内部統制の枠組みを設定し、専門ソフトウェアを用いた実際的な実施に関するベストプラクティス。
「統制」という用語は、元々GRC(ガバナンス、リスク、コンプライアンス)分野でリスクを管理しコンプライアンスを確保するための仕組みを表すために使用されていましたが、現在では戦略的計画にも広く適用されています。
この記事では、統制の設定とその実践的な使用に関するベストプラクティスを紹介します。
内部統制の紹介
本質的に、「コントロール」とは、リスクを管理し、コンプライアンスを確保するために使用される応答または予防メカニズムです。
例のコントロール: “従業員が会社を退職”
- アクションプラン: メールを転送する
- アクションプラン: 顧客に通知する
- 有効性の指標: ログインが無効 [証拠に基づく]
- 有効性の指標: 通知された顧客の割合
- リスク: ワークフローの中断
管理の構成要素
自動化の視点から見ると、管理は以下のようになります:
- 進捗指標が整合された行動計画のように単純であるか
- あるいは、各々が独自の指標、リスク評価、緩和計画、コンテクスト依存性、担当者を持つ階層的な管理とサブ管理のセットのように複雑であるか。
管理には特定の適用領域があり、特定の管理がいつ活性化されるべきかを定義します。
管理を戦略的計画に実装するために使用できるツールを探りましょう。
1. コントロールの定義
初期段階では、管理チームの過去の経験を適切にコントロールや正式な対応メカニズムにマッピングすることが目標です。
一般プロパティ
コントロールを識別する基本として、意味のある名前を付け、その目的を説明に記載します。以下を定義します:
- コントロールを発動させる条件
- コントロールの範囲
BSC Designer では:
- 追加しますボタンを使い、新しい項目を作成します。
- 名前と説明欄を通じてコントロールを識別します。
- クロスリンクで、関連する過去の目標、イベント、または規制要件とコントロールを関連付けます。
サポートドキュメント
BSC Designer では:
- 説明ダイアログからコントロールにドキュメントを追加します。
- 施策ダイアログからコントロールのアクションプランにドキュメントを追加します。
カスタムプロパティ
所有権
- コントロールの責任者をユーザーとして追加し、その人をチームに割り当てます。
- 担当者フィールドを通じて、その人またはチームをコントロールの担当者として割り当てます。
担当者はコントロールに関連する通知を受け取ります。
認証 / 承認
BSC Designer において:
- カスタムフィールドを使用して「認証状態」や「認証者」などのコントロールのプロパティを定義します。
- コントロールを証明する際、管理チームはこれらのプロパティを更新できます。
- 適切な認証がないコントロールを特定するためにレポートでフィルターを使用します。
スコアカードに未認証のコントロールを残しつつ無効にするには:
- コントロールを選択します。
- パフォーマンスタブに切り替えます。
- 生データ指標のチェックボックスを有効にします。
コントロールの整合性
- スコアカード間で項目をコピー&ペーストします。
- プロンプトが表示されたら、コンテキストによる接続オプションを使用して2つの項目をリンクします。
コントロールのカタログ
BSC Designerの場合:
- コントロール専用のスコアカードを作成してください。
- コントロールを整理するために階層構造を使用してください。
- 必要に応じて、コントロールをアクティブなスコアカードにコピーしてください。
2. コントロールの定量化
有効性指標
管理のための指標を使用することで、管理をより具体的にし、異なる解釈を避けることができます。追跡する指標を定義してください:
- 基準の順守
- 管理の有効性
- 行動計画の進捗
例えば、インシデント報告において:
- 効率の指標は「インシデント報告の訓練を受けた職員の割合%」かもしれません。
- 有効性の指標は「適切に伝達されなかったインシデントの割合%」かもしれません。
BSC Designerでは:
- 「追加」ボタンを使用して、管理項目内に指標を追加します。
全体的なパフォーマンス
BSC Designerで:
- 指標を選択する
- パフォーマンスタブに切り替える
- 指標の重みを変更する
コントロールのパフォーマンス/進捗が対応する列に表示されます。
効率性指標
文脈に応じて先行指標を使用します。遅行指標とは異なり、先行指標はコントロール全体のパフォーマンスに直接貢献することはありませんが、コントロールの効率性を理解するうえで貴重な洞察を示唆します。
BSC Designer で:
- 指標を選択します
- 文脈に切り替えます
- 指標のタイプを先行に変更します
リスクの見積り
BSC Designer では:
- 新しい指標を作成します
- タイプを「リスク」に変更します
- リスクの可能性および影響指標を更新します
バイナリー制御
バイナリー指標の可能な状態:
- 未割り当て – 制御の一部がまだ実行されていない
- はい – 制御の一部が正常に実行されたことを示す
- いいえ – 制御の一部が正常に実行されなかったことを示す
例:「新たに特定された脅威を考慮して事業継続計画を更新」がバイナリー指標で自動化できます。BSC Designerにおいて:
- 指標を選択する
- ‘一般’タブに切り替える
- その測定単位を「はい/いいえ」に変更する
定性的管理
定性的指標は、より具体的な定量的評価がまだ開発されていない場合や、開発することが費用対効果が低い場合に管理に使用されます。
例: ポリシー管理とコミュニケーションという管理は、コンプライアンス ポリシーの伝達効果という定性的な指標で評価できます。可能な状態は以下の通りです:
- 非常に効果的 (100): 従業員はコンプライアンス ポリシーを明確に理解しています。
- 中程度に効果的 (60): 一部の従業員がポリシーを理解しています。
- 効果がない (10): 従業員は一般的にポリシーを知らないです。
BSC Designerで:
- 指標を選択します
- 測定単位の隣にある編集ボタンをクリックしてカスタム測定単位を追加します
定量的管理
管理をより具体的にするために、定量的または数値的指標が使用されます。定量的指標については、それらのパフォーマンスの公式を定義できます。例えば、指標の現在の状態がアウトプットのパフォーマンスにどのように影響するかなどです。
例: 特定の管理の実施効果を評価するために、内部監査を行い、%のポリシー遵守を追跡します。この場合、パフォーマンスの公式は線形最大化で、目標は100%です。別の例として、検出までの平均時間という指標があり、目標を24時間とした線形最小化として設定されています。
BSC Designerの場合:
- 「パフォーマンス」タブに切り替えて、パフォーマンス関数を定義します。
- 「データ」タブに切り替えて、指標の現在の状態、基準、目標を定義します。
証拠主導型コントロール
証拠指標は、アップロードされたドキュメントや証拠の数に応じて状態が変化します。
例えば、バックアップおよび復旧テストコントロールでは、コントロールの実行が正常に行われた証拠としてテスト結果やログのアップロードが必要となる場合があります。
BSC Designer では:
- 指標を選択します
- その測定単位を証拠に変更します
- 指標にドキュメントをアップロードして状態を変更します
3. コントロールのための施策
アクションプラン
アクションプランを追跡する
BSC Designer で:
- 管理に新しい施策を追加してください。
- 施策ダイアログを開いてください。
- ‘整合したKPI’ フィールドで進捗のKPIを選択してください。
4. 時間の経過に伴う管理の追跡
定期的なコントロール
コントロールの仕組みの見直し例:
- コンプライアンス・チェックリストの見直し – 年次見直し
- ナレッジ保持率(%) – 四半期ごとの見直し
コントロールの定期的な適用例:
- 脆弱性スキャン – 毎月の見直し/更新
一度だけ実施するコントロールの例:
- 初期リスクアセスメント – 一度だけ更新
BSC Designerでの操作方法:
- 指標の更新間隔設定を利用して、定期的な見直しをスケジュールします。
コントロールの状態を更新します
BSC Designer で:
- コントロールの指標を選択します
- 内部カレンダーで日付を選択します
- 「データ」タブに切り替えます
- 「値」欄に新しい状態を入力します
コントロール状態の継承
一部の指標は以前の既知の状態を継承し、他の指標は特に入力された更新のみを使用します。
例えば:
- トレーニングを受けた従業員の割合 – これは固有の指標である可能性が高く、5月にトレーニングを受けた従業員の割合は6月も同じか増加すると想定できます。
- 月間売上収益 – これは非固有の指標である可能性が高く、実際の月ごとの売上データを追跡することに関心があります。
BSC Designer で:
- 指標を選択します
- 値エディターボタンをクリックします
- 指標の継承タイプを変更します
5. 報告の管理
ダッシュボード上のコントロール
BSC Designer では:
- ダッシュボードタブに切り替えます。
- 施策用のGanttチャート、リスクダイアグラム、コントロールとその状態を一覧表示するダイアグラムなど、関連するチャートを追加します。
リスク推定のためのコントロール
BSC Designer では:
- コントロールの遅行部分を、リスクレジスター内のリスクの影響やリスク推定の指標とデータで接続します。
レポート内のコントロール
BSC Designerで:
- ‘レポート’メニューを使用して様々なレポートを生成する
- ‘レポート’メニューの’スケジュール’ボタンを使用して、レポートをステークホルダーに自動送信する
責任
BSC Designerにおいて:
- コントロールの設計と実行に関するすべての活動が監査ログに記録されます。
- アカウントの管理者は、メニュー > ユーザー > 監査証跡から監査ログにアクセスできます。
コントロールを使った実用的な例
実用的な例について話し合いましょう。従業員が会社を離れるときにアクティブになるコントロールを考えてみてください。
例の構造:
GRCコントロールのライブラリ. Controls Library
コントロールライブラリには、人事部門があり、コントロールの一つは「社員が会社を退職した」です。
このコントロールには3つの行動計画があります:
- メールのリダイレクト。
- 顧客への連絡。
- 知識移転計画。
また、2つの指標があります:
- ログイン無効化(証拠に基づく)。
- 通知された顧客の割合。
コントロールの定期的な見直しに使用される別の指標:
- 知識保持率 (%)
このコントロールに対して定義されたリスク:
- リスク:ワークフローの中断
- 緩和計画:重要な機能の文書化
イベントスコアカード
私は「HRイベント」という名前のスコアカードを持っており、関連するHRイベントが記録されています。このスコアカードはイベントタイプ別に整理されています。
コントロールを適用する
従業員が会社を離れる際に従うべき手順は以下の通りです:
- イベントスコアカードに新しいイベントを作成します。例:「アレックスが会社を去った。」
- コントロールライブラリから適切なコントロールをコピーして、イベントスコアカードに貼り付けます。
- コントロールの担当者は、新しいアクションプランが作成されたことについて自動的に通知されます。
- ログインが無効化されたことを証明する証拠(スクリーンショット)をアップロードします。
- 顧客に通知し、「通知された顧客の%」指標を更新します。
- アクションプランのステータスを「レビュー中」に更新します。
セッション: 'BSC Designer for Automation of GRC Controls' はBSC Designerの継続的な学習プログラムの一部として提供されており、オンラインおよび現地でのワークショップとして利用可能です。 詳細はこちら....
さらに多くの例
コントロールの使用例は、以下の記事で見つけることができます:
GRCコントロールライブラリテンプレートを使用してください
BSC Designerは、組織が複雑な戦略を実施するのを支援します:
- プラットフォームで無料プランにサインアップしてください。
- 新規 > 新しいスコアカード > その他のテンプレートで、
GRCコントロールライブラリテンプレートを開始点として使用してください。 - 利害関係者と戦略的野心を包括的な戦略に整合させるために、戦略展開システムに従ってください。
今日から始めて、BSC Designerがどのように戦略実施を簡素化できるかをご覧ください!
Alexis Savkinは、BSC Designerのシニア戦略コンサルタント兼CEOであり、戦略アーキテクチャ&実行プラットフォームの専門家です。彼は応用数学と情報技術のバックグラウンドを持ち、この分野で20年以上の経験を有しています。Alexisは「戦略実行システム」の著者です。彼は戦略およびパフォーマンス測定に関する100本以上の記事を発表しており、業界イベントで定期的に講演し、その業績は頻繁に学術研究で引用されています。