビューのいずれかが表示されます。承認者には、規程の読み取り専用ビューが表示されます。

お客様の方法論に沿って動作するように、設定およびアプリケーション・テキスト設定を使用してこのコンポーネントを構成します。


規程比較ビュー・ヘルパー規程比較ビュー・ヘルパーを使用すると、1 つのバージョンの規程と別のバージョンの規程の間の差異を赤線で確認することができます。例えば、規程の現在の原案と公開済みの規程、または期限切れの過去のバージョンの間の差異を視覚的に確認できます。

「規程比較ビュー」は、「データ中心」アプローチおよび「混合型」アプローチで使用されます。

お客様の方法論に沿って適切に動作するように、設定およびアプリケーション・テキスト設定を使用してこのコンポーネントを構成します。

規程ロック解除ヘルパー規程ロック解除ヘルパーは、規程がレビューと承認フェーズに入った後で規程オブジェクトから開かれます。規程ロック解除ヘルパーは、規程オブジェクトとそのコンポーネント (「プロシージャー」、「添付ファイル」、「規程レビュー・コメント」) を改訂のためにロック解除します。

規程ロック解除ヘルパーは、 3 つの規程アプローチ (データ中心、文書中心、混合型) をサポートします。

規程ロック解除ヘルパーは、次の 2 つのユース・ケースをサポートします。

1. 以下のように、レビュー・サイクル内で変更のために「規程」オブジェクトを再オープンする。

v 「承認ステータス」を「改訂中」に設定します。

v 改訂プロセスで必要となるロックされたオブジェクトまたは添付ファイルをロック解除します。

v バージョン番号を更新します。

2. 以下のように、新規の改訂サイクルのために規程をオープンする。

v 「承認ステータス」を「改訂中」に設定します。

v 規程オブジェクトとそのコンポーネント (「プロシージャー」、「添付ファイル」など) をロック解除します。

v 「公開日」、「公開ステータス」、「次のレビュー実施日」などのフィールドをリセットしてクリアします。

v バージョン番号を更新します。

v 「規程レビュー・コメント」オブジェクトを削除またはクリアします。

v 対応する公開済みの規程にフラグを設定して原案が「改訂中」であることを示します。

IBM OpenPages GRC Platform およびお客様は、お客様の方法論に適合するように、設定およびアプリケーション・テキスト設定を使用してこのコンポーネントを構成できます。


バッチ通知の公開ヘルパーバッチ通知の公開ヘルパーを使用すると、承認済みの規程原案を公開ライブラリーにプロモートし、現行の公開バージョンを期限切れライブラリーに移動するプロセスが容易になります。また、公開された規程を公開ライブラリーに移動してその原案を削除することにより、規程を廃止します。バッチ通知の公開ヘルパーは、「データ中心」、「文書中心」、および「混合型」の規程アプローチで使用できます。

バッチ通知の公開ヘルパーはスケジュール・ベースで実行され、以下のタスクが行われます。

v 以下のように、規程原案を更新します。

– 規程原案のフィールドを設定します (「承認ステータス」、「公開日」、「公開ステータス」など)。

– 規程変更の重要度に応じてバージョン番号を更新します。

v 以下のように、公開された「規程」オブジェクトを期限切れライブラリーにプロモートします。

– 「規程」オブジェクトの名前を変更します (Expired – V# を付加)。

– 「規程ロケーション (Policy Location)」を「期限切れ」に設定し、有効期限を指定します。

– 「拠点」や「規約」などのオブジェクトとの関連付けおよび承認を維持します。

– 混合型の規程の添付を削除します。

v 以下のように、原案の「規程」オブジェクトを公開ライブラリーにプロモートします。

– 「規程ロケーション (Policy Location)」を「公開済み」に設定します。

– 「拠点」や「規約」などのオブジェクトとの関連付けおよび承認を維持します。

– 公開された「規程」オブジェクトの既存のオブジェクト関連付け (「リスク評価」) を維持します。

v 正しく公開された場合に E メールを送信します。

お客様の方法論に沿って適切に動作するように、設定およびアプリケーション・テキスト設定を使用してこのコンポーネントを構成します。

規程認知度ビュー・ヘルパー規程認知度ビュー・ヘルパーは直感的なビューであり、従業員 (高ボリューム、ロー・タッチのユーザー) はこのビューを使用して規程とそのプロシージャーを説明形式で容易に読むことができます。従業員は、規程を読んで理解したことを認証します。

規程認知度ビュー・ヘルパーでは、以下のタスクが実行されます。

v 社内の規程のルック・アンド・フィールに基づいて単一の読み取り専用の説明形式で「規程」とその「プロシージャー」オブジェクトを表示します。

v 従業員がナビゲーションなしでシングルクリックで規程を認証できるようにします。


v 規程の認証の要件に対する例外を従業員が要求できるようにします。

お客様が使用している方法に沿って適切に動作するように、レジストリーとアプリケーション・テキストの設定を使用して、このコンポーネントを構成してください。

認証作成レポート・ヘルパー認証作成レポート・ヘルパーはスケジュールされた通知です。このヘルパーは、「レポート」メニュー (「認証レポート」メニューの下) からも実行できます。

この通知レポートは、規程認知機能をサポートします。スケジュール・ベースで実行することを意図しており、以下のタスクが行われます。

v 公開された規程に関連付けられた「開始の準備済み」状況のキャンペーン・オブジェクトをすべて検出します。

v キャンペーン・オブジェクトで定義された同一の認証要件基準に一致するアクティブな従業員をすべて検出します。

v その規程キャンペーンについて一致する従業員ごとに「認証」レコードを作成します。

v 構成済みのホーム・ページ・フィルターが設定されているリストを使用して、その「認証」レコードを従業員のホーム・ページに送信します。

v 各従業員に E メール通知を送信し、認証の期限であることをアラートします。

基準取得ヘルパー統制計画オブジェクトの計算済みフィールド・リンクから起動します。このヘルパーは、選択された基準をライブラリーから IT 運用環境へコピーし、下位のリスク、統制、およびテスト計画をコピーするか、それらを作成して事前にデータを取り込みます。このヘルパーは、新規要素からライブラリー要素への関連付けの作成、および作成した基準の「追加説明」フィールドへの状況情報の書き込みを行います。

リソース・リンク作成ヘルパーリソース・オブジェクトの計算済みフィールド・リンクから起動します。このヘルパーは、開始リソースの子として、および選択したリソースの子として、リソース・リンクを作成します。このヘルパーは、作成したリソース・リンク・オブジェクト上のフィールドに事前にデータを取り込みます。

監査の完了ヘルパー監査オブジェクトの計算済みフィールド・リンクから起動します。監査の完了ヘルパーを使用すると、監査完了プロセスの自動化が容易になります。

このヘルパーが起動された監査とそのすべてのコンポーネントについての、完了状況の用意に関する要約および詳細 (オプション) が表示されます。すべてのコンポーネントの用意が整うと、監査のクローズ時に実行するアクション (フィールド値の


設定とクリア、オブジェクト・インスタンスの削除、オブジェクトのロックなど)を自動化する「監査の完了」ボタンが表示されます。

お客様の方法論に沿って適切に動作するように、レジストリーおよびアプリケーション・テキスト設定を使用して、このコンポーネントを構成します。

計画の追加または変更ヘルパー監査オブジェクト上の計算済みフィールド・リンクから起動します。計画の追加または変更ヘルパーを使用すると、監査計画の作成および編集が容易になります。計画に割り当てる監査人を見つけてそのデータを設定します。

これらのプロセスは、プラットフォーム・ユーザー・インターフェースを使用して実行するには、時間がかかり、エラーが発生しやすく煩雑になります。

このヘルパーを使用すると、この監査の既存の計画の要約を表示したり計画を変更したりすることが可能です。この監査の新規計画を追加できるようになります。また、このヘルパーを使用すれば、監査人プールを検索したりそのプールの一部を選択して検索したりして、計画で特定されたスキル、属性、および空き状況の各要件を満たす監査人を見つけることができます。さらに、見つかった各監査人の他の計画の詳細を確認することや、検索結果から適切な監査人を選択して自動的にそのデータを取り込むことができます。

お客様の方法論に沿って適切に動作するように、レジストリーおよびアプリケーション・テキスト設定を使用して、このコンポーネントを構成します。

タイムシート・ヘルパーIBM OpenPages Internal Audit Management には、タイムシート・ヘルパーが用意されています。

次の 2 つのセットのヘルパーが使用可能です。

v IBM OpenPages GRC Platform 8.0.0.1 以前を使用している場合は、次のヘルパーを使用できます。

– タイムシート・エントリー: このヘルパーを使用すると、時間と費用を入力できます。

– 管理タイムシート・エントリー: このヘルパーを使用すると、時間の入力と費用を確認して承認できます。また、適切な権限がある場合は、このヘルパーを使用して、別の監査人の代わりに時間を入力することもできます。

これら 2 つのヘルパーを構成するには、「管理」 > 「設定」 > 「ソリューション (Solutions)」 > 「IAM (IAM)」 > 「タイムシート・エントリー」のすぐ下にある設定を使用します。

v IBM OpenPages GRC Platform 8.0.0.2 以降を使用している場合は、従来のヘルパーを使用することも、次の新しいタイムシート・ヘルパーを使用することもできます。

– タイムシート・エントリー・ヘルパー: このヘルパーは従来のタイムシート・エントリー・ヘルパーに代わるものです。これを使用すると、時間と費用を入力できます。この新しいヘルパーは、以前のタイムシート・エントリー・


ヘルパーよりも使いやすくなっています。例えば、計画を選択してタイムシートに追加する操作が簡単になっています。

適切な権限がある場合は、タイムシート・エントリー・ヘルパーを使用して、別の監査人の代わりに時間を入力することもできます。

– タイムシート承認ヘルパー: このヘルパーを使用すると、時間と費用を確認して承認できます。これは以前の管理タイムシート・エントリー・ヘルパーよりも使いやすくなっています。例えば、タイムシート全体ではなく個別のエントリーを承認または却下できるようになっています。

これらの新しいヘルパーを使用するには、これらをインストールして有効化する必要があります。詳しくは、「IBM OpenPages GRC インストールおよびデプロイメント・ガイド」を参照してください。

タイムシート・エントリー・ヘルパー監査人は、タイムシート・エントリー・ヘルパーを使用して、時間と費用を入力します。タイムシート・エントリー・ヘルパーは、IBM OpenPages GRC Platform8.0.0.2 以降で使用できます。

タイムシート・エントリー・ヘルパーは、タイムシート・エントリー・レポート・ヘルパーと管理人タイムシート・エントリー・ヘルパーを単一のヘルパーに結合したものです。このヘルパーで行われた改善と追加された新機能は次のとおりです。

v ヘルパーのルック・アンド・フィールが改善されるとともに、応答速度が短縮され、ユーザーへのメッセージ機能が改善されています。

v データ入力の検証機能が強化され、監査人が既存のタイムシート・エントリーを一度に 1 行ずつ削除できるようになっています。

v ユーザー・グループのメンバーが別の監査人の代わりに時間を入力できるようにヘルパーを構成できます。

v 監査人がすべての却下のコメントを一度に表示できるほか、更新が必要なタイムシートに簡単にジャンプできるようになっています。

v 監査人が、新規タイムシート行を追加するときに、必要な監査と計画を検索およびフィルタリングできるようになっています。また、ユーザーが選択を行いやすくするために、表示される監査および計画のフィールドを構成することができます。

標準 UI からタイムシート・エントリー・ヘルパーを開くには、「レポート」 >「監査管理レポート」 > 「タイムシート・エントリー・ヘルパー」をクリックします。このヘルパーをダッシュボードやホーム・ページに追加することもできます。

注: このヘルパーを組み込みホーム・ページ・レポートとして構成しないでください。これを行うと、このヘルパーによりホーム・ページ全体が使用され、ユーザーが基本となるコンテンツにアクセスできなくなります。

監査人がタイムシート・エントリーを作成して保存すると、タイムシート・オブジェクトが作成され、新規の行にデータが取り込まれ、値が既存のタイムシートに保存されます。交通費は、週単位の行ごとに 1 つのエントリーです。費用カテゴリーに分割されません。交通費は常に、基本通貨で入力されて表示されます。


このヘルパーを構成するには、「管理」 > 「設定」 > 「ソリューション(Solutions)」 > 「IAM (IAM)」 > 「タイムシート・エントリー」 > 「タイムシート・エントリー・ヘルパー」の下にある設定を使用します。

注: タイムシート・エントリー・レポート・ヘルパーや管理人タイムシート・エントリー・ヘルパーの構成設定が、タイムシート・エントリー・ヘルパーに影響することはありません。

タイムシート承認ヘルパー監査人の時間承認担当者 (監査責任者、計画責任者など) は、タイムシート承認ヘルパーを使用して、時間と費用を確認し、承認または却下します。タイムシート承認ヘルパーは、IBM OpenPages GRC Platform 8.0.0.2 以降で使用できます。

タイムシート承認ヘルパーによって、タイムシートの入力とタイムシートの承認が分離されます。このヘルパーの構成時には、タイムシートを承認または却下できるユーザーを指定します。

承認担当者は、すべての監査および監査人に関するすべての承認を一度に処理できます。さらに、承認待ちのタイムシートのキューを表示することもできます。

承認担当者がタイムシートを却下すると、監査人は通知 E メールを受信します。この通知機能はオプションです。

標準 UI からタイムシート承認ヘルパーを開くには、「レポート」 > 「監査管理レポート」 > 「タイムシート承認ヘルパー」をクリックします。このヘルパーをダッシュボードやホーム・ページに追加することもできます。

注: このヘルパーを組み込みホーム・ページ・レポートとして構成しないでください。これを行うと、このヘルパーによりホーム・ページ全体が使用され、ユーザーが基本となるコンテンツにアクセスできなくなります。

タイムシート承認ヘルパーを構成するには、「管理」 > 「設定」 > 「ソリューション (Solutions)」 > 「IAM (IAM)」 > 「タイムシート・エントリー」 > 「タイムシート承認ヘルパー」の下にある設定を使用します。

注: タイムシート・エントリー・レポート・ヘルパーや管理人タイムシート・エントリー・ヘルパーの構成設定が、タイムシート承認ヘルパーに影響することはありません。

タイムシート・エントリー・レポート・ヘルパーレポート・メニューから起動します。タイムシート・エントリー・レポート・ヘルパーを使用すると、監査人は時間の入力と確認を行うことができます。

デフォルトは現在の週です。週は月曜日から開始します。これは、ガント・チャート・レポートと同じです。この対話式レポートは、以前に入力した時間や費用を確認するため、また実時間や実際の費用を入力するためにも使用します。このレポートには、現在のユーザーに合わせて自動的にフィルターが適用され、そのユーザーが割り当てられた監査人である計画が含められます。


ユーザーは、「先週」ボタンおよび「次の週」ボタンを使用して、別の近い週に移動できます。近くない週に移動するには、カレンダー・ウィジェットを使用して、目的の週内の日付を選択してから、「週に移動」ボタンをクリックします。

割り当てられた監査人が存在する計画に対してのみ、時間と費用を入力できます。時間と費用の入力または表示を行う週に移動します。タイムシートの作成および編集は、状況による場合を除き、事前に行っても後に行っても制限はありません。状況が「提出済み」または「承認」のタイムシート行は編集できません。

「保存」をクリックすると、タイムシート・オブジェクトが作成され、新規の行にデータが取り込まれ、値が既存のタイムシートに保存されます。交通費は、週単位の行ごとに 1 つのエントリーです。費用カテゴリーに分割されません。交通費は常に、基本通貨で入力されて表示されます。

お客様の方法論に合わせてコンポーネント構成します。組み込みホーム・ページ・レポートとして構成しないでください。その場合、このコンポーネントによりホーム・ページ全体が使用され、ユーザーが基本となるコンテンツにアクセスできなくなります。

管理人タイムシート・エントリー・レポート・ヘルパーレポート・メニューから起動します。管理人タイムシート・エントリー・レポート・ヘルパーは、スコープ設定ページ (このレポートへのアクセス権を持つユーザーが、時間を入力する対象の別のユーザーを選択できるページ) が組み込まれたタイムシート・エントリー・レポート・ヘルパーの拡張機能版です。

管理者バージョンのこのヘルパーには、「承認」ボタン、「却下」ボタン、および関連する機能が組み込まれています。

お客様の方法論に沿って適切に動作するように、このコンポーネントを構成します。組み込みホーム・ページ・レポートとして構成しないでください。その場合、このコンポーネントによりホーム・ページ全体が使用され、ユーザーが基本となるコンテンツにアクセスできなくなります。



第 5 章通知

通知は、対処するためのリマインダーとしてプロセスの責任者に送信される E メールです。これらの通知は、プロセスのさまざまな段階で生成したり、トリガーの最終ステップとして生成したりすることができます。

通知に関する詳細は、「OpenPages GRC Platform Issue Management andRemediation Details」および「OpenPages GRC Platform Metrics Details」の資料に掲載されています。

IBM OpenPages GRC Platform ソリューションから送信されるすべての通知は、以下の送信者アドレスを使用します。ソリューションに対応する適切な略語を使用して、E メール・アドレスとサーバー設定を構成します。

v /OpenPages/Solutions/ORM/Email/From Email: 通知を送信するために使用される送信者アドレス。

v /OpenPages/Solutions/ORM/Email/From Name: 通知で使用する E メールの送信者名を指定するために、このアイテムを構成する。

v /OpenPages/Common/Email/Mail Server: 通知の送信に使用する E メール・サーバーを指定するために、このアイテムを構成する。

このアイテムはライフサイクルで使用されます。ライフサイクル・トリガーで生成された E メールの場合、送信者アドレスは trigger.xml ファイルで指定されます。デフォルトは [email protected] です。

E メール設定については、「IBM OpenPages GRC Platform 管理者ガイド」を参照してください。

OpenPages GRC Platform ソリューションには、複数の通知が含まれています。以下の表に、デフォルトで各ソリューションに含まれている通知をリストします。









GRC ワークフローで定義されているワークフローは、通知も実行できます。同じオブジェクト・タイプに対して、通知とワークフローの E メール通知の両方を使用できますが、それらの相互作用と競合箇所を考慮する必要があります。詳しくは、「IBM OpenPages GRC 管理者ガイド」の『GRC ワークフローの構成』を参照してください。

51

表 7. IBM OpenPages GRC Platform ソリューションの通知

通知 VRM RCM MRG FCM ORM PCM ITG IAM

『課題およびアクションの報告通知』 X X X X X X X X

『KPI リマインダーの通知』 X X X

『KPI 違反通知』 X X X

『KRI リマインダーの通知』 X X X

53 ページの『KRI 違反通知』 X X X

53 ページの『インシデント通知』 X X

53 ページの『アンケート評価通知』 X X X X X X X X

承認アプリケーション通知 X X X X X X X X

損失イベント・エントリー通知 X

統制活動通知 X X X X X X X X

タイムシート却下通知 X

課題およびアクションの報告通知「課題管理および是正」 (IMR) プロセスの終了フェーズにおいて、「課題およびアクションの報告」が E メール通知としてユーザーに送信されます。この報告では、期限切れの課題やクローズ期限のアクションなどの重要な事項が明らかにされます。管理者は、「課題管理および是正」 (IMR) 報告を使用することにより、この通知の頻度を設定できます。

KPI リマインダーの通知KPI リマインダーの通知は、KPI 担当者に送信される E メールです。これには、担当者または受信者が今後 7 日以内に取り込む必要があるすべての KPI 値のリストが含まれています。

KPI 違反通知KPI 違反状況が「緑」から「赤」または「琥珀色」から「赤」に変化すると、KPI違反通知によってリスクのオーナーに E メールが送信されます。

KPI 違反通知は KPI ライフサイクル・トリガーによって開始されます。この E メール通知には、違反状態にある KPI へのリンクと、リスクのオーナーに違反の確認と適切なアクションの実行を促す記載が含まれています。

KRI リマインダーの通知KRI リマインダーの通知は、KRI 担当者に送信される E メールです。これには、担当者または受信者が今後 7 日以内に取り込む必要があるすべての KRI 値のリストが含まれています。


KRI 違反通知KRI 違反状況が「緑」から「赤」または「琥珀色」から「赤」に変化すると、KRI違反通知によってリスクのオーナーに E メールが送信されます。

KRI 違反通知は KRI ライフサイクル・トリガーによって開始されます。この E メール通知には、違反状態にある KRI へのリンクと、リスクのオーナーに違反の確認と適切なアクションの実行を促す記載が含まれています。

インシデント通知インシデント通知では、インシデントが作成されたとき、およびインシデント・ライフサイクルの各遷移について、ライフサイクル担当者に E メールが送信されます。遷移が実行されるのは、ユーザーがインシデント詳細ビューで遷移アイコン(「ライフサイクル」 > 「開始」、「レビュー用に送信」、「エスカレート」、「レビューの却下」、「レビュー完了」、「エスカレーション・レビュー用に送信」、「エスカレート取り下げ」、「エスカレーション・レビュー完了」、「エスカレーション・レビュー却下」、または「再オープン」) をクリックしたときです。

インシデント通知は、インシデント・ライフサイクル・トリガーにより開始されます。E メール通知には、ステージ、ステータス、およびインシデントへのリンクが含まれています。

アンケート評価通知アンケート評価通知では、プログラムによりアンケート評価が作成されたとき、およびライフサイクルの各遷移について、ライフサイクル担当者に E メールが送信されます。遷移が実行されるのは、ユーザーがアンケート UI で遷移アイコン (「送信」、「送信して閉じる」、「アクション」 > 「却下」、「アクション」 > 「承認して閉じる」、「アクション」 > 「承認のために送信」、および「アクション」> 「承認」) をクリックしたときです。

アンケート評価通知は、アンケート評価ライフサイクル・トリガーにより開始されます。E メール通知には、ステージ、ステータス、およびアンケート評価へのリンクが含まれています。

第 5 章通知 53


第 6 章レポート

IBM OpenPages GRC Platform ソリューションには、複数のレポートが含まれています。

レポートについての詳細は、「OpenPages GRC Solutions Report Details」資料に記載されています。OpenPages GRC Platform でインストールされるレポートは他にもあり、すべてのソリューションで使用できます。これらの追加レポートについては、「IBM OpenPages GRC 管理者ガイド」で説明されています。

以下の表に、デフォルトで各ソリューションに含まれるレポートをリストします。






表 8. IBM OpenPages GRC Platform ソリューション別のレポート

レポート FCM ORM PCM ITG IAM

リスクの評価と対応レポート

リスク評価リスト X X X X X

リスク評価の状況 X X X X X

リスクの評価と対応の概要 X X X X X

リスク評価の課題とアクション・アイテム X X X X X

リスク・レポート

リスク分析 X X X X X

リスクのヒート・マップ X X X X X

拠点別リスク評価 X X X X X

カテゴリー別リスク評価 X X X X X

トップ・リスク X X X X X

統制活動レポート

リスクおよび統制活動マトリクス X X X X X

統制の有効性のマップ X X X X X

テスト・レポート

テスト・ダッシュボード X X X X X

可視化レポート

プロセス分析 X X X X X

インディケーター・レポート

KRI ダッシュボード X X X

KPI ダッシュボード X X X

損失イベント・レポート

55

表 8. IBM OpenPages GRC Platform ソリューション別のレポート (続き)

レポート FCM ORM PCM ITG IAM

損失イベント・ダッシュボード X

損失イベント・サマリー X

損失イベントの傾向 X

リスクと損失 X

課題管理および是正のレポート

ORM 課題ダッシュボード X

ORM 課題とアクション・アイテム X

シナリオ分析レポート

シナリオ・サマリー X

資本モデリング・レポート

拠点別出資 X

リスク・カテゴリー別出資 X

規制コンプライアンス・レポート

規約別プロセス統制の有効性 X

規制の適用性マトリクス X

IT 資産のレポート

基準 X

統制計画 X

IT コンプライアンス・レポート

規約別 IT 統制の有効性 X

要件ライブラリー X

UCF 要件ライブラリー X

監査管理レポート

監査領域 X

監査計画 X

監査人計画 X

監査要約 X

内部監査レポート X

監査偏差値 X

監査人偏差値 X

監査人タイムシート・ダッシュボード X

監査人使用状況ダッシュボード X

承認待ちタイムシートのダッシュボード X

タイムシート・エントリー X

タイムシート承認

ヘルパー

X

タイムシート・エントリー・レポート X

管理人タイムシート・エントリー X


リスク評価レポートリスク評価レポートは、アクションにつながる、よりよい意思決定を推進することで、経営陣をサポートします。これらのレポートは、リスクと統制の自己評価(RCSA) プロセスのアクション段階の一部です。

以下の表で、使用可能なリスク評価レポートについて説明します。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。

表 9. リスク評価レポート

名前ドリルスルー・レポート説明

リスク評価リスト指定された拠点とそのすべての下層についてのリスク評価の詳細を表示します。

リスク評価の状況リスク評価の状況詳細指定された拠点とその直接の下層についてのリスク評価の状況を示す積み重ね柱グラフを表示します。

リスクの評価と対応の概要

リスク評価の課題とアクション・アイテム

関連するすべてのリスクと統制と共に、リスクの評価と対応の詳細を表示します。ドリルスルー・レポートに、リスク評価、リスク、または統制に関連した、課題とアクション・アイテムが表示されます。

リスク評価の課題とアクション・アイテム

選択されたリスクの評価と対応、およびそれに関連付けられたリスクと統制に関連した、課題とアクション・アイテムをすべて表示します。親オブジェクトは、リスクの評価と対応、リスク、および統制の親のみ表示します。

このレポートでは、「拠点」および「リスクの評価と対応」の 2 つの値の入力が要求されます。データは選択された拠点でフィルタリングされます。ユーザーは、選択された拠点に直接または間接的に関連付けられた、すべてのリスク評価と対応から選択できます。

リスク・レポートIBM OpenPages GRC Platform ソリューションではリスク・レポートを使用できます。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。

表 10. リスク・レポート


リスク分析指定した拠点のプロセス別にグループ化されたリスクが表示されます。

リスクのヒート・マップ

リスク詳細指定した拠点の残存リスクの影響度別のリスクおよび残存リスクの発生確率別のリスクを集約した表が表示されます。

第 6 章レポート 57

表 10. リスク・レポート (続き)


拠点別リスク評価拠点別リスク評価詳細選択された拠点とその下層についての残存リスク評価の要約情報を表示します。ドリルスルー・レポートにリスク詳細が表示されます。

カテゴリー別リスク評価

カテゴリー別リスク評価詳細

選択した拠点のリスク・カテゴリーおよび残存リスク評価の要約情報が表示されます。ドリルスルー・レポートにリスク詳細が表示されます。

トップ・リスク残存リスク・エクスポージャーでランク付けされたトップ・リスクの要約が表示されます。また、固有リスク・エクスポージャーも表示されます。

デフォルトでは、以下のソリューションにリスク定量的評価のフィールドは組み込まれていません。そのため、このレポートは、これらのソリューションのユーザーには適切でない場合があります。

v IBM OpenPages Policy and ComplianceManagement

v IBM OpenPages Financial ControlsManagement

v IBM OpenPages IT Governance

統制活動レポートIBM OpenPages GRC Platform ソリューションでは統制活動レポートを使用できます。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。

表 11. 統制活動レポート


リスクおよび統制活動マトリクス

指定の拠点およびプロセスのリスクおよび統制データを表示します。

統制の有効性のマップ統制の有効性詳細プロセスおよび運用状況の有効性別にグループされた統制の数が表示されます。ドリルスルー・レポートには詳細情報が含まれます。


テスト・レポートIBM OpenPages GRC Platform ソリューションではテスト・レポートを使用できます。ユーザーは、詳細情報にドリルスルーできます。

表 12. テスト・レポート


テスト・ダッシュボード

テスト・ダッシュボード詳細

選択した拠点のテスト結果の要約情報が表示されます。ドリルスルー・レポートに詳細情報と傾向情報が表示されます。

可視化レポートIBM OpenPages GRC Platform ソリューションでは可視化レポートを使用できます。ユーザーは、詳細情報にドリルスルーできます。

表 13. 可視化レポート


プロセス分析ビジネス・プロセス・フロー・ダイアグラム

拠点階層ダイアグラム

リスクのヒート・マップ

プロセス・ダイアグラムのコンテキストにおけるリスクと統制を示します。プロセスと拠点のレベルのリスク評価および統制の有効性が含まれたリスクと統制の集約ビューが表示されます。

インディケーター・レポートレポート処理は、重要リスク評価指標 (KRI) サイクルまたは重要業績評価指標(KPI) サイクルの最終段階です。担当者が KRI や KPI を定義してそれらの値を取り込むと、選択された拠点の概要情報を示す標準のインディケーター・レポートが生成されます。

以下の表に、IBM OpenPages Operational Risk Management、IBM OpenPagesPolicy and Compliance Management、および IBM OpenPages IT Governance の各ソリューションで使用可能なインディケーター・レポートについての説明を記載します。ユーザーは、詳細情報にドリルスルーできます。

表 14. インディケーター・レポート


KRI ダッシュボード KRI ダッシュボード詳細

選択された拠点とその下層についての KRI情報の要約を表示します。ドリルスルー・レポートに詳細情報と傾向情報が表示されます。


表 14. インディケーター・レポート (続き)


KPI ダッシュボード KPI ダッシュボード詳細

選択された拠点とその下層についての KPI情報の要約を表示します。ドリルスルー・レポートに詳細情報と傾向情報が表示されます。

損失イベント・レポート損失イベント・レポートは、損失イベントに関する情報が組織全体で一貫性を持って収集されることを確実にします。

次の表に、IBM OpenPages Operational Risk Management で使用可能な損失イベント・レポートについての説明を記載します。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。

表 15. 損失イベント・レポート


損失イベント・ダッシュボード

損失イベント・ダッシュボード詳細

選択された拠点とその下層についての損失イベントの件数を、状況とリスク・カテゴリー別に取り出して表示します。ドリルスルー・レポートに詳細情報が表示されます。

損失イベント・サマリー

損失イベントの詳細リスク・カテゴリー別に取り出した純損失額を示す柱グラフ (拠点を表す) を表示します。ドリルスルー・レポートに損失イベントの詳細が表示されます。

損失イベントの傾向損失イベント傾向の詳細

指定された拠点のリスク・カテゴリー別の純損失額の傾向を表示します。

リスクと損失指定された日付についての拠点の年間純損失額を現在の残存リスク評価額と比較して表示します。

課題管理および是正のレポート課題は、文書化されたフレームワークに反すると特定されたアイテムです。これらは、リスクの的確な管理や報告を行う機能に悪影響を及ぼすとみなされます。

次の表に、IBM OpenPages Operational Risk Management で使用可能な課題管理および是正のレポートについての説明を記載します。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。他のソリューションのユーザーについては、内部統制上の課題リストおよび内部統制上の課題とアクション・アイテムという 2 つのプラットフォーム・レポートが用意されています。


表 16. 課題管理および是正のレポート


ORM 課題ダッシュボード

課題ダッシュボード詳細

状況別の課題の数をグラフィカルに表現します。このレポートの範囲は拠点オブジェクトおよび日付範囲です。

ORM 課題とアクション・アイテム

課題ダッシュボード詳細レポートの変形です。関連したアクション・アイテムについての要約情報を表示します。

シナリオ分析レポートシナリオには、組織で発生する可能性がある重大なイベントの定量化 (潜在的なイベントの影響度および頻度) が含まれます。この分析では、損失の仮定シナリオがキャプチャーされます。シナリオ分析レポートでは、各事業部の既存のシナリオのレビューがサポートされます。

次の表に、IBM OpenPages Operational Risk Management で使用可能なシナリオ分析レポートについての説明を記載します。ユーザーは、詳細情報にドリルスルーできます。

表 17. シナリオ分析レポート


シナリオ・サマリーシナリオ結果の詳細拠点別のすべてのシナリオが表示されます。詳細には、「ID」、「説明」、「状況」、および「責任者」が含まれます。

資本モデリング・レポート資本モデリング・レポートは、出資に関する情報を示します。

次の表に、IBM OpenPages Operational Risk Management で使用可能な資本モデリング・レポートについての説明を記載します。

表 18. 資本モデリング・レポート


拠点別出資会社資本全体に対する拠点別出資を表示します。

リスク・カテゴリー別出資

会社資本全体に対するリスク・カテゴリー別出資を表示します。


規制コンプライアンス・レポート次の表に、IBM OpenPages Policy and Compliance Management で使用可能な規制コンプライアンス・レポートについての説明を記載します。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。

表 19. 規制コンプライアンス・レポート


規約別プロセス統制の有効性

下位規約別プロセス統制の有効性

選択された拠点について、関連付けられている規約が、プロセスに関連付けられている統制の有効率と共にレポートに表示されます。ドリルスルー・レポートに詳細情報が表示されます。

規制の適用性マトリクス

規約と、それらが適用される拠点のマトリックス・ビューが表示されます。

IT 資産のレポート次の表に、IBM OpenPages IT Governance で使用可能な IT 資産レポートについての説明を記載します。

表 20. IT 資産のレポート


基準選択された基準の重要な属性が、関連条件と、推奨統制アクティビティーおよびテスト・プロシージャーと共に表示されます。

統制計画選択された統制計画の重要な属性が、関連付けられている基準とその条件、推奨および実施統制アクティビティーおよびテスト・プロシージャーと共に表示されます。


IT コンプライアンス・レポート次の表に、IBM OpenPages IT Governance で使用可能な IT コンプライアンス・レポートについての説明を記載します。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。

表 21. IT コンプライアンス・レポート


規約別 IT 統制の有効性

下位規約別 IT 統制の有効性

選択された拠点について、関連付けられている規約が、統制計画に関連付けられている統制の有効率と共にレポートに表示されます。ドリルスルー・レポートに詳細情報が表示されます。

このレポートは、IT 運用環境の規約と基準の間で共有されている IT 運用環境の統制に注目します。これは、規約による統制の運用状況の有効性のビューを提供します。1 つのサブレポートは、選択された規約に対してドリルスルーして、下位規約による統制の運用状況の有効性を表示します。その他のサブレポートは、選択された規約に対してドリルスルーして、リソース (タイプ = アプリケーション) でグループ化されたテストの結果を表示します。このレポートは、各アプリケーションの準拠状況のビューを提供します。このレポートは、IT 運用環境から常に実行されます (これはライブラリー拠点をフィルターで除外します)。

要件ライブラリー選択された要件について、すべての適用可能な法律と規制がレポートに表示されます。

このレポートには、プロンプトの対象範囲に適合する要件から、これらの各要件を満たす下位規約と規約まで、上方に向かって階層を報告します。これは、この 1 つの要件を満たすことが多くの法律を満たすことになることを示しています。このレポートは、要件および関連規約ごとに 1 ページあります。このレポートは、ライブラリーから実行されます。

UCF 要件ライブラリー

選択された UCF 調和統制について、すべての適用可能な規制文書がレポートに表示されます。


監査管理レポート次の表に、IBM OpenPages Internal Audit Management で使用可能な監査管理レポートについての説明を記載します。ユーザーは、一部のレポートから詳細情報にドリルスルーできます。

表 22. 監査管理レポート


監査領域このレポートには、選択した監査組織に対する監査可能拠点が表示され、リスク・ランキングおよび前回の監査結果が含まれます。

拠点によって範囲が絞られ、ユーザーはソート順を選択できます。選択した拠点が内部監査のビジネス階層内である場合、レポートには内部監査チームが所有する監査領域の一部分が表示されます。拠点が組織階層内である場合、レポートには、拠点またはいずれかの子拠点に関連付けられた監査領域の要素が表示されます。このレポートは、年間計画の初期段階において今年は監査領域のどの要素を監査するかを決めるために使用されます。

監査計画監査計画の詳細選択した監査組織および日付範囲に対して、このレポートは監査計画のガント・チャート・ビューを提供します。

拠点と日付範囲で範囲が絞られ、ユーザーは日別、週別、月別、または四半期別のいずれかで情報を表示することを選択できます。選択した日付範囲には、当年計画、3 年計画、5 年計画、または計画の時間枠が表示されます。レポートを参照する場合、監査可能拠点それぞれの各予定監査の詳細を表示するために、詳細ビューを表示することができます。監査可能拠点それぞれに対する監査のロールアップを表示するには、サマリー・ビューを表示します。監査の予定開始日と予定終了日が 1 つのセルでオーバーラップする場合、セル全体が強調表示されます。赤で示される概要のセルは、その監査可能拠点に対してその期間中に複数の監査が予定されていることを示します。このレポートは、「計画」または「予定」の状況が設定されている監査のみを含むようにフィルタリングされています。

監査人計画監査人計画の詳細選択された監査組織、監査人、および日付範囲に対して、このレポートは計画のガント・チャート・ビューを提供します。

拠点、監査人、および日付範囲で範囲が絞られ、日別、週別、月別、または四半期別に情報を表示できます。使用可能な監査人は、選択された拠点またはその下層に関連付けられた監査人です。選択した日付範囲には、当年計画または計画の時間枠が表示されます。レポートを表示する際に、詳細ビュー (各監査人に対する各計画の詳細を表示) と概要ビュー (各監査人に対する計画のロールアップだけを表示) を切り替えることができます。監査人が、任意の列の複数計画に予定されている場合、セル全体が強調表示されます。赤で示される概要のセルは、その監査人に対してその期間中に割り当てられた複数の計画を示します。このレポートは、競合があるかどうかを判別するために計画の割り当て率情報を使用しません。


表 22. 監査管理レポート (続き)


監査要約 v 監査結果の詳細

v 監査課題の詳細

v 監査レビュー・コメントの詳細

選択された監査について、その監査セクションの状況と調書を表示し、関連付けられている結果、課題、およびレビュー・コメントを表示します。

監査によって範囲が絞られ、レポートには、監査、セクション、および調書の直接の子である、結果、課題、およびレビュー・コメントが含まれます。課題、結果、または監査レビュー・コメントの数をクリックすると、詳細レポートが開始します。これには詳細が含まれ、アプリケーションのオブジェクトへのリンクが提供されます。

内部監査レポート選択された監査の完全なレポート。エグゼクティブ・サマリー、関連付けられている結果、および課題を含みます。

監査可能拠点で範囲が絞られ、次に監査で範囲が絞られます。監査、監査セクション、および調書に関連付けられた結果と、監査に関連付けられた課題が含まれます。

監査偏差値選択された監査について、その計画および監査のセクションを予定と予算の情報を含めて表示し、大きな偏差を強調表示します。

このレポートには、選択された監査の計画およびセクションがリストされます。予定と予算情報が含まれ、大きな偏差値を強調表示します。黄色で示されるセルは、キー情報が欠落していることを示します。赤で示されるセルは、計画から 20% より大きい、好ましくない偏差を示します。監査可能拠点で範囲が絞られ、次に監査で範囲が絞られます。選択された監査と、その監査に直接関連付けられた計画および監査セクションが含まれます。

監査人偏差値選択された監査人について、計画の日付、実際の日付、時間、および費用が表示されます。

監査人拠点、監査人、および日付範囲で範囲が絞られます。使用可能な監査人は、選択された拠点またはその下層に関連付けられた監査人です。選択した日付範囲には、特定の時間枠が表示されます。レポートは、選択された各監査人に対する計画を表示します。これには、それぞれの時間枠の間の各計画に対して記録された、予定、予想、および実際の開始日と終了日、それぞれの計画時間数と実際のタイムシート時間数、および計画の交通費と実際の交通費の金額を含みます。赤で示されるセルは、計画金額より20% 以上多い金額を示します。監査人が選択された監査人であるすべての計画が含まれます。割り当て済み監査人がいない計画はこのレポートに含まれません。このレポートには、各監査人の概要行およびレポート全体の概要行が含まれます。デフォルトはHTML 形式ですが、Microsoft Excel 形式を使用することもできます。


表 22. 監査管理レポート (続き)


監査人タイムシート・ダッシュボード

選択した監査人について、選択した日付前の数週間分のタイムシートのステータスが表示されます。

リード監査人と監査管理者は、このダッシュボードを使用して、時間を提出していない監査人を追跡し、リソースのメトリックが最新かどうかを把握することができます。特定の監査人について、特定の週の詳細まで掘り下げて表示することができます。

このレポートは新しいタイムシート・エントリー・ヘルパーで使用できます。また、従来のタイムシート・ヘルパーでも使用できます。

監査人使用状況ダッシュボード

選択した監査人、および選択した年について、監査人の使用状況が表示されます。

監査管理者は、このダッシュボードを使用して、監査人リソースを十分に活用できるようにするとともに、監査人に過剰な作業負荷がかからないようにすることもできます。


承認待ちタイムシートのダッシュボード

選択した監査人について、選択した日付前の選択した週数分のタイムシートのうち、承認待ち状態のものが表示されます。

タイムシート承認担当者、リード監査人、および監査管理者は、このダッシュボードを使用して、保留状態のタイムシート・エントリーをモニターできます。また、さらに詳しい情報まで掘り下げて表示できます。


タイムシート・エントリー・ヘルパー

47 ページの『タイムシート・エントリー・ヘルパー』を参照してください。

タイムシート承認ヘルパー

48 ページの『タイムシート承認ヘルパー』を参照してください。

タイムシート・エントリー

48 ページの『タイムシート・エントリー・レポート・ヘルパー』を参照してください。

管理人タイムシート・エントリー

タイムシート・エントリー

49 ページの『管理人タイムシート・エントリー・レポート・ヘルパー』を参照してください。


第 7 章トリガー

IBM OpenPages GRC Platform ソリューションには、いくつかのトリガーが含まれています。

トリガーについての詳細は、「OpenPages GRC Platform Solution Trigger Details」資料に記載されています。

GRC ワークフロー機能とともにトリガーを使用できます。詳しくは、「IBMOpenPages GRC 管理者ガイド」の『GRC ワークフローの構成』を参照してください。

以下の表に、デフォルトで各ソリューションに含まれるトリガーをリストします。









表 23. IBM OpenPages GRC Platform ソリューションのトリガー

トリガー VRM RCM MRG FCM ORM PCM ITG IAM

71 ページの『課題管理および是正のトリガー』

X X X X X X X X

74 ページの『リスクと統制の自己評価トリガー』

X X X X X X X

79 ページの『統制活動ライフサイクル・トリガー』

X X X X X X X

74 ページの『可視化のトリガー』 X X X X X X X X

75 ページの『KRI ライフサイクル・トリガーと KPI ライフサイクル・トリガー』

X X X

75 ページの『損失イベント・ライフサイクル・トリガー』

X

82 ページの『アンケート評価ライフサイクル・トリガー』

X X X X X X X X

84 ページの『規程のインポート・トリガー』

X

85 ページの『ポリシー・ロック・トリガー』

X

85 ページの『リスク評価の監査の計算トリガー』

X

67

表 23. IBM OpenPages GRC Platform ソリューションのトリガー (続き)

トリガー VRM RCM MRG FCM ORM PCM ITG IAM

86 ページの『監査完了自動化トリガー』

X

81 ページの『インシデント・ライフサイクルのトリガー』

X X

バージョン 7.2.0.1 における新しいライフサイクル・トリガーOpenPages で 7.2 ライフサイクル機能が利用可能になったことに従い、この新しいライフサイクルを使用するオブジェクトおよび既存のライフサイクルがあるオブジェクトをすべて変更して、この新しいライフサイクルのフィールド・グループおよびフィールドを使用するようにしなければなりません。

トリガーにより、内部統制上の課題を調査ライフサイクル内で移動させることができます。ライフサイクルには、あるオブジェクト・タイプが進むことができるステージが定義されます。

OpenPages バージョン 7.2.0.1 では、統制活動、内部統制上の課題、および損失イベントの 3 つの新しいライフサイクルが導入されています。

統制活動トリガーの詳細については、 79 ページの『統制活動ライフサイクル・トリガー』を参照してください。

内部統制上の課題イベントと損失イベントはどちらも、オブジェクトの既存のライフサイクルを支援することを目的として既存のトリガーを備えていました。これらのトリガーは、新しいライフサイクル・フィールドを使用するように更新されています。OpenPages バージョン 7.2.0.1 より前のバージョンでこれらのトリガーを使用している場合は、openpages-solutions.xml ファイルで、損失イベント・トリガーおよび内部統制上の課題トリガーに対して以前使用されていた、該当するフィールドを変更する必要があります。

内部統制上の課題オブジェクトの場合、未着手のアクション・アイテムが当該の課題に関連付けられていると、クローズを防止するトリガーが実行されます。OpenPages バージョン 7.2.0.1 より前のバージョンでは、このトリガーは「OPSS-Iss:Status」フィールドによって駆動されていました。現在、このトリガーは「OPLC-Std:LCStatus」フィールドを使用し、課題が実際のクローズ状態ではなく、「クローズを要求」状態に遷移されると実行されるようになりました。

詳しくは、 72 ページの『内部統制上の課題ライフサイクル・トリガー (バージョン 7.2.0.1 以降)』を参照してください。

OpenPages バージョン 7.2.0.1 より前のバージョンには、損失イベント・オブジェクト用のトリガーがありました。このトリガーは、日付フィールドを検証し、ユーザーが「OPSS-LossEv:Submit」フィールドを「はい」に設定した時点で損失イベントの承認担当者フィールドにデータを設定するためのものでした。OpenPages7.2.0.1 以降のバージョンでは、このトリガーはライフサイクルが「未着手」から「送信」に遷移されると実行されるようになりました。したがって、このトリガー


は、「OPLC-Std:LCTransition」フィールドの値が「送信」になると実行されます。損失イベントの「OPSS-LossEv:Submit」フィールドは、不要になりました。

2 つ目のトリガーは、クローズ時に損失イベントとその子イベントをロックするために存在しました。OpenPages バージョン 7.2.0.1 より前のバージョンでは、このトリガーはフィールド「OPLC-LossEv:Status」の値が「承認」に設定されると実行されていました。OpenPages バージョン 7.2.0.1 以降では、このトリガーは「OPLC-Std:LCStage」フィールドの値が「完了」に設定されると実行されます。

詳しくは、 76 ページの『損失イベント・ライフサイクル・トリガー (バージョン7.2.0.1 以降)』を参照してください。

オブジェクトの既存のライフサイクルに接続されたフィールドを使用するトリガー、フィールド依存関係、選択リスト、またはレポートを持つ既存のカスタム・クライアント・ソリューションを確認し、更新する必要があります。既存のソリューション用の構成では、必要に応じてオブジェクトで置き換え対象であるフィールド(「ステータス」や「担当者」フィールドなど) を更新する必要があります。

ライフサイクルの構成IBM OpenPages GRC Platform では、カスタム・トリガーでビジネス・ロジックを実装する必要性を減らすために、ライフサイクルを構成できます。

ライフサイクルは、LC フィールド以外のフィールドに遷移の際にフィールド値を設定するように構成できます。使用できるフィールドは、短いテキスト、長いテキスト、単一および複数の列挙、ブール値、整数、10 進数、日付、ユーザー、およびユーザー・グループのフィールド・タイプです。フィールド・タイプに応じて、フィールド値は以下の方法で設定できます。

v 絶対値または相対値

v フィールドの既存の値への追加

v 別のフィールドの値に基づく取り込み

例えば、この機能を使用して、ライフサイクルの「ステータス」フィールドの値を「正常」ステータス・フィールドにコピーし、既存のビュー、レポート、ヘルパーがそのステータス・フィールド値を引き続き使用できるようにすることができます。

ライフサイクルはさらに、遷移を制御する条件ロジックを使用して構成することもできます。オブジェクトおよび直接の子オブジェクトと親オブジェクトのフィールド値を使用するブール・ロジックを使用できます。このロジックには、テキスト、単一および複数の列挙、ブール値、整数、10 進数、および日付のフィールド・タイプの値を含めることができます。例えば、この機能を使用して、損失イベントに承認日の値が設定されていない場合に、イベントを承認のために送信できないようにすることができます。条件が満たされない場合、遷移処理は停止され、エラーがユーザー・インターフェースに表示されると同時にログに記録されます。

ライフサイクルの構成について詳しくは、「Trigger Developer Guide」を参照してください。

第 7 章トリガー 69

トリガーを含むオブジェクト・タイプObjectManager ツールを使用して XML インスタンス・データをロードする前に、データのロード対象となるすべてのオブジェクト・タイプのトリガーを無効にしてください。

以下の表には、デフォルトでトリガーが含まれているオブジェクト・タイプがリストされています。









表 24. IBM OpenPages GRC Platform ソリューションのトリガーを含むオブジェクト・タイプ

オブジェクト・タイプ VRM RCM MRG FCM ORM PCM ITG IAM

データ入力 X X X X X X X X

データ出力 X X X X X X X X

リスク X X X X X X X X

内部統制上の課題 X X X X X X X X

アクション・アイテム X X X X X X X X

統制活動 X X X X X X X X

アンケート評価 X X X X X X X X

損失イベント X

損失の影響度 X

損失の回収 X

KPI 値 X X X

KRI 値 X X X

ファイル (SOXDocument) X

規程 X

監査 X

監査レビュー・コメント X

監査セクション X

結果 X

計画 X

タイムシート X

調書 X

インシデント X X


課題管理および是正のトリガー課題管理および是正 (IMR) フレームワークでは、課題を効率的に記録、モニター、是正、および監査できます。

課題は、文書化されたフレームワークに反すると特定されたアイテムで、リスクの的確な管理や報告を行う機能に悪影響を及ぼすとみなされます。そのライフサイクルでは、課題は 2 つの状態 (未着手または完了) のうちの 1 つの状態であることが可能です。

特定された課題を解決するには、課題の責任者は適切なアクションを確立して、記録します。アクションが完了したら、担当者はアクションを「承認のために送信」に設定します。そのフィールドが保存されると、トリガーが開始され、以下のアクションを実行します。

v 親の課題から「課題の責任者」フィールドの値を、そのアクションの「承認のための課題の責任者」フィールドにコピーします。

v 「アクションのステータス」フィールドを「承認待ち」に設定します。

v 課題の責任者に E メールを送信して、アクションが彼らの承認待ちであることを通知します。

課題の責任者は、アクションをレビューして、「承認/却下」フィールドで課題のクローズを承認または却下します。

課題の責任者が「承認」を選択した場合、トリガーが開始され、「ステータス」フィールドを「完了」に設定します。

課題の責任者が「却下」を選択した場合、トリガーが開始され、以下のアクションを実行します。

v ステータス・フィールドを「未着手」に戻します。

v 「承認のために送信」フィールドを「いいえ」に設定します。

v アクション担当者に E メールを送信して、アクションが拒否されたことを通知します。

以下のトリガーは、課題管理プロセスを自動化します。

v 『課題ライフサイクル・トリガー』

v アクション・ライフサイクル

課題ライフサイクル・トリガー課題ライフサイクル・トリガーは、課題の状況が「完了」の場合、「課題の保存」の最初のインスタンスの「元の期限」を設定し、未着手のアクションがないかをチェックします。

重要: OpenPages バージョン 7.2.0.1 以降では、内部統制上の課題トリガーが更新されています。詳しくは、 72 ページの『内部統制上の課題ライフサイクル・トリガー (バージョン 7.2.0.1 以降)』を参照してください。

課題オブジェクト・タイプが作成または更新され、状況が「完了」に設定されると、トリガーは以下のアクションを実行します。


v トリガーは、直接の子のすべてのアクションをチェックし、すべて完了されているかを判別します。いずれかのアクションが「未着手」または「承認待ち」状況である場合、トリガーは、エラー・メッセージを生成します。すべてのアクションが完了している場合、トリガーはその変更を保存します。

注: 管理者は「管理者」 > 「設定」メニューを使用して、エラー・メッセージを構成できます。

v 課題の「元の期限」が空白の場合、トリガーは「元の期限」に「現在の期限(Current Due date)」の値を設定します。

内部統制上の課題ライフサイクル・トリガー (バージョン 7.2.0.1 以降)トリガーにより、内部統制上の課題を調査ライフサイクル内で移動させることができます。ライフサイクルには、あるオブジェクト・タイプが進むことができるステージが定義されます。各ステージで、システムは以下を実行します。

v ライフサイクル担当者を特定します

v 別のステージへ移動するために使用可能なアクションを定義します

v 新しいライフサイクル担当者に自動的に E メールを送信します

v 現在のステージに関連するその他の属性を定義します

内部統制上の課題のライフサイクルでは、以下のステージを使用します。

v 新規

v 進行中

v クローズ要求

v 期限変更要求

v 要求のクローズ

内部統制上の課題が作成されると、システムによりライフサイクルが「新規」ステージに設定され、最初のライフサイクル担当者に E メールが送信されます。ユーザーがタスクを完了すると、トリガーによりそのオブジェクトは次のタスクおよび次のユーザーに移動します。遷移ごとに、ユーザーはコメントを追加できます。遷移が実行されるのは、ユーザーが詳細ビューで内部統制上の課題オブジェクトを開き、「ライフサイクル」>「<遷移アイコン>」をクリックしたときです。ステージにより表示される遷移アイコンが決まります。

重要: 内部統制上の課題オブジェクトの場合、未着手アクション・アイテムが課題に関連付けられていると、クローズを防止するトリガーが実行されます。OpenPages バージョン 7.2.0.1 より前のバージョンでは、このトリガーは「OPSS-Iss:Status」フィールドによって駆動されていました。OpenPages バージョン 7.2.0.1 以降では、このトリガーは「OPLC-Std:LCStatus」フィールドを使用するように更新されており、課題が実際にクローズされたときではなく、「クローズを要求」に遷移されたときに実行されます。

以下の表に、システムが内部統制上の課題を処理してライフサイクルの担当者を設定する方法を要約します。「遷移」アイコン列に記載されているのは、内部統制上


の課題詳細ビューに表示される「ライフサイクル」>「<遷移アイコン>」の名前です。ユーザーがこのアイコンをクリックすると、次のステージへの遷移がトリガーされます。

表 25. 内部統制上の課題のライフサイクル・プロセスおよびステージ責任者

ステージライフサイクルの担当者遷移アイコン次のステージ次のステータス

新規課題の責任者開始進行中進行中

進行中課題の責任者クローズを要求クローズ要求クローズを要求中

進行中課題の責任者期限の変更を要求期限変更要求期限変更を要求中

クローズ要求課題の承認担当者クローズ要求が拒否されました

進行中クローズ要求が拒否されました

クローズ要求課題の承認担当者クローズの承認完了完了

期限変更要求課題の承認担当者期限変更が拒否されました

進行中日付変更が拒否されました

期限変更要求課題の承認担当者期限変更が認められました

進行中日付変更が認められました

完了 (未割り当て) 再オープン進行中再開

「クローズを要求」または「期限の変更を要求」の遷移が行われると、デフォルトでトリガーがライフサイクルの期限フィールドを現在日付から 14 日後に設定します。「期限変更が認められました」が実行されると、トリガーが課題の期限を「要求された期限」フィールドに指定された日付で更新し、ライフサイクルの期限と「要求された期限」フィールドをリセットします。「期限変更の拒否」遷移が実行されると、トリガーがライフサイクルの期限と「要求された期限」フィールドをリセットします。

このトリガーは、ユーザーが課題ライフサイクルを「進行中」から「期限の変更を要求」、「クローズを要求」と遷移させた場合、または「期限の変更を要求」から「期限変更が認められました」に遷移させた場合に実行されます。

内部統制上の課題通知

内部統制上の課題通知により、課題が作成された場合や、課題のライフサイクルにおいて遷移が実行された場合に、ライフサイクル担当者に E メールが送信されます。遷移が実行されるのは、ユーザーが内部統制上の課題詳細ビューで遷移アイコン (「ライフサイクル」>「開始」、「クローズを要求」、「期限の変更を要求」、「クローズ要求が拒否されました」、「クローズの承認」、「期限変更が拒否されました」、「期限変更が認められました」、または「再オープン」) をクリックしたときです。

内部統制上の課題通知は、内部統制上の課題ライフサイクル・トリガーによって開始されます。E メール通知には、ステージ、ステータス、期限、コメント、および内部統制上の課題へのリンクが含まれています。

課題へのリンクは OpenPages の詳細ページにすることも、承認アプリケーションにすることも、その両方にすることもできます。含めるリンクは、課題の「アプリケーション・データ (AppData)」フィールドの選択リストによって定義され、「ス


テージ」フィールドによって制御されます。

内部統制上の課題と GRC ワークフロー

内部統制上の課題に対して、構成可能なライフサイクルとワークフローの両方を使用できますが、それらの相互作用と競合箇所を考慮する必要があります。詳しくは、「IBM OpenPages GRC 管理者ガイド」の『GRC ワークフローの構成』を参照してください。

リスクと統制の自己評価トリガー「リスクの評価と対応」プロセスは、ビジネスのリスク・プロファイルを識別、評価、および定量化するために使用します。各リスクが、質的ベースまたは定量的ベースで評価されます。

トリガーにより、ビジネスのリスク統制と自己評価のプロセス・ワークフローが提供されます。

リスクが保存されると、質的リスク評価トリガーにより、リスク評価 (「低」、「中」、「高」、または「非常に高い」) が決定されます。また、このトリガーにより、非表示の定量的フィールド (「重大度」、「頻度」、および「エクスポージャー」) に値が取り込まれます。

リスクが保存されると、定量的リスク評価トリガーにより、以下のアクションが実行されます。

1. エクスポージャー (頻度 x 重大度) を計算します。

2. 「低」、「中」、「高」、または「非常に高い」としてリスク評価を計算します。

3. 設定レコードに保管された事業部ごとのマッピング・テーブルに基づいて影響値(1 - 10) を導き出します。

4. 設定レコードに保管された事業部ごとのマッピング・テーブルに基づいて発生確率値 (1 - 10) を導き出します。

以下のトリガーがリスクと統制の自己評価に使用されます。

v RCSA 定量的トリガー

v RCSA 質的トリガー

v リスク承認の送信トリガー

v RCSA リスクおよび統制の承認トリガー

可視化のトリガー可視化のトリガーは、ユーザーが新規のリスクを「データ入力」オブジェクト・タイプおよび「データ出力」オブジェクト・タイプの子として追加できないようにします。「データ入力」オブジェクトおよび「データ出力」オブジェクトはプロセスの子であり、既存のリスクに対してのみ関連付けを設定できます。データ入力オブジェクトは、「ビジネス・フロー」への入力を示すフローの要素を表します。データ出力オブジェクトは、プロセス内のアクティビティーからの出力を表します (レポートの実行や CRM システムの更新など)。


リスクは、既存のリスクをこれらのオブジェクト・タイプに関連付けることによってのみ、これらのオブジェクト・タイプの子として追加できます。「データ入力」オブジェクト・タイプおよび「データ出力」オブジェクト・タイプをリスクの 1 次親にすることはできません。

KRI ライフサイクル・トリガーと KPI ライフサイクル・トリガーKRI ライフサイクル・トリガーと KPI ライフサイクル・トリガーは、KRI/KPI および KRI/KPI 値オブジェクト・タイプのフィールド値を計算して保持します。このトリガーが発生するのは、KRI 値または KPI 値の収集状況が「収集済み」になっている場合だけです。

KRI 値オブジェクトまたは KPI 値オブジェクトが更新されるか、関連付けされるか、関連付けが解除されると、トリガーは以下のステップを実行します。

1. KRI または KPI が承認用に設定されているかどうかを判別します。

v 状況が「はい」の場合、トリガーは状況を「承認待ち」に更新し、ステップ2、3、4、および 6 に進みます。

v 状況が「いいえ」の場合、トリガーは状況を「収集待ち」から「収集済み」に更新し、ステップ 2、3、4、および 5 に進みます。

2. 現在のしきい値情報を KRI または KPI から子 KRI 値または KPI 値にコピーします。

3. 「違反」状況を評価します。

4. KRI または KPI の「値」、「値日付」、「収集」、「違反」の状況を、親のKRI または KPI にコピーします。

5. KRI または KPI の「違反」フィールドの状況を示す色が緑または琥珀色から赤に変わると、トリガーはリスクのオーナーに E メール通知を送信して違反を知らせます。

6. 状況が「承認待ち」に設定されている場合、KRI 担当者または KPI 担当者のホーム・ページに KRI 値または KPI 値が表示されます。KRI 担当者または KPI担当者は、その値を承認することも却下することもできます。

v KRI 担当者または KPI 担当者が「却下」状況でレコードを保存すると、KRIまたは KPI の「値」と「値日付」は空の状態に変更され、KRI 値の状況または KPI 値の状況は「収集待ち」に設定されます。

v KPI 担当者または KRI 担当者が「承認」状況でレコードを保存すると、「値」フィールドと KRI または KPI の「収集」状況が「収集済み」に変わります。

注: KRI または KPI の担当者が KRI または KPI を定義する際に、担当者はその承認に関する詳細を指定できます。

損失イベント・ライフサイクル・トリガー損失イベント・ライフサイクル・トリガーは、下位の損失の影響度オブジェクトおよび損失の回収オブジェクトで関連フィールドが作成または変更された場合に、損失イベント・オブジェクトの 3 つのフィールドを計算し、維持します。


このトリガーは、損失イベント承認の送信のトリガーおよび損失イベントの承認のトリガーで説明されているように、損失イベントの承認プロセスと是正処理を自動化します。

損失イベント・ライフサイクル・プロセスは、以下の 3 つのトリガーで構成されています。

v 『損失イベント計算トリガー』

v 『損失イベント承認の送信トリガー』

v 『損失イベントの承認トリガー』

損失イベント計算トリガー損失イベント計算トリガーは、関連付けられた損失の影響度および回収に基づく損失イベントの集計値を、システムの基本通貨で計算します。

損失イベント承認の送信トリガー損失イベント承認の送信トリガーは、損失イベントを「未着手」イベントからそのライフサイクルの「承認」段階に変更します。このトリガーはデータを検証します。

このトリガーは、ユーザーが損失イベント・ライフサイクルを「未着手」から「送信」に遷移させると実行されます。

このトリガーは、LC の期限を送信日から 14 日後に設定します。

損失イベントの承認トリガーこのトリガーは、損失イベントおよびすべての子の影響および回収をロックします。

このトリガーは、ユーザーが損失イベント・ライフサイクルを「未着手」または「承認待ち」から「完了」に遷移させると実行されます。

損失イベント・ライフサイクル・トリガー (バージョン 7.2.0.1 以降)トリガーにより、損失イベントを調査ライフサイクル内で移動させることができます。ライフサイクルには、あるオブジェクト・タイプが進むことができるステージが定義されます。

各ステージで、システムは以下を実行します。





損失イベントのライフサイクルでは、以下のステージを使用します。

v 新規

v 未着手

v 承認待ち


v 承認待ち L1

v 承認待ち L2

v 完了

損失イベントが作成されると、システムによりライフサイクルが「新規」ステージに設定され、最初のライフサイクル担当者に E メールが送信されます。ユーザーがタスクを完了すると、トリガーによりそのオブジェクトは次のタスクおよび次のユーザーに移動します。遷移ごとに、ユーザーはコメントを追加できます。遷移が実行されるのは、ユーザーが詳細ビューで損失イベントオブジェクトを開き、「ライフサイクル」>「<遷移アイコン>」をクリックしたときです。ステージにより表示される遷移アイコンが決まります。

重要: OpenPages バージョン 7.2.0.1 より前のバージョンには、損失イベント・オブジェクト用のトリガーがありました。このトリガーは、日付フィールドを検証し、ユーザーが「OPSS-LossEv:Submit」フィールドを「はい」に設定した時点で損失イベントの承認担当者フィールドにデータを設定するためのものでした。OpenPages 7.2.0.1 以降のバージョンでは、このトリガーはライフサイクルが「未着手」から「送信」に遷移されると実行されるようになりました。したがって、このトリガーは、「OPLC-Std:LCTransition」フィールドの値が「送信」になると実行されます。損失イベントの「OPSS-LossEv:Submit」フィールドは、不要になりました。

2 つ目のトリガーは、クローズ時に損失イベントとその子イベントをロックするために存在しました。OpenPages バージョン 7.2.0.1 より前のバージョンでは、このトリガーはフィールド「OPLC-LossEv:Status」の値が「承認」に設定されると実行されていました。OpenPages バージョン 7.2.0.1 以降では、このトリガーは「OPLC-Std:LCStage」フィールドの値が「完了」に設定されると実行されます。

以下の表に、システムが損失イベントを処理してライフサイクルの担当者を設定する方法を要約します。「遷移」アイコン列に記載されているのは、内部統制上の課題詳細ビューに表示される「ライフサイクル」>「<遷移アイコン>」の名前です。ユーザーがこのアイコンをクリックすると、次のステージへの遷移がトリガーされます。

表 26. 損失イベントのライフサイクル・プロセスおよびステージ責任者


新規責任者開始未着手未着手

未着手責任者送信完了完了

未着手責任者送信承認待ち承認待ち

未着手責任者送信承認待ち L1 承認待ち L1

承認待ち承認担当者承認を拒否未着手承認を拒否

承認待ち承認担当者 1 ステージのクローズ完了 1 つのレベルを承認

承認待ち L1 承認担当者 L2 承認用に送信エスカレーション・レビューエスカレーション・レビュー

承認待ち L1 承認担当者 L1 承認を拒否未着手 L1 の承認を拒否

承認待ち L2 承認担当者 L2 2 ステージのクローズ完了 2 つのレベルを承認


表 26. 損失イベントのライフサイクル・プロセスおよびステージ責任者 (続き)


承認待ち L2 承認担当者 L2 L1 承認に返送 (SendBack to L1 Approval)

承認待ち L1 L1 に返送

承認待ち L2 承認担当者 L2 L2 承認を拒否未着手 L2 の承認を拒否

「送信」の遷移が実行されると、このトリガーは、損失総額と、当該の損失イベントに最も近い拠点に関連付けられている設定レコードで指定されているしきい値を比較します。損失総額がしきい値 1 未満である場合、その損失イベントは「完了」ステージへと遷移します (これは、損失イベント 0 ステージのライフサイクルです)。

損失イベントの損失総額がしきい値 1 を超えており、かつしきい値 2 未満である場合、設定レコードから「承認担当者」フィールドがその損失イベントへとコピーされます。その損失イベントは「承認待ち」ステージへと遷移します (これは、損失イベント 1 ステージのライフサイクルです)。デフォルトでは、トリガーは期限を送信日から 14 日後に設定します。

損失総額がしきい値 2 を超える損失イベントの場合、設定レコードから「承認担当者」および「承認担当者 L2」の両方のフィールドがその損失イベントへとコピーされます。損失イベントは「承認待ち L1」ステージへと遷移されます (これは、損失イベント 2 ステージのライフサイクルです)。デフォルトでは、トリガーは期限を送信日から 14 日後に設定します。

損失イベントが「未着手」ステージに再度遷移されると、「送信」時にトリガーが再実行されます。損失総額が変更されている場合は、ライフサイクルが変更される場合があります。損失イベントが「完了」ステージに遷移されると、トリガーは終了し、子の影響および回収のすべてをロックします。次に、トリガーは損失イベントをロックします。

損失イベント通知

損失イベント通知では、損失イベントが作成されたとき、および損失イベントのライフサイクルの各遷移について、ライフサイクル担当者に E メールが送信されます。ユーザーが、損失イベントの詳細ビューで、遷移アイコン (「ライフサイクル」>「開始」、「送信」、「承認を拒否」、「1 ステージのクローズ」、「L2 承認用に送信」、「L1 承認を拒否」、「2 ステージのクローズ」、「L1 承認に返送(Send Back to L1 Approval)」、または「L2 承認を拒否」) をクリックすると、遷移が実行されます。

損失イベント通知は、損失イベント・ライフサイクル・トリガーによって開始されます。E メール通知には、ステージ、ステータス、期限、コメント、および損失イベントへのリンクが含まれています。

損失イベントへのリンクは OpenPages の詳細ページにすることも、承認アプリケーションにすることも、その両方にすることもできます。含めるリンクは、損失イベントの「アプリケーション・データ (AppData)」フィールドの選択リストによって定義され、「ステージ」フィールドによって制御されます。


損失イベントと GRC ワークフロー

損失イベントに対して、構成可能なライフサイクルとワークフローの両方を使用できますが、それらの相互作用と競合箇所を考慮する必要があります。詳しくは、「IBM OpenPages GRC 管理者ガイド」の『GRC ワークフローの構成』を参照してください。

「ライフサイクル」ボタンを制御する条件ライフサイクルを使用するオブジェクトが、詳細ビューまたはアクティビティー・ビューで開かれると、現行ユーザーおよびオブジェクトのライフサイクル情報に基づいて、「ライフサイクル」 > 「<遷移アイコン>」ボタンが表示されるか、または非表示になります。

表示されるのは、以下の条件をすべて満たしている場合です。

v レポート対象期間が現在のレポート対象期間である

v オブジェクト・タイプに対して以下のフィールドが定義されている:LCStage、LCTransition、LCAssignee、LCComment、および LCAppData

v LCStage に、空でない値が設定されている

v 1 つ以上の遷移が、選択リスト依存関係により現在の LCStage 値にマップされている

v 現行ユーザーが LCAssignee 内で設定されており、LCAssignee に設定されたグループのメンバーであるか、またはオブジェクトに対する明示的な書き込み権限を持っている

条件が 1 つでも満たされない場合、ボタンは非表示になります。

「ライフサイクル」ボタンは、ライフサイクル・プロセスに干渉する変更が行われると非表示になります。オブジェクト・インスタンスが既に存在するときに、オブジェクト・タイプにフィールドを追加すると、新規フィールドにデフォルト値は割り当てられません。LCStage や LCAssignee などのフィールドは、既存のインスタンスで有効な値が設定されていない可能性があります。「ライフサイクル」ボタンを非表示にすることで、新しいライフサイクルが、既存のオブジェクト・インスタンスの前のライフサイクルを中断しないようにします。

1 つのオブジェクト・タイプにワークフローと構成可能なライフサイクルの両方が存在する場合は、タスク中心 UI のタスク・ビューにあるワークフローの「アクション」ボタンが、ライフサイクルの「アクション」ボタンよりも優先されます。詳しくは、「IBM OpenPages GRC 管理者ガイド」の『GRC ワークフローの構成』を参照してください。

統制活動ライフサイクル・トリガートリガーにより、統制活動を認証ライフサイクル内で移動させることができます。ライフサイクルには、あるオブジェクト・タイプが進むことができるステージが定義されます。各ステージで、システムは以下を実行します。






統制活動のライフサイクルでは、以下のステージを使用します。

v 新規

v 進行中

v 認証

v 完了

統制活動が作成されると、システムによりライフサイクルが「新規」ステージに設定され、最初のライフサイクル担当者に E メールが送信されます。ユーザーがタスクを完了すると、トリガーによりそのオブジェクトは次のタスクおよび次のユーザーに移動します。遷移ごとに、ユーザーはコメントを追加できます。遷移が実行されるのは、ユーザーが詳細ビューで統制活動オブジェクトを開き、「ライフサイクル」>「<遷移アイコン>」をクリックしたときです。ステージにより表示される遷移アイコンが決まります。

以下の表に、システムが統制活動を処理してライフサイクルの担当者を設定する方法を要約します。「遷移」アイコン列に記載されているのは、統制活動詳細ビューに表示される「ライフサイクル」>「<遷移アイコン>」の名前です。ユーザーがこのアイコンをクリックすると、次のステージへの遷移がトリガーされます。

表 27. 統制活動のライフサイクル・プロセスおよびステージ責任者


新規統制活動の責任者開始進行中進行中

進行中統制活動の責任者認証を得るために送信認証認証中

認証統制の認証者送り返す進行中認証が拒否されました

認証統制の認証者認証完了完了

完了 (未割り当て) 再オープン進行中再開

統制活動通知

統制活動通知では、統制活動が作成されたとき、および統制活動ライフサイクルの各遷移について、ライフサイクル担当者に E メールが送信されます。遷移が実行されるのは、ユーザーが統制活動詳細ビューで遷移アイコン (「ライフサイクル」>「開始」、「認証を得るために送信」、「送り返す」、「認証」、または「再オープン」) をクリックしたときです。

統制活動通知は、統制活動ライフサイクル・トリガーによって開始されます。E メール通知には、ステージ、ステータス、期限、コメント、および統制活動へのリンクが含まれています。

統制活動へのリンクは、OpenPages の詳細ページにすることも、承認アプリケーションにすることも、その両方にすることもできます。含めるリンクは、統制活動の「アプリケーション・データ (AppData)」フィールドの選択リストによって定義され、「ステージ」フィールドによって制御されます。


インシデント・ライフサイクルのトリガートリガーにより、インシデントを調査ライフサイクル内で移動させることができます。ライフサイクルには、あるオブジェクト・タイプが進むことができるステージが定義されます。各ステージで、システムは以下を実行します。





インシデントのライフサイクルでは、以下のステージを使用します。

v 新規

v 進行中

v レビュー

v エスカレーション

v エスカレーション・レビュー

v 完了

インシデントが作成されると、システムによりライフサイクルが「新規」ステージに設定され、最初のライフサイクル担当者に E メールが送信されます。ユーザーがタスクを完了すると、トリガーによりそのオブジェクトは次のタスクおよび次のユーザーに移動します。遷移ごとに、ユーザーはコメントを追加できます。遷移が実行されるのは、ユーザーが詳細ビューでインシデント・オブジェクトを開き、「ライフサイクル」 > <遷移アイコン> をクリックしたときです。ステージにより表示される遷移アイコンが決まります。

以下の表に、システムがインシデントを処理してライフサイクルの担当者を設定する方法を要約します。「遷移」アイコン列に記載されているのは、インシデント詳細ビューに表示される「ライフサイクル」 > 「<遷移アイコン>」の名前です。ユーザーがこのアイコンをクリックすると、次のステージへの遷移がトリガーされます。

表 28. インシデントのライフサイクル・プロセスおよびステージ責任者


新規プライマリー責任者開始進行中進行中

進行中プライマリー責任者レビュー用に送信レビューレビュー実施中

エスカレートエスカレーションエスカレート済み

レビューレビューアーレビューの却下進行中レビューを拒否

レビュー完了完了完了

エスカレーション

ビジネス責任者エスカレーション・レビュー用に送信

エスカレーション・レビューエスカレーション・レビュー

エスカレート取り下げ進行中エスカレーション取り下げ


表 28. インシデントのライフサイクル・プロセスおよびステージ責任者 (続き)


エスカレーション・レビュー

レビューアーエスカレーション・レビュー完了

完了エスカレート済みかつ完了

エスカレーション・レビュー却下

エスカレーションエスカレーション・レビュー却下

完了なし再オープン進行中再開

アンケート評価ライフサイクル・トリガーアンケート評価は、組織のビジネス・ユーザーから情報を収集するための手段です。トリガーにより、アンケート評価をライフサイクル内で移動させる遷移が提供されます。ライフサイクルには、あるオブジェクト・タイプが進むことができるステージが定義されます。各ステージで、システムは以下を実行します。





ライフサイクルはプログラムで選択されます。次のいずれかになります。

v 2 ステージ: 情報収集、完了

v 3 ステージ: 情報収集、レビュー、完了

v 4 ステージ: 情報収集、レビュー、承認、完了

プログラムが起動されると、システムによりプログラム内の従業員、リソース、プロセス、サブプロセス、ベンダー、またはエンゲージメントごとに 1 つのアンケート評価が作成されます。ライフサイクルが「情報収集」ステージに設定され、最初のライフサイクル担当者に E メールが送信されます。ユーザーがタスクを完了すると、トリガーによりそのオブジェクトは次のタスクおよび次のユーザーに移動します。遷移ごとに、ユーザーはコメントを追加できます。遷移が実行されるのは、ユーザーがアンケート UI でアンケート評価を処理したときです。同じ担当者のままである場合を除き、各遷移で E メールが送信されます。デフォルトでは、アンケート評価が完了ステージに遷移したときに、E メールは送信されません。

以下の表に、アンケート評価のライフサイクルを要約します。「遷移アイコン」列に記載されているのは、アンケート UI に表示されるアイコンの名前です。ユーザーがこのアイコンをクリックすると、次のステージへの遷移がトリガーされます。

表 29. アンケート評価のライフサイクル・プロセス

ライフサイクルステージ遷移アイコン次のステージ次のステータス

2 ステージ情報収集送信して閉じる完了完了

3 ステージ情報収集送信レビューレビュー実施中


表 29. アンケート評価のライフサイクル・プロセス (続き)

ライフサイクルステージ遷移アイコン次のステージ次のステータス

レビュー「アクション」 > 「却下」

情報収集却下

「アクション」 > 「承認して閉じる」

完了完了

4 ステージ情報収集送信レビューレビュー実施中

レビュー「アクション」 > 「却下」

情報収集却下

「アクション」 > 「承認のために送信」

承認承認中

承認「アクション」 > 「却下」

レビュー承認を拒否

「アクション」 > 「承認」

完了承認

アンケート評価では、基本となる資産によって、システムがライフサイクルの担当者を設定する方法が決まります。以下の表に、ライフサイクルの担当者が決定される方法を要約します。

表 30. アンケート評価のライフサイクルの担当者

ライフサイクルステージリソース

プロセス/サブプロセス従業員ベンダー

エンゲージメント

2 ステージ

情報収集プライマリー責任者

責任者従業員アカウント

ベンダー責任者エンゲージメント責任者

完了 - - - - -

3 ステージ




レビュープログラム責任者

プログラム責任者

従業員マネージャー

ベンダー - 事業部責任者


完了 - - - - -

4 ステージ




レビュービジネス責任者ビジネス責任者従業員マネージャー



承認プログラム責任者





完了 - - - - -


規程のインポート・トリガー規程のインポート・トリガーは、構造化された Microsoft Word 文書のさまざまなセクションを解析することによって、その文書から IBM OpenPages GRCPlatform の規程およびプロシージャーのフィールドに規程およびプロシージャーのコンテンツをインポートします。これは、規程オブジェクトに添付ファイルをチェックインすることによって起動されます。

このトリガーは、規程管理への混合型アプローチをサポートします。また、新しい規程文書がチェックインされたときの文書中心アプローチにおけるバージョン番号の更新もサポートします。さらに、このトリガーはインポート・プロセスの一部として、Word 文書の構造が定義済みの規程テンプレートに確実に準拠するように広範囲の検証も実行します。

OpenPages GRC Platform または顧客は、レジストリーおよびアプリケーション・テキスト設定を使用して、このコンポーネントが顧客の方法論に沿って動作するように構成できます。

IBM OpenPages Policy and Compliance Management 規程のインポート・トリガーには、以下の既知の制約があります。

v 箇条書きリストは、黒丸および白丸の箇条書き形式のみをサポートします。

v 番号付きリストは、10 進数、大文字の英字、小文字の英字、大文字のローマ数字、小文字のローマ数字のみをサポートします。

v 記号フォントはサポートされていません。「記号の挿入」オプションを使用して、標準フォントを使用する記号 (著作権記号など) を選択することができます。

v Wingdings フォントはサポートされていません。

v 「網掛け (Shading)」メニューから網掛けを設定できません。次善策として、同様の効果があるテキストの強調表示を使用してください。(.doc のみ)

v FORMDROPDOWN の値は表示されません。(.doc のみ)

v 番号付きリストは、区切り文字として常にピリオドを使用します。例えば、Word 文書のリスト項目が「1)」のような場合、インポート後には「1.」になります。

v .doc の場合、リスト項目マーカーのスタイルは、そのリストのテキスト・コンテンツから推測されます。マーカーのフォント・ファミリーとフォント・サイズは、リスト項目の最初のテキストに一致します。太字、イタリック、色付きに関して、リスト項目のすべてのテキストが同じスタイルの場合は、マーカーもそれと同じスタイルになります。

v 画像、ワードアート、および図はサポートされていません。

v 目次のインポートはサポートされていません。

v すべての下線スタイルは、単一の実線として表示されます。

v スタイル内で定義された上付き文字と下付き文字は、サポートされません (.docのみ)。次善策としては、スタイルを使用する代わりに「フォント」メニューから下付き文字や上付き文字を適用します。

v 書式設定は、カスタム・スタイルと矛盾するものをオーバーライドします。例えば、カスタム・スタイルに「強調太字」テキスト・フォーマットが含まれている


場合、ユーザーが文書内のテキストの太字を手動で解除しても、強調太字スタイルが設定されているテキストは太字で表示されます。(.doc のみ)

v タブは、デフォルトで 4 つの空白文字になります。タブは文書の位置決めに基づくため、これが文書内でのスペース設定に等しいとは限りません。コンテンツの位置合わせには、インデントを使用するのが適切です。

v リストのぶら下げインデント (つまり、最初の行のインデント) は、リスト・アイテム・マーカーの幅が変わるため、完全な整列は保証されません。

v リスト内で、箇条書き、リスト、およびインデントの作成技法が混在すると、アイテムが正しく整列せず、アイテムの番号付けが不正確な結果となることがよくあります。

v 間隔を開けるために Enter キーを複数回押しても、余分な間隔として表現されません。

v サポートされない機能:

– 縦書きと横書きの切り替え

– 二重取り消し線

– エンボス、浮き彫り、影テキスト

– 文字の効果

– 傍点

– カスタム・テキスト間隔

– 影付きの罫線

– セルの斜め罫線 (右上がり)

ポリシー・ロック・トリガーポリシー・ロック・トリガーは、レビューおよび承認プロセスのさまざまな時点で、規程をロックするか、規程とそのコンポーネント (プロシージャー、添付ファイル、規程レビュー・コメント) をロックします。このトリガーは、規程管理への3 つのアプローチ (データ中心、混合型、文書中心) すべてをサポートします。

ロック・トリガーは、次の 2 つのユース・ケースをサポートします。

v 規程コンテンツを承認中に変更できないように、レビューと承認のサイクルに投入されている規程をサポートするためにポリシー添付をロックします (混合型と文書中心のアプローチで利用可能です)。

v 規程が最終承認され、公開の準備ができた後、規程原案の階層全体 (規程、プロシージャー、添付ファイル、および規程レビュー・コメント) をロックします (3つの規程アプローチすべてで利用可能です)。

お客様が使用している方法に沿って適切に動作するように、レジストリーとアプリケーション・テキストの設定を使用して、このコンポーネントを構成することができます。

リスク評価の監査の計算トリガーリスク評価の監査の計算トリガーは、リスク・オブジェクトの固有リスク評価の監査フィールド値および残存リスク評価の監査フィールド値の計算と保守を行います。


RCSA 定量的トリガーと RCSA 質的トリガーは、リスク評価の監査の計算トリガーに適用されます。

監査完了自動化トリガー監査完了自動化トリガーは、監査の構成された各コンポーネントの完了準備を評価します。デフォルトでは、トリガーは、監査、監査セクション、調書、結果、監査レビュー・コメント、計画、およびタイムシートの各オブジェクト・タイプに対して構成されます。

構成されたオブジェクト・タイプのインスタンスが作成または更新されると、トリガーはそのオブジェクト・タイプに対して構成されたすべての基準を評価します。すべての基準が満たされている場合、トリガーは「完了の準備済み」フィールドの値を「はい」に設定します。このフィールド値は、すべての監査コンポーネントが完了の準備済みかどうかを監査完了ヘルパーが判別するために使用されます。

構成された、完了の準備済みの基準カテゴリーには、必須フィールド、今日の日付以前に設定する必要がある日付フィールド、他の日付フィールド値の日付以前に設定する必要がある日付フィールド、および他のユーザー・フィールドと同じ設定ができないユーザー・フィールドが含まれます。


第 8 章プロファイル

IBM OpenPages GRC Platform ソリューションには、複数のプロファイルが含まれています。

デフォルトで、各ソリューション用のマスター・プロファイルが提供されています。マスター・プロファイルには、当該ソリューションに必要なすべてのフィールドおよび構成が含まれています。以下のリストに、マスター・プロファイルを示します。

v 『OpenPages VRM マスター・プロファイル』 - IBM OpenPages Vendor RiskManagement

v 88 ページの『OpenPages RCM マスター・プロファイル』 - IBM OpenPagesRegulatory Compliance Management

v 88 ページの『OpenPages MRG マスター・プロファイル』 - IBM OpenPagesModel Risk Governance

v 88 ページの『OpenPages FCM マスター・プロファイル』 - IBM OpenPagesFinancial Controls Management

v 89 ページの『OpenPages ORM マスター・プロファイル』 - IBM OpenPagesOperational Risk Management

v 91 ページの『OpenPages PCM マスター・プロファイル』 - IBM OpenPagesPolicy and Compliance Management

v 92 ページの『OpenPages ITG マスター・プロファイル』 - IBM OpenPagesIT Governance

v 92 ページの『OpenPages IAM マスター・プロファイル』 - IBM OpenPagesInternal Audit Management

OpenPages GRC Platform のすべてのデフォルト・ソリューションをインストールすると、OpenPages マスター・プロファイルのソリューションも同じくインストールされます。

OpenPages Operational Risk Management には、ソリューション固有の以下のプロファイルも含まれています。

v 89 ページの『ORM オペレーショナル・リスク・チーム・プロファイル』

v 90 ページの『ORM ビジネス・ユーザー・プロファイル』

v 90 ページの『ORM 簡易ユーザー・プロファイル』

v 91 ページの『OpenPages FIRST 損失プロファイル』

OpenPages VRM マスター・プロファイルOpenPages VRM マスター・プロファイルには、IBM OpenPages Vendor RiskManagement に必要なフィールドおよび構成が含まれています。

このプロファイルには以下のコンポーネントが含まれています。

v フィルター

87

v 「自分の作業」タブ、「ダッシュボード」タブ、およびすべてのホーム・ページ・タブ

v 従属フィールドおよび従属選択リスト

v 詳細、コンテキスト、フォルダー、概要、フィルターが設定されているリスト、およびリスト・ビュー

このプロファイルをサポートするのは、VRM Vendor Manager および VRMVendor という 2 つの追加プロファイルです。VRM Vendor Manager プロファイルは、ベンダーを管理する責任があるユーザーを対象としています。VRM Vendorプロファイルは、ベンダー・コンタクトとしての役割を果たし、アンケート評価に回答する責任があるユーザーを対象としています。

OpenPages RCM マスター・プロファイルOpenPages RCM マスター・プロファイルには、IBM OpenPages RegulatoryCompliance Management に必要なフィールドおよび構成が含まれています。



v 従属フィールド

v 詳細、コンテキスト、フォルダー、フィルターが設定されているリスト、およびリストの各ビュー

OpenPages MRG マスター・プロファイルOpenPages MRG マスター・プロファイルには、IBM OpenPages Model RiskGovernance に必要なフィールドおよび構成が含まれています。



v 従属フィールド

v 詳細、コンテキスト、フォルダー、フィルターが設定されているリスト、およびリストの各ビュー

モデル責任者、モデル・エグゼクティブ、モデル・レビューアー、およびその他のユーザーと共に使用するこのプロファイルのサブセットが、実装プロジェクト時に作成されます。

OpenPages FCM マスター・プロファイルOpenPages FCM マスター・プロファイルには、IBM OpenPages FinancialControls Management に必要なフィールドおよび構成が含まれています。


v フィルター




v アクティビティー、詳細、コンテキスト、フォルダー、概要、フィルターが設定されているリスト、グリッド・ビュー、およびリスト・ビュー。

プロセス責任者、統制テスト担当者、およびその他のユーザーが使用するこのプロファイルのサブセットが、実施プロジェクト時に作成されます。

OpenPages ORM マスター・プロファイルOpenPages ORM マスター・プロファイルには、IBM OpenPages OperationalRisk Management に必要なフィールドおよび構成が含まれています。


v フィルター



v アクティビティー、詳細、コンテキスト、フォルダー、概要、フィルターが設定されているリスト、およびリスト・ビュー

詳しくは、以下のトピックを参照してください。

v 93 ページの『ホーム・ページ・フィルターが設定されているリスト』

v 101 ページの『アクティビティー・ビュー』

v 108 ページの『グリッド・ビュー』

ORM オペレーショナル・リスク・チーム・プロファイルORM オペレーショナル・リスク・チーム・プロファイルには、IBM OpenPagesGRC Platform の大部分の機能を使用するがライブラリー ID とオブジェクトの状況フィールドの読み取り権限を持たないパワー・ユーザーが必要とする構成が含まれています。

このプロファイルのユーザーは、以下のイベントを実行することができます。

v プロセスの維持

v リスクおよび統制ライブラリーの管理

v RCSA のスコープ設定の実行

v RCSA プロセスの実行および監視

v 損失イベントの管理、レビュー、および監視

v KRI の定義と取り込み

v 課題およびアクションのクローズの管理

v シナリオ分析の調整


v フィルター

第 8 章プロファイル 89








ORM ビジネス・ユーザー・プロファイルORM ビジネス・ユーザー・プロファイルには、リスク管理者が必要とする、業務処理で使用するためのフィールドと構成が含まれています。このユーザーは、Operational Risk Management のほとんどのアクティビティーに関与するアクティブな参加者です。

このプロファイルのユーザーは、以下の項目を変更することができます。

v 損失イベントの記録

v RCSA のスコープ設定の実行

v リスク評価の承認

v 重要リスク評価指標の取り込み

v 課題およびアクションのクローズの管理

v シナリオ・ワークショップへの参加


v フィルター








ORM 簡易ユーザー・プロファイルORM 簡易ユーザー・プロファイルにより、ユーザーは損失イベント、KRI 値の取り込み、および課題管理に焦点を合わせることができます。


v フィルター









OpenPages FIRST 損失プロファイルOpenPages FIRST 損失プロファイルに含まれているフィールドと構成により、IBMOpenPages FastMap 機能を使用して簡単に FIRST 損失データを IBM OpenPagesOperational Risk Management にロードできます。

このプロファイルのユーザーは、データをロードできるようにするために、FIRST損失オブジェクトのすべてのフィールドを編集できます。このプロファイルは、FastMap を使用した FIRST 損失データのロードを担当するユーザーにのみ割り当ててください。その他のすべてのユーザーには、FIRST 損失オブジェクトへの読み取り専用権限を割り当ててください。

必ずしもこのプロファイルをユーザーに割り当てる必要がないことに注意してください。代わりに、OpenPages FIRST 損失プロファイルを使用してロードするように、FIRST 損失データを含む FastMap スプレッドシートを構成できます。

このプロファイルには以下の機能があります。


v 従属選択リスト

v 詳細、コンテキスト、フォルダー、概要、フィルターが設定されているリスト、およびリスト・ビュー

OpenPages PCM マスター・プロファイルOpenPages PCM マスター・プロファイルには、IBM OpenPages Policy andCompliance Management に必要なフィールドおよび構成が含まれています。


v フィルター



v 計算済みフィールド

v アクティビティー、詳細、コンテキスト、フォルダー、概要、フィルターが設定されているリスト、グリッド・ビュー、およびリスト・ビュー


コンプライアンス・プログラム・マネージャー、プライバシー管理者、およびその他のユーザーにとって適切なこのプロファイルのサブセットが、実施プロジェクト時に作成されます。





OpenPages ITG マスター・プロファイルOpenPages ITG マスター・プロファイルには、IBM OpenPages IT Governanceに必要なフィールドおよび構成が含まれています。


v フィルター





IT ライフラリー管理者、IT ディレクター、およびその他のユーザーに適切なこのプロファイルのサブセットが、実施プロジェクト時に作成されます。





OpenPages IAM マスター・プロファイルOpenPages IAM マスター・プロファイルには、IBM OpenPages Internal AuditManagement に必要なフィールドおよび構成が含まれています。


v フィルター






リード監査人、監査ディレクター、およびその他のユーザーの各プロファイルに適切なこのプロファイルのサブセットが、実施プロジェクト時に作成されます。


v 『ホーム・ページ・フィルターが設定されているリスト』



ホーム・ページ・フィルターが設定されているリスト以下の表に、各プロファイルの「自分の作業」ホーム・ページ用に定義された、フィルターが設定されているリストを示します。

以下の表に、各ソリューションで提供されるプロファイルに定義されている、フィルターが設定されているリストを示します。

この表の各列には、以下のプロファイルを示す略語が記載されています。


v RCM = RCM マスター・プロファイル

v MRG = MRG マスター・プロファイル

v FCM = FCM マスター・プロファイル

v ORM = ORM マスター・プロファイル

v Risk: ORM オペレーショナル・リスク・チーム・プロファイル

v BU: ORM ビジネス・ユーザー・プロファイル

v SU: ORM 簡易ユーザー・プロファイル

v PCM = PCM マスター・プロファイル

v ITG = ITG マスター・プロファイル

v IAM = IAM マスター・プロファイル

表 31. ホーム・ページ・フィルターが設定されている、OpenPages GRC プロファイルのリスト

オブジェクト・タイプ

フィルター

ホーム・ページ・フィルターが設定されているリストの説明 VRM RCM MRG FCM ORM

リスク BU SU PCM ITG IAM

内部統制上の課題

自分の未着手の課題

ログオン・ユーザーによって所有され、是正が必要な未着手の課題のリストです。

X X X X X X X X X

テストの結果

不合格テスト結果

失敗したテストの結果にアクセスするホーム・ページです。

X


表 31. ホーム・ページ・フィルターが設定されている、OpenPages GRC プロファイルのリスト (続き)


フィルター



アクション・アイテム

承認待ちのアクション

承認待ちのアクション・アイテムのリストを提供します。このリストは、ログオン・ユーザーが課題の責任者であるアクション・アイテムを表示します。

X


自分の未着手アクション・アイテム

ユーザーに割り当て済みで、まだ完了していないアクション・アイテムのリストです。

X


未着手の課題

ユーザーの未着手の課題を表示します。

X X X

KRI 値

入力待ちの KRI

状況が「収集待ち」で、予想収集日が今後 7 日間または最後の 365 日間のいずれかである KRI値のリストを返します。また、KRI コレクターがログオン・ユーザーに設定されていることも必要です。

X X X

KRI 値

違反状態の自分の KRI

ログオン・ユーザーによって所有され、違反状況が赤であるすべての KRI を返します。

X X X

KRI 値

承認待ちの自分の KRI

収集状況が「承認待ち」で、KRI 担当者がログオン・ユーザーと同じであるKRI 値を返します。

X X X




フィルター



KPI 値

入力待ちの KPI

状況が「収集待ち」で、予想収集日が今後 7 日間または最後の 365 日間のいずれかである KPI値のリストを返します。また、KPI コレクターがログオン・ユーザーに設定されていることも必要です。

X X X

KPI 値

承認待ちの自分の KPI

収集状況が「承認待ち」で、KPI 担当者がログオン・ユーザーと同じであるKPI 値を返します。

X X X

KPI 値

違反状態の自分の KPI

ログオン・ユーザーによって所有され、違反状況が赤であるすべての KPI を返します。

X X X

損失イベント

承認待ちのイベント

ホーム・ページは、状況が「承認待ち」または「承認待ちL2」である損失イベントを表示し、承認担当者 L1 または承認担当者 L2 がログオン・ユーザーです。

X X X

損失イベント

1M 以上の未着手損失イベント

未着手である、大規模な損失イベントにアクセスするホーム・ページです。

X X X

プロセス

承認待ちのプロセス

ログオン・ユーザーによって所有され、状況が「承認待ち」のプロセスすべてのリストを返します。

X X X

リスク

評価待ちのリスク

ログオン・ユーザーによって所有され、状況が「評価待ち」のすべてのリスクを返します。

X X X




フィルター




自分のリスクの評価と対応

ユーザーのリスクの評価と対応にアクセスするホーム・ページです。

X X

KRI

KRI 違反

違反状況が赤であるKRI にアクセスするホーム・ページです。

X X X X


自分のアクション・アイテム

アクション・アイテムにアクセスするホーム・ページです。

X X X X


承認待ちの是正

ユーザーの承認待ちの是正アイテムにアクセスするホーム・ページです。

ユーザーは、承認待ちのアイテムと、実施するアクションについて通知されます。アクションが完了するまで時間がかかる場合は、更新状況を追跡するためのコメントを追加します。アクションが完了したら、「クローズのために送信(Submit forClosure)」フィールドに「はい」を設定します。

X X X X

損失イベント

自分のオープン・イベント

状況が「未着手」で、イベント責任者がログオン・ユーザーである損失イベントのリストを表示します。

X X X X

認証

認証例外要求

レビューが必要である、要求された認証例外事項にアクセスするホーム・ページです。

X




フィルター



認証

自分の認証

完了予定である、ユーザーの規程の認証にアクセスするホーム・ページです。これは、規程認知度ビューを起動するリンクを含みます。

X

インシデント

重要なコンプライアンス・インシデント

優先順位評価が重要であるコンプライアンス・インシデントにアクセスするホーム・ページです。

X

すべての未着手インシデント

自分の未着手インシデント

未着手インシデントにアクセスするホーム・ページです。

X X


自分の規程レビュー・コメント

未着手である、ユーザーの規程レビュー・コメントにアクセスするホーム・ページです。これは、規程のレビュー・ビューを起動するリンクを含みます。

X


自分の承認待ち規程

未着手である、ユーザーの規程承認の要求にアクセスするホーム・ページです。これは、規程のレビュー・ビューを起動するリンクを含みます。

X


自分のレビュー待ち規程

未着手である、ユーザーの規程レビュー要求にアクセスするホーム・ページです。

X

アンケート

完了予定の自分のアンケート

完了予定である、ユーザーのアンケートにアクセスするホーム・ページです。

X




フィルター



自分のアンケート評価

レビュー実施中

承認中

情報収集中

各ライフサイクル・ステージにあるアンケート評価にアクセスするホーム・ページです。

X X X X X X X X

法的変更

影響が強い自分の未着手の法的変更

未着手である、影響が強いと評価された、ユーザーの法的変更にアクセスするホーム・ページです。

X

法的タスク

自分の法的タスク

注意が必要な、ユーザーの法的タスクにアクセスするホーム・ページです。

X

RI 要求

ミーティング要求

ユーザーがビジネス責任者である規制ミーティング要求にアクセスするホーム・ページです。

X

RI 要求

オンサイト要求

ユーザーがビジネス責任者である規制オンサイト要求にアクセスするホーム・ページです。

X

RI 要求

作業前要求

ユーザーがビジネス責任者である規制作業前要求にアクセスするホーム・ページです。

X

規程

自分の規程原案

ユーザーが作成者である規程原案にアクセスするホーム・ページです。これは、規程の作成ヘルパーを起動するリンクを含みます。

X




フィルター



規程

自分の公開後の規程

ユーザーが作成者である公開後の規程にアクセスするホーム・ページです。これは、規程の表示ヘルパーを起動するリンクを含みます。

X

KPI

KPI 違反

違反状況が赤であるKPI にアクセスするホーム・ページです。

X X

監査

進行中の自分の監査

ユーザーが所有し、これから作業する可能性がある監査にアクセスするホーム・ページです。

X

監査レビュー・コメント

自分の未着手監査レビュー・コメント

ユーザーが責任者である、アクションが必要な監査レビュー・コメントにアクセスするホーム・ページです。

X

結果

自分のレビュー待ち結果

ユーザーがレビューアーである未着手の結果にアクセスするホーム・ページです。

X

結果

自分の未着手の結果

ユーザーが情報を準備した未着手の結果にアクセスするホーム・ページです。

X

調書

実施中の自分の調書

ユーザーが情報のレビューアーである、アクションが必要な調書にアクセスするホーム・ページです。

X

調書

自分のレビュー準備完了調書

ユーザーが情報を準備した、アクションが必要な調書にアクセスするホーム・ページです。

X




フィルター



統制計画

作成中の統制計画

作成中の統制計画にアクセスするホーム・ページです。

X

インシデント

重要な IT インシデント

未着手で重要な IT関連のインシデントにアクセスするホーム・ページです。

X

免除

期限切れの免除

今後 3 カ月以内に有効期限が切れる承認済み免除にアクセスするホーム・ページです。

X

免除

自分の免除承認

レビューが必要である、要求された認証例外事項にアクセスするホーム・ページです。

X

ベンダー

自分の戦略的ベンダー

自分の重要ベンダー

自分の高リスク・ベンダー

すべての戦略的ベンダー

すべての重要ベンダー

すべての高リスク・ベンダー

レビュー対象の重要ベンダー

ベンダーにアクセスするホーム・ページです。

X

インシデント

未着手のベンダー関連インシデント

ベンダーに関連したインシデントにアクセスするホーム・ページです。

X




フィルター



契約

今から 30 日以内に更新を迎える契約

今から 30 日以内に更新を迎える契約にアクセスするホーム・ページです。

X


自分の戦略的エンゲージメント

自分の重要エンゲージメント

自分の高リスク・エンゲージメント

すべての戦略的エンゲージメント

すべての重要エンゲージメント

すべての高リスク・エンゲージメント

レビュー対象の重要エンゲージメント

ベンダー・エンゲージメントにアクセスするホーム・ページです。

X

マイ・リソース

重要リソース

重要リソースにアクセスするホーム・ページです。

X

アクティビティー・ビュー以下の表に、各プロファイルに対して定義されているアクティビティー・ビューを示します。

以下の表に、各ソリューションで提供されるプロファイルに定義されているアクティビティー・ビューを示します。

この表の各列には、以下のプロファイルを示す略語が記載されています。

v FCM = FCM マスター・プロファイル

v ORM = ORM マスター・プロファイル


v Risk: ORM オペレーショナル・リスク・チーム・プロファイル

v BU: ORM ビジネス・ユーザー・プロファイル

v SU: ORM 簡易ユーザー・プロファイル

v PCM = PCM マスター・プロファイル

v ITG = ITG マスター・プロファイル

v IAM = IAM マスター・プロファイル

表 32. OpenPages GRC プロファイルのアクティビティー・ビュー


アクティビティー・ビュー名

アクティビティー・ビューの説明 FCM ORM Risk BU SU PCM ITG IAM

プロセス

統制評価

プロセスに基づくリスクおよび統制の自己評価の実施を促進します。

X

統制活動

統制テストの要約

統制の運用状況の有効性を示すのに使用されます。運用状況の有効性の判定を通知する、テスト計画およびテストの結果の情報を提供します。

X X X X X

アンケート

アンケート

アンケート、セクション、質問オブジェクト・モデルを使用してアンケートに応答するために使用されます。

X X X X X X

アンケート

アンケートの設定

アンケート、セクション、質問オブジェクト・モデルを使用してアンケートを作成したり、変更したりするために使用されます。

X X X X X

プロセス

RCSA の承認

リスクおよび統制の自己評価を承認するために、リスク・コーディネーターによって使用されます。

X X X X X

プロセス

プロセスの承認

リスクおよび統制それぞれの評価を確認するために、プロセス責任者によって使用されます。

X X X X X X X

シナリオ

シナリオ管理

シナリオの適用性を示すのに使用されます。

X X X


表 32. OpenPages GRC プロファイルのアクティビティー・ビュー (続き)




イベント

損失イベントの承認

承認のために送信されたイベントが有効で、損失イベントしきい値 1 より大きい場合、状況は「承認待ち」に変更されます。承認担当者は、イベントをレビューして承認または却下するように通知されます。

X X X X

KPI 値

KPI 値エントリー

KPI 値を入力したり、状況を収集済みに変更したりするのに使用されます。

X X X

KRI 値

KRI 値の承認

KRI 値を承認するのに使用されます。

X X X X X

KRI 値

KRI 値エントリー

KRI 値を入力したり、状況を収集済みに変更したりするのに使用されます。

X X X X X

KRI 値

KRI 値

KRI を定義した後、KRI 値が必須かどうかをシステムが判別します。KRI に「アクティブ」のマークが付けられている場合、KRI ヘルパーは値を生成します。KRI値が非アクティブとして設定されている場合、ユーティリティーは空白の値を生成しません。値オブジェクトは、最初は「収集待ち」状況のプレースホルダーとしてセットアップされます。

X X






イベント

損失イベントの管理

損失イベントの機能を使用して、ビジネス階層内のオペレーショナル・リスクの損失イベントの収集、分類、および保守を行うことができます。これにより、各イベントに関するもっとも重要なデータの入力や、適切な承認とアクションの実施を要求することで、損失イベントに関する情報が組織全体で一貫性を持って収集されることが確実に行われます。

X X X

プロセス

プロセス RCSA ビュー

リスクの評価と対応に基づく、リスクおよび統制の自己評価の実施を促進します。

X X X X X

KPI 値

KPI 値の承認

KPI 値を承認するのに使用されます。

X X X


RCSA ビュー

リスクの評価と対応に基づく、リスクおよび統制の自己評価の実施を促進します。

X X X

シナリオ

シナリオ承認

シナリオを承認するのに使用されます。

X

リスク

リスクおよび統制の評価

リスクの評価と対応は、組織がオペレーショナル・リスク内で使用するコア・プロセスであることがよくあります。これは、リスク・プロファイルを識別、評価し、定量化します。これにより、一貫性が確立され、組織全体のリスクを大局的に見ることができます。これは経営陣に意思決定支援を提供し、よりよい決定を推進し、アクションをもたらします。

X X X






認証

認証

認証オブジェクトの簡易ビューを提供します。規程の認証者など、適切なユーザーのデフォルト・ビューとして使用可能なビューのひな型として機能します。

X

規約

規制変更の概要

規約に対する法的変更、および変更の結果として必要とされる、対応する法的タスクの集約ビューを提供します。ユーザーはタスクの進行および状況を追跡することが可能です。

X

規程

キャンペーン・ステータスの概要

キャンペーンに対する未処理の認証を表示します。

X

規程

従業員規程例外要求

従業員規程例外要求を表示します。

X

規程

規程

規程オブジェクトの簡易ビューを提供します。規程の認証者など、適切なユーザーのデフォルト・ビューとして使用可能なビューのひな型として機能します。

X

規制者とのやり取り

規制尋問

やり取りのカテゴリーおよび規制者との複雑なやり取りに対する詳細要求をまとめた集約ビューを提供します。

X

監査

監査要約

各監査セクションを選択して、その調書と結果をすべて表示し、それから重要な情報を更新します。

X

監査

範囲マトリックス

監査可能拠点内のアクティビティーを特定し、各アクティビティーがこの監査の範囲内か範囲外かを判定します。範囲の判定を支援するために、各アクティビティーのリスクを参照します。

X






監査

範囲マトリックス・ビュー

読み取り専用として構成された、すべてのフィールドを含む範囲マトリックス・アクティビティー・ビューです。

X

監査

セクション編集チェックリスト

作業プログラムの集約ビューを提供し、緊急の監査セクションが監査用に更新されることを促進します。

X

監査

調書編集チェックリスト

調書の集約ビューを提供し、緊急の調書が監査用に更新されることを促進します。

X

監査可能拠点

すべてのレビュー・コメント

選択した監査と、そのセクション、調書、および結果に関連付けられたレビュー・コメントを表示します。

X

監査可能拠点

監査およびセクション

監査のセクションを表示し、予定開始日と予定終了日を更新します。

X

監査可能拠点

セクション・チェックリスト

作業プログラムのセクションの概要ビュー (読み取り専用) を提供します。

X

監査可能拠点

調書チェックリスト

作業プログラムの調書の概要ビュー (読み取り専用) を提供します。

X

拠点

監査計画

領域の各監査に対する予定日付、推定時間数、および交通費の入力を可能にします。状況が「完了」以外である、2008 以降の監査にフィルタリングされます。

X

調書

プロジェクト管理の更新

調書の状況を完結する場合に使用されます。

X

調書

プロジェクト管理の計画

調書の状況を完結する場合に使用されます。

X






調書

レビューと承認

調書をレビューする場合に使用されます。

X

調書

テストの実行

現場作業中に調書テストを実行する場合に使用されます。

X

調書

テスト計画

調書を計画する場合に使用されます。

X

基準

リスクの評価

IT 運用環境の基準についてリスクの評価と対応を実行するために使用されます。

X

基準

ベースラインの評価

IT 運用環境の基準についてリスクの評価と対応を実行するために使用されます。

X

拠点

デロイト規約

デロイトによって提供された各規約から主導されるすべての要件を表示します。

X

拠点

規約統制

選択された規約について、IT運用環境の関連付けられた統制のすべてを参照します。ある規約に対する統制の有効性の企業全体ビューを提供します。ライブラリー内の統制をフィルターで除外し、有効ではない統制または未確定の統制のみを含みます。

ライブラリーの拠点から実行してください。

X

拠点

UCF 規約

UCF によって提供された各規約から主導されるすべての要件を表示します。

X

統制計画

統制計画の評価

IT 運用環境の統制計画についてリスクの評価と対応を実行するために使用されます。

X

規約

デロイト規約の概要

下位規約のすべてを表示し、それぞれの下位規約に対して要件を表示します。デロイト・コンテンツに最適です。

X






規約

UCF 規約の概要

下位規約のすべてを表示し、それぞれの下位規約に対して要件を表示します。UCF コンテンツに最適です。

X

表 33. 「新規追加」ウィザードを起動するアクティビティー・ビュー




リスク

新規追加

「新規追加」ウィザードで使用されます。

X X X X

統制活動

新規追加


X X X X

調書

新規追加


X

グリッド・ビュー以下の表に、各プロファイルに対して定義されているグリッド・ビューを示します。






IBM OpenPages Operational Risk Management プロファイルは、以下に示すソリューション固有のプロファイルのグリッド・ビューをすべてサポートします。

v ORM オペレーショナル・リスク・チーム・プロファイル

v ORM ビジネス・ユーザー・プロファイル

v ORM 簡易ユーザー・プロファイル

v ORM マスター・プロファイル


表 34. 各ソリューションのグリッド・ビュー


グリッド・ビュー説明 ORM PCM ITG IAM

KPI、KPI 値

KPI 値の入力

KPI 値を入力するのに使用します。このビューを使用する前に、KPI 値オブジェクトを作成します。

X X X

KRI、KRI 値

KRI 値の承認

KRI 値をレビューして承認するのに使用します。このビューを使用する前に、KRI 値オブジェクトを作成し、値を入力します。

X X X

KRI、KRI 値

KRI 値の入力

KRI 値を入力するのに使用します。このビューを使用する前に、KRI 値オブジェクトを作成します。

X X X

KPI、KPI 値

KPI 値の承認

KPI 値をレビューして承認するのに使用します。このビューを使用する前に、KPI 値オブジェクトを作成し、値を入力します。

X X X

プロセス、リスク、統制

PRSA のレビュー

プロセス・リスク自己評価をレビューするのに使用します。

X X

プロセス、リスク、統制

PRSA の更新

プロセス・リスク自己評価を更新するのに使用します。

X X



第 9 章役割テンプレート

役割テンプレートは、各オブジェクト・タイプにアクセスするための、ユーザーに付与される権限を定義します。IBM OpenPages GRC Platform ソリューションには、複数の役割テンプレートが含まれています。役割テンプレートは、アプリケーション権限を提供し、フィーチャーおよび機能へのアクセス権を付与します。また、オブジェクト ACL (RWDA) も付与します。

ソリューションの役割テンプレートに割り当てられた権限は、全モジュール・マスター・テンプレートにも割り当てられます。

デフォルトでは、各ソリューションに 2 つの役割テンプレートが組み込まれています。「すべての権限」というテンプレートは、当該ソリューションで使用可能なすべてのオブジェクト・タイプに対する管理権限およびアクセス権を提供します。「すべてのデータ - 管理なし」というテンプレートは、当該ソリューションで使用可能なすべてのオブジェクト・タイプに対するアクセス権は提供しますが、管理権限は提供しません。

役割テンプレートで提供される権限について詳しくは、『役割テンプレート権限』を参照してください。

役割テンプレート権限各役割テンプレートでは、オブジェクト・タイプごとに有効なアクセス権が定義されます。

各ソリューションには、「すべての権限」という役割テンプレートが用意されています。このテンプレートには、完全な管理者権限が含まれます。また、このテンプレートでは、ソリューションに含まれるすべてのオブジェクト・タイプに対する、完全な読み取り、書き込み、削除、関連付け (RWDA) のアクセス権限も付与されます。

さらに、各ソリューションには、「すべてのデータ - 管理なし」という役割テンプレートが含まれています。このテンプレートでは、ファイルおよびフォルダーに関連付けられたオブジェクト・タイプを除き、管理者権限が付与されません。このテンプレートでは、ソリューションでデフォルトで有効になっているすべてのデフォルト・オブジェクト・タイプに対する完全な読み取り、書き込み、削除、関連付け(RWDA) のアクセス権限が付与されます。役割テンプレートでオブジェクト・タイプに対して付与されるアクセス権について詳しくは、『役割テンプレートによって割り当てられるオブジェクト・タイプ権限』を参照してください。

役割テンプレートによって割り当てられるオブジェクト・タイプ権限役割テンプレートは、各ソリューションで使用可能なオブジェクト・タイプに権限(読み取り、書き込み、削除、および関連付け) を定義します。

111

役割テンプレートに割り当てられた権限は、全モジュール・マスター・テンプレートにも割り当てられます。

以下の権限は、役割テンプレートのオブジェクト・タイプに割り当てられた権限を説明しています。以下の表で、略語は各オブジェクト・タイプにおける使用可能な権限を示します。

R グループまたはユーザーは、オブジェクトの詳細を表示する権限を付与されています。

W グループまたはユーザーは、選択したフォルダー内でオブジェクトを作成または変更する権限を付与されています。オブジェクトの削除はできません。

D グループまたはユーザーは、フォルダー構造内でオブジェクトを削除する権限を付与されています。

A グループまたはユーザーは、オブジェクト間の関連付けを作成する権限を付与されています。

次の頭字語は、以下の表に示す役割テンプレートを表しています。


v RCM = IBM OpenPages Regulatory Compliance Management の役割テンプレート

v MRG = IBM OpenPages Model Risk Governance の役割テンプレート

v FCM: IBM OpenPages Financial Controls Management の役割テンプレート

v ORM: IBM OpenPages Operational Risk Management の役割テンプレート

v Risk: IBM OpenPages オペレーショナル・リスク・チームの役割テンプレート

v BU: IBM OpenPages ORM ビジネス・ユーザーの役割テンプレート

v SU: IBM OpenPages ORM 簡易ユーザーの役割テンプレート

v PCM: IBM OpenPages Policy and Compliance Management の役割テンプレート

v ITG: IBM OpenPages IT Governance の役割テンプレート

v IAM: IBM OpenPages Internal Audit Management の役割テンプレート

以下の表に、各ソリューションのテンプレートに付与されているオブジェクト・タイプの権限をリストします。各ソリューションには、「すべての権限」および「すべてのデータ - 管理なし」という 2 つのマスター・テンプレートが含まれています。セルが空白になっている場合、当該ソリューションではそのオブジェクト・タイプを使用できないことを意味します。

表 35. 各 OpenPages GRC 役割テンプレートのオブジェクト・タイプ権限

オブジェクト名

オブジェクト・タイプのラベル VRM RCM MRG FCM ORM Risk BU SU PCM ITG IAM

Attestation

認証

RWDA

AuditableEntity

監査拠点

RWDA


表 35. 各 OpenPages GRC 役割テンプレートのオブジェクト・タイプ権限 (続き)



Auditor

監査人

RWDA

AuditPhase

監査セクション

RWDA

AuditProgram

監査

RWDA

Campaign

キャンペーン

RWDA

CapitalModel

資本モデル

RWDA

Challenge

課題

RWDA

ChangeRequest

変更要求

RWDA

Committee

委員会

RWDA

CompliancePlan

コンプライアンス計画

RWDA RWDA

ComplianceTheme

コンプライアンスのテーマ

RWDA RWDA

Contract

契約

RWDA

CtlEval

統制評価

RWDA RWDA RWDA RWDA RWA RWDA

DataInput

データ入力

RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA

DataOutput

データ出力


Documentation

文書

RWDA

Employee

従業員

RWDA RWDA

Engagement


RWDA

第 9 章役割テンプレート 113




Finding

結果

RWDA

FIRSTLoss

FIRST 損失

「*」は、W 権限と A権限が指定されていないことを示しています

RWDA R* R*

Incident

インシデント

RWDA RWDA RWDA

KeyPerfIndicator

KPI

RWDA RWDA RWDA RWDA RWDA RWDA RWDA

KeyPerfIndicatorValue

KPI 値

RWDA RWDA RWA RWA RWA RWDA

KeyRiskIndicator

KRI

RWDA RWDA RWDA RWA RWA RWDA

KeyRiskIndicatorValue

KPI 値

RWDA RWDA RWDA RA RWDA

LossEvent

損失イベント

RWDA RWDA RWA RWA

LossImpact

損失の影響度

RWDA RWDA RWA RWA

LossRecovery RWDA RWDA RWA RWA

Mandate

規約

RWDA RWDA RWDA RWDA RWDA

Metric

メトリック

RWDA

MetricValue

メトリック値

RWDA

Model

モデル

RWDA

ModelInput

モデル入力

RWDA

ModelLink

モデルのリンク

RWDA





ModelOutput

モデル出力

RWDA

ModelReport

モデル・レポート

RWDA

ModelResult

資本モデル結果

RWDA

ORICLoss

ORIC 損失


RWDA R* R*

ORXLoss

ORX 損失


RWDA R* R*

Plan

計画

RWDA

Policy

規程


PolicyReviewComment


RWDA

Preference

設定

RWDA RWA RA RA RWDA

PrefGrp

設定グループ

RWDA RWDA

Procedure

プロシージャー


ProcessDiagram

プロセス・ダイアグラム


ProcessEval

プロセス評価

RWDA RWA RWA RWA

Program

プログラム

RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA





Project

プロジェクト

RWDA RWDA

ProjectActionItem

マイルストーン・アクション・アイテム

Quest

質問

RWDA RWDA RWDA

Questionnaire

アンケート

RWDA RWDA RWDA




アンケート・テンプレート

アンケート・テンプレート


Qsection RWDA RWDA

RAEval

リスク評価

RWDA RWDA RWA RWA

RegApp

規則の適用性

RWDA RWDA

RegChange

法的変更

RWDA RWDA

RegulatoryInitiative

規制イニシアチブ

RWDA RWDA

RegInt

規制者とのやり取り

RWDA

Register

登録

RWDA

RegTask

法的タスク

RWDA RWDA

Regulator

規制者

RWDA RWDA

ReportSection

レポートのセクション

RWDA

Requirement

要件






ReqEval

要件評価

RWDA

ReqEvalValue

要件評価値

RWDA

Resource

リソース

RWDA RWDA

ResourceLink

リソース・リンク

RWDA RWDA

レビュー

レビュー

RWDA

ReviewComment

監査レビュー・コメント

RWDA

RICat

RI カテゴリー

RWDA

RIReq

RI 要求

RWDA

RiskAssessment


RWDA RWDA RWDA RWDA RWDA RWA RWA RWDA RWDA RWDA

RiskEntity

統制計画

RWDA RWDA

RiskEval

リスク評価

RWDA RWDA RWA RWA

RiskSubEntity

基準

RWDA RWDA

ScenarioAnalysis

シナリオ分析

「*」は、W 権限が指定されていないことを示しています。

RWDA RWDA RA

ScenarioResult

シナリオ結果

「*」は、W 権限が指定されていないことを示しています。

RWDA RWDA RA





SOXAccount

勘定科目

RWDA

SOXBusEntity

拠点

RWDA RWDA RWDA RWDA RWDA RWDA RA RA RWDA RWDA RWDA

SOXControl

統制活動

RWDA RWDA RWDA RWDA RWDA RWA RWA RWDA RWDA RWDA

SOXControlObjective

統制目標

SOXDocument

ファイル

RWDA RWDA RWDA RWDA RWDA RWDA RWA RWA RWDA RWDA RWDA

SOXExternalDocument

リンク

RWDA RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXIssue


RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXMilestone

マイルストーン

SOXProcess

プロセス

RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXRisk

リスク


SOXSignature

署名


SOXSubaccount

補助科目

RWDA

SOXSubprocess

サブプロセス


SOXTask



SOXTest

テスト計画

RWDA RWDA RWDA RWDA RWDA RWDA

SOXTestResult

テストの結果

RWDA RWDA RWDA RWDA RWDA RWDA

Submandate

下位規約






Timesheet

タイムシート

RWDA

Usage

使用法

Vendor

ベンダー

RWDA

脆弱性 RWDA

免除

免除

RWDA RWDA RWDA

調書

調書

RWDA



特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものです。

本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本IBM の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。本書には、お客様が購入されたプログラムまたはライセンス資格に含まれない製品、サービス、または機能に関する説明が含まれる場合があります。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒103-8510東京都中央区日本橋箱崎町19番21号日本アイ・ビー・エム株式会社法務・知的財産知的財産権ライセンス渉外

以下の保証は、国または地域の法律に沿わない場合は、適用されません。 IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

121

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。

IBM CorporationLocation Code FT0550 King StreetLittleton, MA01460-1250U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。 IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。

この「ソフトウェア・オファリング」は、Cookie もしくはその他のテクノロジーを使用して個人情報を収集することはありません。


著作権

ライセンス資料 - IBM Corporation の所有財産。

© Copyright IBM Corporation, 2003, 2019.

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・プラットフォームのアプリケーション・プログラミング・インターフェイスに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。

このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。お客様は、IBM のアプリケーション・プログラミング・インターフェイスに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。

商標

IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された InternationalBusiness Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml をご覧ください。

v Microsoft、Windows、Windows NT および Windows ロゴは、MicrosoftCorporation の米国およびその他の国における商標です。

特記事項 123


索引

日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アクション項目 71アクティビティー・ビュー 101アンケート評価通知 53アンケート評価トリガー 82アンケート評価ライフサイクル・トリガー

アンケート評価通知 53インシデント通知 53インシデント・トリガー 81インシデント・ライフサイクル・トリガー

インシデント通知 53オブジェクト・タイプ

損失イベント 76損失の影響度 76損失の回収 76内部統制上の課題 71

オペレーショナル・リスク・チーム・プロ

ファイル 89, 90

［カ行］可視化のトリガー 75, 79課題 (オブジェクト・タイプ) 71課題およびアクションの報告通知 52課題ライフサイクル・トリガー 71簡易ユーザー・プロファイル 90規程認知度ビュー・ヘルパー 44規程ビューアー 42規程ロック解除ヘルパー 43拠点

リスク評価との関連付け 41グリッド・ビュー 108

［サ行］シナリオ分析ヘルパー 39重要指標ヘルパー 39新機能 1損失イベント (オブジェクト・タイプ) 76損失イベント計算トリガー 76損失イベント承認の送信トリガー 76損失イベントの承認トリガー 76損失イベント・ライフサイクル・トリガー

76

損失の影響度 (オブジェクト・タイプ) 76損失の回収 (オブジェクト・タイプ) 76

［タ行］通知 51

アンケート評価通知 53インシデント通知 53課題およびアクションの報告 52KPI 違反通知 52KPI リマインダーの通知 52KRI 違反通知 53KRI リマインダーの通知 53

データ出力トリガー 75, 79データ入力トリガー 75, 79統制活動ライフサイクル・トリガー 79トリガー

アンケート評価 82インシデント 81可視化 75, 79課題ライフサイクル 71損失イベント計算 76損失イベント承認の送信 76損失イベントの承認 76損失イベント・ライフサイクル 76統制ライフサイクル 79内部統制上の課題ライフサイクル 72ライフサイクルの更新 68KRI ライフサイクル 75

［ナ行］内部統制上の課題

管理 71内部統制上の課題ライフサイクル・トリガ

ー 72認証作成レポート・ヘルパー 45

［ハ行］バージョン 7.4.0 の新機能 1バージョン 8.0.0.2 の新機能 1バッチ通知の公開ヘルパー 44プロファイル、アクティビティー・ビュー

101ヘルパー

シナリオ分析 39重要指標 39リスクの評価と対応 42RCSA ヘルパー 40, 41

ホーム・ページ・フィルターが設定されて

いるリスト 93

［ラ行］ライフサイクル

構成 69ライフサイクル・トリガーの更新 68リスクと統制の自己評価トリガー

参照： RCSA トリガー


拠点との関連付け 41リスク評価ヘルパー

参照： RCSA ヘルパー

KKPI 値

KPI リマインダーの通知 52KPI 違反通知 52KPI 取得者

KPI リマインダーの通知 52KPI ライフサイクル・トリガー

違反通知 52KPI リマインダーの通知 52KRI 値

KRI リマインダーの通知 53KRI 違反通知 53KRI 取得者

KRI リマインダーの通知 53KRI ライフサイクル・トリガー 75

違反通知 53KRI リマインダーの通知 53

OOpenPages Policy and Compliance

Management xii

RRCSA トリガー 74RCSA ヘルパー 40, 41, 42

125


IBM®

Printed in Japan

Date post:	14-Mar-2021
Category:	Documents
Upload:	others
View:	7 times
Download:	0 times

IBM OpenPages GRC oW 800n VEKChpublic.dhe.ibm.com/.../openpages/ja/8.0.0/op_grc_modules.pdfIBM...

Documents