Governance console のオブジェクト・タイプ

以下の表には、デフォルトで含まれているサブコンポーネントがリストされています。

表にリストされているサブコンポーネントに加えて、以下のオブジェクト・タイプが各ソリューションに含まれており、すべての許可ユーザーがそれらにアクセスできます。

• 署名
• ファイル
• リンク

アカウント

アカウントは、財務報告書の 1 つ以上の明細項目に対応します。 それぞれの勘定科目は、繰り返し実行されるプロセスの影響を受けます。 このようなプロセスでは、財務統制の文書化プロジェクトで文書化する必要があるリスクが生じる可能性があります。 勘定科目は、各種の要因に基づいて重度として特定されます (要因にはサイズ、勘定科目に作用するプロセスの複雑度、あるいは勘定科目が事業の新たな製品ラインに関連付けられているかどうかなどがあります)。 アカウントをサポートするプロセスを評価して、潜在的なリスクを特定し、識別されたリスクがアカウントに重大な影響を与えるかどうかを確認する必要があります。

Ascent サポート情報

Ascent サポート情報オブジェクトは、 Ascentからインポートされたサポート情報を保管します。 「サポート情報」とは、法的要件のレベルに達することはないが、規制の要件および影響を理解するために、より多くのガイダンス、詳細、およびその他の情報を提供する規制上のテキストです。 Ascent 「サポート情報」オブジェクト・タイプには、「要件」という 1 つの親があります。

アサーション

アサーション・オブジェクトは、コントロール・オブジェクトをアカウント (またはサブアカウント) オブジェクトにリンクするために使用されます。 通常、アサーション・オブジェクトのデータ・フィールドとして統制が対応しているアサーションのタイプを保管します。

認証

認証オブジェクトは規程認知度機能の一部であり、規程を読んで理解したという確約を従業員が得るために使用されます。 認証の 1 次親は従業員レコード、2 次親は関連付けられたキャンペーンです。

アセット

COBIT は、IT 資産には 4 つのタイプがあることを示唆しています。一方、実務者は、多くの場合、より多くのタイプを含んでいます。 資産オブジェクトは、これらのタイプの IT 資産を表すために、従属フィールドを使用してサブタイプ化されます。 資産は通常、所有または担当の IT 拠点に関連付けられたプールとして作成され、IT 運用環境内の関連する運用要素 (ベースライン、プロセスなど) に関連付けられ、場合によってはビジネスの関連する拠点にも関連付けられます。 資産は個々の IT 資産 (例えば、特定の Microsoft Windows サーバー) を表すことができますが、多くの場合、資産のグループ (例えば、特定のアプリケーションに使用される Windows アプリケーション・サーバーのプール) を表します。

資産リンク

COBIT は、IT 資産に複雑な関係があることを示唆しています。 担当者、プロセス、インフラストラクチャー、情報の各タイプの資産が、互いに親となり子となる可能性があることを指摘しています。 また、多くの場合、同じタイプの資産を相互に関連付ける必要があります。 資産リンクは、多対多の方法で資産をリンクするために使用できますが、(「リソース・リンクの作成」ヘルパーでサポートされている) プラクティスは、正確に 2 つの資産をリンクすることです。 いずれかの上位階層資産の名前または属性が変更された場合、資産リンクの名前および属性は、その上位階層資産と同期されなくなります。

監査

監査は、監査可能拠点に対する監査の各実行を表します。 例えば、監査可能拠点が 2 年ごとに監査される場合、2022 や 2024 などの 2 年ごとに別個の子監査インスタンスを作成する必要があります。 組織ではさまざまなプロセスが監査されます。 例えば、拠点、特定の規制要件、データ・センターの物理的セキュリティーなどが監査の対象となり得ます。

監査オブジェクトは、自己完結型オブジェクト・タイプとして構成され、監査インスタンスごとにフォルダーが自動的に作成されます。 この構成により、ユーザーは、テンプレート監査および監査コンポーネントを、オブジェクト命名の競合なしにライブラリーから監査階層にコピーできます。

監査リソースの計画とスケジューリングは、監査レベルで行われます。

監査の大まかな進捗は、監査の状況値と日付値をモニターすることで追跡できます。 監査の主要マイルストーンを追跡するには、追跡対象である各主要マイルストーンの完了日を表すフィールドを追加します。

監査オブジェクトは、企業全体で監査プロセスを管理するために使用します。 監査では、範囲、目的、タイミング、レビュー、実施、および承認の役割などの情報を得るための保持ポイントが特定されます。 所定の計画範囲で実施する監査のサブセットを追跡することも、監査領域の全監査を追跡することもできます。

監査レビュー・コメント

監査レビュー・コメント・オブジェクト・タイプは、監査およびそのコンポーネントのレビュー・プロセス中にフィードバックを提供するために使用されます。 このオブジェクト・タイプは、フィードバックの提供対象である監査、セクション、調書、または結果のインスタンスの子として関連付けられます。

監査セクション

監査セクションは、監査のフェーズ、監査内の作業プログラム、あるいは監査の他のコンポーネントを、必要な詳細レベルで表すために使用します。

組織によっては、監査ごとに複数の標準コンポーネントが存在する場合があります。 各標準コンポーネントのセクションが含まれているテンプレート監査をライブラリーに作成することができます。 これらのセクションの計画開始日/終了日および実開始日/終了日を使用して、監査の主要マイルストーンの進捗が報告されます。

各マイルストーンの監査セクションを組み込むことで、詳細な監査の進捗を追跡できます。 あるいは、組織での必要に応じて、追跡対象とする各主要マイルストーンの完了日を表す監査のフィールドを追加することもできます。

監査セクションを使用して監査リソースの計画とスケジューリングを行うこともできますが、ほとんどの組織はそこまでの詳細さを必要としていません。

監査可能拠点

監査可能拠点オブジェクトは、拠点の子であり、監査計画の要約です。 内部監査拠点階層が確立され、監査可能拠点はいずれも内部監査拠点オブジェクトの子として作成されます。 これらの拠点には、拠点組織階層の各要素に対応した監査可能拠点も関連付けられます。

監査可能拠点は、監査領域 (ビジネスで監査対象となる要素の集合) の個々の要素を表します。 監査可能拠点のほとんどは、事業上または法律上の拠点を表しますが、プロセス、長期のプロジェクトやイニシアチブ、コンプライアンス・プログラム、共有 IT サービスなどを表すこともあります。

監査可能拠点には、毎年リスク・ランクが設定されて、その年度の監査実施優先順位が決定されます。 重み付けリスク・スコアが計算されますが、このスコアはオーバーライドできます。

監査員

リソースの計画および割り当てには、監査作業を実行する可能性のある各個人に関する重要な情報が必要です。 監査人オブジェクトは、監査に割り当てることのできる監査人のプールを作成するために使用します。

監査作業に割り当てられた各ユーザーは、監査人インスタンスとして表されます。 これで監査人をリソースの割り振りに使用できるようになります。 監査人オブジェクトには、監査エンゲージメントに関わる監査人を評価して選択するための属性 (専門分野、言語、認定資格など) が含まれています。 監査人オブジェクトは、内部監査組織階層の関連コンポーネントに関連付けられます。 監査人オブジェクトの名前をユーザー名と一致させておくことがベスト・プラクティスです。

ベースライン

基準オブジェクト・タイプは、ライブラリー要件のテンプレートを表します。 このオブジェクト・タイプは自己完結型です。つまり基準ごとにフォルダーが作成されます。 ライブラリー内の基準は、IT 運用環境の要素を表します。 それらは、当該タイプの要素の要件にリンクされます。 基準オブジェクトはライブラリーからビジネス階層にコピーされ、ライブラリー内の要件に対する関連付けが行われます。また、リスク、統制、テストの各オブジェクト・タイプが子オブジェクトとして作成されます。 ベースライン・コピー・ヘルパーを使用すると、リスク・オブジェクト、統制活動オブジェクト、およびテスト・オブジェクトに要件からのデータが取り込まれます。

例えば、基準オブジェクトは、個人情報 (PII) が保管され、機密データ分類が指定されたデータ・センターの要件オブジェクトの集合を表すことができます。 それぞれの要件オブジェクトに対し、統制する対象 (リスク・オブジェクト) と統制方法 (統制オブジェクト) を定義するベスト・プラクティスを設定します。 統制の有効性を検証するための慣行 (テスト・オブジェクト) を設定することもできます。

事業継続イベント

事業継続イベント・オブジェクトは、事業運営に悪影響を及ぼすインシデント (パンデミック、ハリケーン、トルネード、サイバーセキュリティー侵害など) を識別するために使用されます。 事業継続イベント・オブジェクト・タイプには、場所やタイプなどの情報が含まれます。 事業継続イベント・オブジェクトは、事業継続性計画オブジェクトに関連付けることができます。これにより、特定のイベント発生をそれに対応する計画に簡単に関連付けることができます。

事業継続性計画

事業継続性計画は、規程とプロシージャーを含むプロアクティブな戦略であり、組織およびその重要機能が障害または災害の発生中または発生直後にどのように対応するかを記述します。 事業継続性計画は、人事、ビジネス・プロセス、資産、および外注されたサポート・サービスに対処します。 事業継続性計画オブジェクトは、ビジネス・インパクト分析、事業継続性テスト計画、リスクの評価、場所、チームなどの他のコア事業継続性オブジェクトに関連付けることができます。

事業継続性テスト計画

事業継続性計画をテストすることは、計画の有効性を測定し、脆弱性またはギャップの識別を支援するために使用される有用なプロセスです。 テストは、テーブル・トップやフル・シミュレーションなどのさまざまな手法を使用して実施でき、計画参加者のトレーニングと認知度向上に役立ちます。 事業継続性テスト計画オブジェクトは、テストの詳細を文書化するために使用でき、親オブジェクトである事業継続性計画および子オブジェクトである事業継続性テスト計画の結果や内部統制上の課題などに関連付けることができます。

事業継続性テストの結果

事業継続性テストの結果オブジェクトは、事業継続性テスト計画の子オブジェクトです。 これらは、実行された事業継続性テスト計画の結果を取り込むために使用されます。 事業継続性テストの結果は、関連する事業継続性テスト計画および任意の付属する内部統制上の課題に関連付けることができます。

事業体

ビジネス・エンティティーは、ビジネス構造を抽象的に表現したものです。 拠点は、複数の下位拠点 (部署、事業部、地理的位置など) を含むことができます。 作成する拠点構造は、事業上のニーズによって決まります。 例えば、本社を表す親拠点と、個々の場所や部署を表す下位拠点を作成することができます。 また、法律上の拠点構造と事業上の拠点構造の両方を表す必要が生じることもあります。

拠点は、ライブラリー・データ (リスク・ライブラリーや統制ライブラリーなど) や法的な内容 (法律、規則、標準など) を編成する場合にも使用します。

拠点階層をセットアップする際には、 IBM® コンサルタントと協力してください。 拠点の構造は、このアプリケーションで引き出すことのできる情報の種類と品質に影響します。

watsonx.governance Internal Audit Management では、拠点によって内部監査組織構造もモデル化されます。これにより、内部監査チームのレポート作成とセキュリティーが容易になります。 内部監査組織構造は最上位の拠点です。こうすることで、ビジネス・ユーザーに誤って内部監査情報へのアクセスを許可する可能性を最小化します。 内部監査チームが所有する監査領域の要素は、チーム拠点に関連付けられます。 最上位の拠点構造をもう 1 つ作成して、機密監査を編成してそれらの監査に特別なセキュリティーを適用することができます。 また、テンプレート監査コンテンツのライブラリーを編成する場合にも拠点を使用できます。

事業影響分析

ビジネス・インパクト分析 (BIA) は、事前に決定されたプロセスの重要度、それらの依存関係、および中断が発生した場合のビジネスへの影響を評価するために使用されます。 これは、自然災害、パンデミック、テロリズムなどのイベントが重要ビジネス・プロセスに及ぼす可能性がある影響を、損失の重大度に基づいて測定するために使用されます。

ビジネス・インパクト分析オブジェクト・タイプは、数値によるスコアリングを使用して、事前に定義されたカテゴリーをランク付けすることにより、ビジネスへの重要な影響の優先順位付けを支援するように設計されています。 数値による影響評価は、目標復旧時間 (RTO) や目標復旧時点 (RPO) などの重要データ・フィールドで利用できます。 計算機能を使用して、影響データを影響スコア、影響層、および最大許容停止 (MAO) などの測定可能な情報に変換することもできます。

ビジネス・サービス

ビジネス・サービスとは、組織によって提供されるサービスのことです。例えば、ATM から現金を引き出したり、オンラインで残高を確認したりする機能を、サポート・プロセスに分割したりすることができます。 ビジネス・サービスは、さらに重要ビジネス・サービスに分類することができます。重要ビジネス・サービスとは、外部のエンド・ユーザーに提供されるサービスで、サービスの中断により消費者または市場参加者、市場の完全性、保険契約者の保護、安全性および健全性、または金融の安定性に対する耐性が損なわれます。

ビジネス・サービス・オブジェクトは、拠点オブジェクトまたはロケーション・オブジェクトの子にすることができます。

ビジネス・サービス Eval

ビジネス・サービス評価オブジェクトは、ビジネス・サービス・オブジェクトの子であり、トレンド分析のためにビジネス・サービスの評価の一部として提供される値を取り込むために使用されます。 ビジネス・サービス評価は、ビジネス・サービス評価ワークフローの最後のステップの一部として作成され、データが取り込まれます。

キャンペーン

キャンペーン・オブジェクトは、規程認知度機能の一部であり、認知キャンペーンのプロジェクト管理の側面を管理するために使用されます。 また、各規程を読んで認証する必要がある従業員を特定するための要件と基準を定義する場合にも使用します。 通常、キャンペーンは公開された規程階層で作成されます。

課題

課題オブジェクトを使用して、モデル・インベントリーの任意の部分に対する課題を保管し、その存在を証明できます。 課題が提示され、応答が記録されます。 チャレンジ・オブジェクトは、モデル・オブジェクトとモデル・デプロイメント・オブジェクトの子です。

変更要求票

変更要求オブジェクトは、モデル・オブジェクトとモデル・デプロイメント・オブジェクトの子であり、モデルの変更とそのデプロイメントに関連するガバナンス・アクティビティーの作成と追跡を可能にします。 このオブジェクトは、変更タイプ、変更の説明、およびステータスなどのデータを取り込みます。 これはワークフローによってサポートされています。

委員会

委員会オブジェクトは拠点の子であり、組織がガバナンスのグループ/委員会を表すことを可能にします。 これらのオブジェクトはその後モデルに合わせて調整することができ、また従業員オブジェクトの親にすることもできます。 委員会の委任事項、ミーティングの頻度、および議長の詳細などの情報を格納できます。

コンプライアンス計画

コンプライアンス計画は、構造化された設定で規制要件に対処するための、または法的タスクのセットを構造化するための、全体的な計画の作成を可能にします。 例えば、法的タスクを追跡するため、またはさまざまな規制要件に対するコンプライアンス評価を実施するために、コンプライアンス計画が作成される場合があります。 1 つまたは複数のコンプライアンスのテーマをグループ化して、組織の全体コンプライアンス計画を作成します。

コンプライアンス・プラン Eval

コンプライアンス計画評価オブジェクトは、コンプライアンス計画オブジェクトの子です。 コンプライアンス計画評価オブジェクトは、コンプライアンス計画で収集されるコンプライアンス評価の一部として提供される値を取り込むために使用されます。 コンプライアンス計画 BE 評価レコードが作成され、コンプライアンス計画 BE 評価およびコンプライアンス計画ライブラリー評価ワークフローの最後のステップとしてデータが取り込まれます。

事業活動に関わる法令等のコンプライアンスのレビュー・コメント

コンプライアンス・レビュー・コメント・オブジェクト・タイプを使用すると、ユーザーは、規制変更、規制タスク、RI コンポーネント、RI サブコンポーネント、および規制者とのやり取りオブジェクトにコメントを追加したり投稿したりできます。 コンプライアンス・レビュー・コメントは、応答のために個々のユーザーまたはユーザー・グループに送信することができ、ファイルをオブジェクトにアップロードしてユーザー間のコラボレーションを強化することができます。

コンプライアンスのテーマ

コンプライアンスのテーマは、ユーザーが評価の目的で規制要件をテーマに編成できるようにします。 これは、組織全体に影響を与えるテーマ全体の規制要件をグループ化することで、標準的な拠点手法を越えてコンプライアンス要件を評価できるようにします。 サンプル・テーマには、データ・プライバシー、ガバナンス、説明責任などを含めることができます。 これにより、ユーザーは、ビジネス・エンティティー内だけでなく、組織の複数の領域に関わるテーマ全体にわたって規制の影響を評価できます。

コンプライアンス・テーマ Eval

コンプライアンス・テーマ Eval オブジェクトは、コンプライアンス・テーマ・オブジェクトの子です。 コンプライアンス・テーマ Eval オブジェクトは、コンプライアンス・テーマでキャプチャーされるコンプライアンス評価の一部として提供される値をキャプチャーするために使用されます。 コンプライアンス・テーマ Eval レコードが作成され、コンプライアンス・テーマ BE 評価および コンプライアンス・テーマ評価ワークフローの最後のステップとしてデータが設定されます。

契約

契約オブジェクトは、ベンダー・オブジェクトまたはエンゲージメント・オブジェクトの子オブジェクトです。 契約とは、拠点とベンダー間、または拠点とエンゲージメント間におけるビジネス上のまたは法的な合意のことです。 契約には、追加の補足情報、例えば、契約期間や金銭の情報が含まれます。 契約は任意です。

コントロール

統制は、リスク軽減の対応を確実に実施する規程とプロシージャーです。

慣行で発生するリスクを認識したら、承認、認可、検証などの統制活動を確立します。 これらの統制により、当該リスクの除去、限定、あるいは移動を行います。

統制は、リスクの予防または検出を可能にします。 統制には、統制が有効であることを確認するテストが関連付けられます。 例えば、人事部門は新規採用プロセスでのリスクを特定します。 このプロセスは、多様性および差別行為に関する規制やガイドラインに従っていません。 このリスクを軽減するための統制 (雇用の規程と手順の確立、雇用管理者向け必須研修の実施など) を定義します。

watsonx.governance Internal Audit Management では、統制を使用して、監査対象のアクティビティーに存在する統制または適用する統制の詳細なモデルを作成します。 事業と共有された場合、統制は内部監査と事業で個別に評価することができます。

統制評価

統制評価オブジェクトはリスク評価オブジェクトと似ていますが、統制活動の子として作成される点が異なります。 このオブジェクトには統制評価データが格納されます。 レポート対象期間と統制評価サイクルが一致していない場合は、統制評価オブジェクトを使用して 1 つのレポート対象期間内に複数の評価サイクルを取り込みます。

制御目標

統制目標は、プロセスまたはサブプロセスのリスク・カテゴリーを定義する評価オブジェクトです。

統制目標では、統制によって軽減される対象となる COSO コンプライアンス・カテゴリーを定義します。 統制目標は、コンプライアンス、財務レポート、戦略、運用、不明などのカテゴリーに分類できます。

統制目標を特定した後に、その統制目標に属するリスクを定義することができます。 ほとんどの場合、各統制目標には 1 つのリスクが関連付けられます。 ただし、複数のリスクが関連付けられる場合もあります。 例えば、金融サービス業者は、業務で必要となる倫理基準を認識しているトレーダーを採用します。 人事部門は、「要員」という統制目標を設定します。 統制目標に関連付けられているリスクは、従業員は、倫理的かつ公正な取引のために会社の目標と矛盾するビジネス上の取引に従事します。

デフォルトでは、Internal Audit Management の統制目標は無効になっています。 このオブジェクトを使用する可能性がある他のソリューションと連携させる場合を除いては、このオブジェクトはほとんど使用されません。

コスト・センター

コスト・センター・オブジェクトは、損失イベントをビジネス・エンティティーの下にグループ化するために使用されます。 多くの場合、企業は損失イベントが発生した場所を精細に (例えばコスト・センター・レベルで) 追跡したいと考えますが、組織のすべての層を拠点として表すことは求めていません。

開示ステートメント

このオブジェクト・タイプは、開示要件に関連してテキスト・ベースの注釈を記録するために主に使用されます。 開示ステートメントは、要件の子です。

従業員

Employee オブジェクトは、規程認知度機能の一部です。 このオブジェクトは、個々の従業員に関する情報 (名前、役職、E メール、地域、部署、状況など) を取得するために使用します。 従業員プロファイルから得た情報が、キャンペーンに定義されている認証要件と照合されて、各規程を認証する必要がある従業員が判別されます。 通常、従業員データは人事システムのエクスポートで取得され、オンライン FastMap によってロードされ、参照従業員拠点に配置されます。 従業員名フィールドとユーザーのユーザー名を一致させておくことがベスト・プラクティスです。

エンゲージメント

エンゲージメント・オブジェクトは、ベンダー・オブジェクトの子オブジェクトです。 エンゲージメントとは、ベンダーが提供する単一のサービスのことです。 エンゲージメントは、ベンダーとともに使用するさまざまなサービスと合意を区別するために使用します。 エンゲージメントはオプションです。 エンゲージメントは、アンケート評価、リスク・アセスメント、または階層化の影響を受ける可能性があります。 さまざまなエンゲージメントに関連付けられたリスクを要約して、分析することが可能です。 エンゲージメントでサポートされるプロセスまたはサブプロセスに親の関連付けを追加できます。

ファイル

File オブジェクト・タイプは、ファイル (文書、フローチャート、スプレッドシートなど) への参照を Governance consoleに組み込み、それを 1 つ以上の関連オブジェクトに関連付けるために使用します。

ソースNEDの検索

調査結果は、ビジネス、監査委員会、またはその両方に報告可能な観察結果を表すために使用できます。 あるいは、事実としての個々の観察結果を結果で表す一方で、統合テーマおよびシステム上の問題を課題で表して、それらを会社、監査委員会、またはその両方に報告することができます。

結果は、監査の過程で明らかとなり、かつ経営陣が責任を負い、経営陣による対応が必要となるすべての事項を表します。 結果を使用して、特定された基本となる課題への経営陣の対応の進捗を追跡することができます。 課題オブジェクトを、結果オブジェクトの代わりに使用したり、結果オブジェクトと組み合わせて使用したりすることができます。

FIRST 損失

FIRST 損失オブジェクトは、シナリオ分析、ベンチマーキング、およびレポート生成で使用したり、損失データを分析ツールまたは資本割り振りアプリケーションにエクスポートしたりするために、FIRST 外部損失データベースからインポートすることができます。 FIRST 損失オブジェクトは、多くの場合損失カテゴリー (製品ラインやイベント・タイプなど) 別に分類されます。 例えば、拠点を使用して FIRST 損失データの階層を作成します。 ルート・オブジェクトに FIRST - データという名前を付け、ルートの下にカテゴリー・フォルダーを作成します。 これに外部損失をリンクします。

インシデント

インシデントは、企業に悪影響をもたらす可能性がある出来事です。 インシデントと他の関連データの調査担当者などの情報を記録するには、インシデント・オブジェクトを作成します。 インシデント・オブジェクトは、インシデント分析を容易にするためにワークフローによって使用されます。 インシデントに適用されるカテゴリーには、規制コンプライアンス、法的コンプライアンス、情報セキュリティー、IT などがあります。 インシデントは、イベントが発生した拠点または資産の下に保管され、影響を受ける規約または規程に 2 次的に関連付けられます。

課題、アクション・アイテム

内部統制が適切に実装されていない領域で問題が生成されますが、課題オブジェクトを使用して、任意のオブジェクト・タイプに関連する問題を文書化します。 例えば、統制にテストが関連付けられていて、最後のテストに不合格だった場合などです。 この潜在的な問題を内部統制上の課題オブジェクトに取り込むことで、この問題を強調することができます。

課題はアクション・アイテムを通じて解決されます。 1 つのアクション・アイテムまたは関連する一連のアクション・アイテムを使用して、アクション計画を作成することができます。 各アクション・アイテムは、解決を担当するユーザーに割り当てられ、進捗を追跡します。 課題に対するすべてのアクション・アイテムが完了して担当者が値を 100% に設定したら、課題をクローズします。

Internal Audit Management ソリューションでは、内部統制上の課題およびアクション・アイテムを、結果の代わりに、または結果とともに使用できます。

KPI、KPI 値

KPI (重要業績評価指標) は、リスク・モニター・プロセスのコンポーネントであり、潜在的なリスク状態の先行指標または遅延指標を提供するために使用されます。 組織内の KPI の各インスタンスには、固有の目標としきい値制限を設定することができます。 KPI 値オブジェクト・タイプには、特定ポイントでの KPI オブジェクトの値が記録されます。 KPI オブジェクトを作成し、定期的 (日次、週次、月次) に KPI 値オブジェクトを作成することで、傾向を検出できます。

KRI、KRI 値

KRI (重要リスク評価指標) は、リスク・モニター・プロセスのコンポーネントであり、潜在的なリスク状態の先行指標または遅延指標を提供するために使用されます。 組織内の KRI の各インスタンスには、固有の目標としきい値制限を設定することができます。 KRI 値は、特定の時点におけるインディケーターの実際の値を記録するために使用されます。

リンク

Linkオブジェクト・タイプは、 URLへの参照を Governance console 、1つ以上の関連オブジェクトに関連付けるために使われる。

場所

ロケーション・オブジェクト・タイプは、緊急時対応計画プロセスで必要な地域およびロケーションの詳細をキャプチャーするために使用されます。 場所情報には、例えば、ある場所で働く従業員の数、資産 (コンピューター機器など)、およびその他の場所の詳細を含めることができます。

損失イベント

損失イベントは、組織のいずれかの部分で発生した運用上の損失を追跡するために使用されます。 通常、損失イベントは、損失が発生した拠点の下に格納されます。 損失イベント・オブジェクトを使用して、関連する内部損失データが追跡され、評価され、管理されます。 損失の影響度オブジェクトおよび損失の回収オブジェクトを使用して、各損失イベントについて複数の影響度と回収を追加することができます。

損失の影響度

損失の影響度は、損失イベントの結果として生じる財務上および非財務上の結果です。 損失の影響度では、損失イベントが引き起こした各種の影響 (法定賠償責任、資産の損失と損害、事業の中断など) が追跡されます。 各損失イベントには、複数の損失の影響度を関連付けることができます。

損失の回収

損失の回収オブジェクトは、損失イベントに起因する損失の回収に関連付けられるプロセスを追跡するために使用します。

規約

規約は、組織が準拠する必要がある外部項目 (法律、規制、標準など) を表します。 コンテンツは、UCF、 Ascent Reg Tech、 Wolters Kluwerなどのサード・パーティー・プロバイダーからプルできます。 規約はライブラリー拠点構造内にあり、システム内で複製されることはありません。

例えば、保険会社では HIPAA 用と GLBA 用に別々の規約オブジェクトを使用します。 同じ規約を組織内の複数のグループに関連付けることができます。 例えば、プライバシー規約を、給与計算、保険サービス、法務、IT の各部署に適用する場合などです。

規約オブジェクトは、規制コンプライアンスのコンテンツもサポートします。

メトリック、メトリック値

メトリック・オブジェクトは、組織が追跡することを選択したパフォーマンス測定の定義を記録します。 ユーザーは、メトリック・タイプ、黄色のしきい値、赤色のしきい値、およびその他の収集情報を設定します。 メトリックは、モデル・デプロイメント・オブジェクトとモデル・オブジェクトの子です。

メトリック値オブジェクトは、メトリックのパフォーマンス測定の結果を記録します。 これは、組織が測定の結果を時系列に保管できるように動作するよう設計が行われています。

モデル

モデル・オブジェクトは、組織内のモデルを表現します。 理論的なレベルで、入力データを定量的な推定に処理するために、統計的、経済的、財政的、または数学的な理論、技術、および仮定を適用する、定量的な方法、システム、またはアプローチとしてのモデルです。 モデルの説明、モデルの所有権、モデル・ステータス、開発ライフサイクルの日付、モデル・タイプとモデル・カテゴリー、およびモデルのリスクの評価と対応のデータを含む主要なモデル情報を、モデル・オブジェクト内で表現できます。 モデル・オブジェクトは、ビジネス・エンティティーの子であり、モデル・デプロイメント・オブジェクトの親です。

モデル認証

モデル認証により、組織は、モデルの通常のサインオフまたは認証を要求できます。 MRG 管理者は、それぞれのモデル責任者に割り当てられる 1 組のブランク・モデル認証を定期的に作成します。 各モデル責任者は、モデルに関する一連の質問に回答し、モデル認証を送信します。

モデル・デプロイメント

モデル・デプロイメント・オブジェクトはモデルの子です。 このオブジェクトは、1 つ以上のモデルの展開を記録する重要な要素として使用されます。

モデル入力

組織が、モデル文書に対するより詳細な手法の採用を希望する場合、モデル入力オブジェクトは入力を記録する機能を提供します。 フィールドには、入力責任者、タイプ、ステータス、および説明が含まれます。 モデル入力オブジェクトは、モデル出力オブジェクトの子にすることもできます。これにより、モデルのリンク手法の詳細度が十分でない場合に、詳細レベルでモデル・チェーンを作成できます。

モデルのリンク

組織がモデル文書に対してあまり細分化されていないアプローチを採用したい場合は、モデル・リンクを使用します。モデル・リンクは、あるモデルから別のモデルへのフィードの明示的な詳細を提供しない広範囲のタイプの関連付けです。 これは、複数のモデルの子として動作して、モデル・チェーンを生成できるようにします。

モデル出力

組織でモデル文書に対してより詳細な手法を採用したい場合、モデル出力オブジェクトにより出力を記録する機能が提供されます。 ガバナンスの観点から、出力の説明と概要を記録することを目的としています。

モデル・スコアカード

モデルのリスク評価は、モデルの開発および文書化のフェーズで実行されます。 また、通常、モデルが実動状態になった後も定期的に実行されます。 このリスク評価の実施には、 モデル・スコアカード ・オブジェクト・タイプが使用される。 ユーザーは、モデルに関する複数の質問に回答します。 モデル・スコアカードは、リスク・スコアを計算し、モデル・ティアを決定する。

モデル・バージョン

モデル・バージョン・オブジェクトは、モデル・オブジェクトの子であり、モデル・デプロイメントの親です。 モデル・バージョン・オブジェクトはオプションです。 モデルの複数のバージョンを作成するときに詳細が必要な場合は、モデル・バージョン・オブジェクトを中間オブジェクトとして使用できます。

義務

義務オブジェクト・タイプは、義務に関連付けられた規約オブジェクト、下位規約オブジェクト、および要件オブジェクトのすべてに準拠するように正規化および調和化された達成する必要があるものを表します。

義務オブジェクトは 2 つの主要な目的を達成します。多くの場合、規約/下位規約/要件の難しい法律用語を単純な英語に翻訳し、複数の規約/下位規約/要件にわたる共通性を使用します。 例えば、強力なパスワードを使用する必要がある多数の規約に多数の下位規約と要件がある場合があります。 単一の義務オブジェクトで、強力なパスワードの詳細を文書化できます。 この単一の義務に準拠することで、IT 部門は多数の規約、下位規約、および要件を満たすことができます。

通常、義務オブジェクトはライブラリーのビジネス・エンティティー構造で表され、システム全体に複製されることはありません。

義務評価

ユーザーが内部統制を義務にマップすると、ユーザーは、特定された義務に関連してどの程度うまく運用されているかを評価できます。 ユーザーは、コンプライアンスのテーマの範囲内で統制の運用状況の有効性と設計の有効性を評価できます。

義務評価値

義務評価値は、義務評価の範囲内の特定の時点における義務の実際の価値を記録するために使用されます。

ORIC 損失

ORIC 損失オブジェクトを ORIC 外部損失データベースからインポートして、シナリオ分析、ベンチマーキング、レポート生成に使用したり、損失データを分析ツールや資本配分アプリケーションにエクスポートしたりすることができます。

ORX 損失

ORX 損失オブジェクトを ORX 外部損失データベースからインポートして、シナリオ分析、ベンチマーキング、およびレポート生成に使用したり、損失データを分析ツールまたは資本割り振りアプリケーションにエクスポートしたりすることができます。 シナリオ分析で使用するために、外部 ORX 損失データを watsonx.governance Operational Risk Management にインポートできます。

計画、タイムシート

計画オブジェクト・タイプを使用すると、監査リソースのスケジューリングと割り振りを任意のレベルで行うことができます。 例えば、監査全体に対して 1 つの計画オブジェクトを作成したり、監査に関与している各監査人に対してタスクごとに 1 つの計画オブジェクトを作成したりすることができます。 計画オブジェクトは、目的のリソースに必要とされる可用性、スキル、経験を判別するために使用します。 監査ビュー、レポートなどは、監査レベルでの計画と連携しています。 監査セクションに計画を関連付けることもできますが、その場合はこれらのコンポーネントを変更する必要があります。

計画オブジェクトでは、時間追跡も行われます。つまり、計画に対してすべての時間が追跡されます。 タイムシート・オブジェクト・タイプを使用して、監査の計画オブジェクトで実際に消費された時間と費用が週単位で記録されます。 計画にタイムシート・オブジェクトが関連付けられているため、計画された時間および費用と実際の時間および費用のずれを容易に追跡できます。

通常、計画オブジェクトを作成または変更するには、計画の追加または変更ヘルパーを使用します。このヘルパーは、監査所有者が監査タスク・ビューのリンクからアクセスできます。 Audit Management（監査管理） > Plans（計画） 」メニュー項目にアクセスして、計画を編集することもできます（作成はできません）。

時間と費用のデータを入力、変更、および承認するには、常にタイムシート・ヘルパーを使用する必要があります。 タイムシート情報は、 「Audit Management（監査管理 ）」>「 Timesheets（タイムシート） 」メニュー項目で確認できます。 ダッシュボードの「レポート」タブにタイムシート・ヘルパーを追加することもできます。

ポリシー

ポリシーは、組織内の取締役会または上級ガバナンス組織によって採用される内部ガイドラインを表します。 規程のテキストは、オブジェクトの標準化されたフィールドに保管するか、オブジェクトの添付ファイルとして保管することができます。 規程には通常、草稿から公開済み、期限切れへと至る明確なライフサイクルがあるほか、レビューと承認のプロセスがあります。 通常、規程原案は組織のビジネス階層にあり、公開済みの規程と期限切れの規程は参照ライブラリー拠点にあります。 関連するライブラリー内の適用可能な規約に規程がマップされることもよくあります。

規程レビュー・コメント

規程レビュー・コメントは、対象分野の専門家およびコンプライアンス担当者による規程とプロシージャーのレビューと承認のプロセスをサポートし、促進します。

設定、設定グループ

設定オブジェクトはビジネス・エンティティーまたは設定グループの子であり、レポート、ワークフロー、および計算対象フィールドに影響を及ぼす可能性がある変数値を含んでいます。 このオブジェクトの拠点固有の変数値により、同じワークフローで動作を変えることができます。 例えば、レビューと承認のワークフローの動作を決定する変数値 (レビューと承認の各レベルに適したユーザーなど) を定義し、必要なレビューと承認のレベル数を決定するしきい値を定義します。

設定グループは、設定オブジェクトをグループ化するために使用します。 このグループ化オブジェクトがないと、各設定オブジェクトを関連する拠点それぞれに個別に関連付けなければなりません。 設定グループにより、関連する保守作業を最小化することができます。

デフォルトの watsonx.governance Internal Audit Management 構成では、これらのオブジェクトは、年次評価リスク・ランキングで使用されるリスク要因の重みを保持するために使用されます。 重みと要因は監査のタイプ (財務、運用、戦略など) によって異なる可能性があるため、監査タイプごとに個別の設定インスタンスを作成します。 このオブジェクトは拠点の子であるため、この手法により、拠点固有の変数値を設定することが可能となります。

デフォルトの watsonx.governance Model Risk Governance 構成では、これらのオブジェクトを使用して、さまざまな MRG ワークフローの参加者を識別し、モデル・リスク・スコアカード構成でパラメーターを構成します。

手順

手順は、組織内でポリシーが実装される内容、場所、タイミング、および方法を表します。 プロシージャーのテキストは通常、オブジェクトのフィールドに格納されます。 通常、プロシージャーは規程の子として表され、親規程と同じ拠点構造に配置されます。

プロセス

プロセスは、拠点内のリスクの対象となる主要なエンドツーエンドのビジネス・アクティビティーを表します。 プロセスは、財務レポート、コンプライアンス、情報セキュリティーなどの領域にあります。 例えば、売掛金管理部門のプロセス (受注から入金など) を統制によって強化して、財務レポートの信頼性にかかわるリスク (詐欺的な行為や不正確な財務レポートなど) を防ぐことができます。

Internal Audit Management ソリューションでは、プロセスは監査の範囲設定にも使用されます。 監査では、拠点で作成されたプロセスをコピーすることも、独自のプロセスを作成することもできます。

プロセス Eval

プロセス評価オブジェクトはプロセス・オブジェクトの子であり、傾向の把握を目的としたプロセス測定値を取り込むために使用します。

レポート対象期間と評価サイクルが一致していない場合は、プロセス評価オブジェクトを使用して 1 つのレポート対象期間内に複数の評価サイクルを取り込むことができます。

プロダクト

このオブジェクト・タイプは戦略目標オブジェクト・タイプの子であり、製品を表すために使用されます。

プログラム

プログラム・オブジェクトは、アンケート・テンプレートと共に使用してアンケート評価を実装します。 事業管理者がプログラムを起動すると、アンケート評価が作成されます。 プログラムは、基礎となる資産、プログラムが作成したアンケート評価、およびベースとなっているアンケート・テンプレートに関連付けられます。 プログラムは、ワークフローの入力を提供します。

プロジェクト

プロジェクトは、法的タスクを全体的なコンプライアンス・プロジェクトに編成するように設計されています。 例えば、コンプライアンス・フレームワークで対処する必要のある法的変更がある場合があります。ユーザーはプロジェクトを作成し、タスクを識別して割り当てることができます。

アンケート評価

アンケート評価オブジェクトは、組織のビジネス・ユーザーから情報を収集するための手段です。 アンケート評価は、プログラムを起動したときに作成されます。 アンケート評価は、基礎となる資産、そのアンケート評価を起動したプログラム、およびベースとなっているアンケート・テンプレートに関連付けられます。 アンケート評価は、レビュー・プロセスを容易にするためにワークフローによって使用されます。

アンケート・テンプレート、セクション・テンプレート、サブセクション・テンプレート、および質問テンプレート

アンケート・テンプレート、セクション・テンプレート、サブセクション・テンプレート、および質問テンプレートの各オブジェクトは、プログラムと共に使用して、アンケート評価を実装します。 アンケート・テンプレート・オブジェクトが親オブジェクトであり、セクション・テンプレート・オブジェクトを編成します。 セクション・テンプレート・オブジェクトは、アンケート・テンプレート・オブジェクトの子であり、サブセクション・テンプレート・オブジェクトを編成します。 サブセクション・テンプレート・オブジェクトは、親セクション・テンプレート・オブジェクトの子であり、質問テンプレート・オブジェクトを編成します。 質問テンプレート・オブジェクトには、質問と回答の選択肢が含まれます。

RapidRatings 評価

RapidRatings 評価オブジェクトは、 watsonx.governance Third-Party Risk Managementの RapidRatings コネクターで使用されます。 RapidRatings Ratings オブジェクトは、財務評価を保管し、Vendor オブジェクトの子です。

Reg-Track 規制イベント

Reg-Track 規制イベント・オブジェクトを使用すると、規制イベント・フィードを Reg-Track から watsonx.governance Regulatory Compliance Managementに直接取り込むことができます。

Reg-Track 規制イベント・シリーズ

Reg-Track 規制イベント・シリーズ・オブジェクトは、 Reg-Track フィード内で同じ Reg-Track シリーズ ID が割り当てられた Reg-Track 規制イベントのコレクションです。 Reg-Track 規制イベント・シリーズ内の Reg-Track 規制イベントのグループ化により、規制変更の展開において、提案された段階から最終段階まで変更を追跡することができます。

規則の適用性

規則の適用性オブジェクトは、組織のビジネス階層内にあります。 このオブジェクトでは、ライブラリー内の規約が拠点に与える規制の影響が評価され、追跡されます。

調整器

規制者オブジェクトは、規制者とのやり取り管理機能の一部であり、組織がやり取りを行うすべての規制者を 1 つにまとめたインベントリーを作成できるようにします。 通常、規制者は参照ライブラリー拠点に作成されます。 このオブジェクトは拠点の子であり、規約および規制者とのやり取りに関連付けることができます。

規制者とのやり取り

規制者とのやり取りオブジェクトは、規制者とのやり取り管理機能の一部です。 規制者とのやり取りオブジェクトは、外部規制者に関連付けられているやり取り、通信、内部作業、レビューと承認 (審問、送信、申請、尋問、監査など) を管理できるようにします。 尋問などの複雑なやり取りでは、RI コンポーネント・オブジェクトおよび RI サブコンポーネント・オブジェクトを使用して、やり取りをさらに小さいコンポーネントに分割したり、規制者からの追跡審問を追跡したりできます。 規制者とのやり取りは、規制者、規約、下位規約、要件、規程、プロシージャー、および統制の各親オブジェクトにマップできます。 これらの親の関連付けにより、ユーザーは、規制者とのやり取りで問題になっている可能性があるオブジェクトをリンクし、それらのオブジェクトに関連するユーザーや、規制者への応答時にコンサルティングする必要があるユーザーを識別できます。 規制者とのやり取りの管理およびやり取りへの応答に関連する個々のタスクは、法的タスクの子オブジェクトを通じてユーザーに割り当てられる可能性があります。

規制変更

法的変更オブジェクトは、法的変更管理機能の一部です。 法的変更の追跡、変更が組織に与える影響の評価、適切な社内の人員に対する変更の通達、変更に対応するための内部プロセスの実施を可能にします。

通常、法的変更はライブラリー拠点にあり、変更された規制イベント、規約、下位規約、または要件に直接関連付けることができます。 法的変更のトリアージは、法的タスクの子オブジェクトを割り当てることにより実行されます。

規制イベントのフィードを受信する組織の場合、ユーザーは、複数の法的変更オブジェクトを作成し、 ルール・エンジン内で作成されたルールに基づいて規制イベントの取り込みからワークフローを開始できます。

規制イベント

規制イベント・オブジェクトは、 watsonx.governance Regulatory Compliance Management (RCM) で使用されます。 規制イベント・オブジェクト・タイプでは、REST API または IBM AppConnect を使用して規制イベント・フィードを RCM に直接取り込むことができます。 規制イベント・オブジェクト・タイプは、 ルール・エンジンとともに、提供されたデータ・ポイントに基づいて着信規制者イベントをユーザーに割り当てるワークフローの自動生成をサポートします。 規制変更の影響を受ける文書もサポートされます。 これらの機能は、ユーザーに効率的にタスクを割り当てて、規制の変更に効率的に対応し、準備するのに役立ちます。 規制イベントは、拠点、統制、規約、下位規約、要件、規程、またはプロシージャーの子にすることができます。 ユーザーは、法的イベントの子として法的変更オブジェクトを作成できます。

注: データ・プロバイダーを使用している場合は、そのフィードの規制イベント・オブジェクト・タイプ ( Reg-Track 規制イベント・オブジェクト・タイプなど) を参照してください。

規制イニシアチブ

規制イニシアチブ・オブジェクトは拠点の子であり、組織に影響を与える規則に関する記述情報を取り込みます。 規制イニシアチブは、規制のより広範なグループを表します。 例えば、組織が準拠する必要のあるいくつかの異なるマネー・ロンダリング規則を含む、マネー・ロンダリング防止を規制イニシアチブにすることができます。

法的タスク

タスクが「プロジェクト」、「規程」、「法的変更」、「規制者とのやり取り」、「RI コンポーネント」、または「RI サブコンポーネント」のいずれかの親オブジェクトに関連している場合、タスクをユーザーに割り当てるために法的タスク・オブジェクトが使用されます。 また、法的タスクを拠点に関連付けることもできます。

要件

要件オブジェクトは、組織がコンプライアンスに準拠するために遵守する必要がある、関連する規約オブジェクトまたは下位規約オブジェクトにある特定の要件の詳細を記述します。

コンテンツは、UCF、 Ascent Reg Tech、またはその他のサード・パーティー・プロバイダーからプルできます。 通常、要件はライブラリー拠点構造内にあり、システム内で複製されることはありません。

Ascent Reg Techでは、着信タスクごとに要件が作成されます。

要件評価

ユーザーは、規則から生成された要件に内部統制をマップすると、特定された要件に対してどのように操作しているかの評価を実施できるようになります。 ユーザーは、コンプライアンスのテーマの範囲内で統制の運用状況の有効性および整備状況の有効性を評価できます。

要件評価値

要件評価値は、要件評価の範囲内の任意の時点で、要件の実際の値を記録するために使用されます。

要求バージョン

要件バージョン・オブジェクトは、要件規制テキストの以前のバージョンと将来のバージョンの詳細を示します。 要求バージョン・オブジェクトは、要求の子です。 要件バージョン・オブジェクトは、時間の経過に伴う規制上の変更を追跡します。 過去のバージョンは、特定の時点での要求のレビューを支援することができます。 将来のバージョンでは、ユーザーは、将来の規制テキストの変更に備え、影響分析を開始することができます。

レビュー

レビュー・オブジェクトは、モデル・レビュー・アクティビティーのスケジューリングおよび結果を記録するために使用されます。 これは、モデル・デプロイメント・オブジェクトとモデル・オブジェクトの両方の子です。 このオブジェクトの目的は、レビューが実施前であるか実施後であるかどうか、または第二の防衛線で実行されたか第三の防衛線で実行されたかどうかに関わらず、それらのレビューの結果を取り込むことです。

RI コンポーネント

RI コンポーネント・オブジェクト (以前のラベルは RI カテゴリー) は、規制者とのやり取り管理機能の一部であり、3 層オブジェクト・モデル (規制者とのやり取り、RI コンポーネント、および RI サブコンポーネント) の中間層として使用されます。 このオブジェクトは、複雑な規制者とのやり取りを、さらに小さく、さらに管理しやすいレコードに分割したり、規制者からの追跡審問を規制者とのやり取りの親オブジェクトにリンクしたりするために使用されます。 さらに、RI コンポーネントを、規約、下位規約、要件、規程、プロシージャー、および統制の各親オブジェクトにマップできます。 これらの関連付けにより、ユーザーは、問題になっている可能性があるオブジェクトをリンクして、それらのオブジェクトに関連するユーザーや、規制者への応答時にコンサルティングする必要があるユーザーを識別できます。 規制者とのやり取りの管理およびやり取りへの応答に関連する個々のタスクは、法的タスクの子オブジェクトを通じてユーザーに割り当てることができます。

RI サブコンポーネント

RI サブコンポーネント・オブジェクト (以前のラベルは RI 要求) は、規制者とのやり取り管理機能の一部であり、3 層オブジェクト・モデル (規制者とのやり取り、RI コンポーネント、および RI サブコンポーネント) の最後の層として使用されます。 このオブジェクトは、規制者とのやり取りおよび RI コンポーネントを、さらに小さく、さらに管理しやすいレコードに分割するために使用されます。 さらに、RI サブコンポーネントを、規約、下位規約、要件、規程、プロシージャー、および統制の各親オブジェクトにマップできます。 これらの関連付けにより、ユーザーは、問題になっている可能性があるオブジェクトをリンクして、それらのオブジェクトに関連するユーザーや、規制者への応答時にコンサルティングする必要があるユーザーを識別できます。 規制者とのやり取りの管理およびやり取りへの応答に関連する個々のタスクは、法的タスクの子オブジェクトを通じてユーザーに割り当てることができます。

リスク

リスクは潜在的な負債です。 リスクはビジネス・プロセス、拠点、または規約へのコンプライアンスに関連付けることができます。 各リスクには、そのリスクの防止策となる統制があります。 統制によって、リスクがもたらす結果を軽減することができます。 リスク・オブジェクトは、リスクの分類に使用されるほか、観測されたリスク・データと計算されたリスク・データの頻度、評価、重大度を取得したり、トップ・リスク項目を特定するためのレポートを表示したりするために使用します。 例えば、キャッシュ勘定科目に給与計算というプロセスがあります。 給与計算での潜在的なリスクには、二重の給与支払いや、架空の給与支払いの作成があります。 プロセスでのリスクを識別することは、財務統制文書化プロジェクトを進めるための重要な要素です。

Internal Audit Management ソリューションでは、内部監査とビジネスの間で共有されるリスクを個別に評価できます。

リスク・アセスメント

リスク評価により、一連の拠点またはプロセスの潜在的負債を評価し、報告することができます。 リスクの評価と対応オブジェクトには、評価者とレビューアーの名前、評価の時間枠、および評価の状況が格納されます。 リスクの評価と対応は、リスクの自己評価プロセスを管理するために使用します。 リスク・オブジェクトをリスクの評価と対応に関連付けると、拠点とリスクの間にリンクが作成されます。 例えば、オペレーショナル・リスク (外部からの窃盗や詐欺、内部の不正、物理的資産の損傷、事業の中断など) を評価するために、リスクの評価と対応を作成します。

リスク評価

リスク評価評価オブジェクトは、リスク評価オブジェクトと似ていますが、リスクの評価と対応の子としてインスタンス化される点が異なります。 このオブジェクトにはリスク評価データが格納されます。

リスク評価

リスク評価オブジェクトはリスク・オブジェクトの子であり、傾向分析の目的でリスク測定値を取り込むために使用されます。 レポート対象期間とリスク評価サイクルは一致しないことが多いため、リスク評価オブジェクトを使用して 1 つのレポート対象期間内に複数の評価サイクルを取り込むことができます。

RiskRecon 評価

RiskRecon 評価オブジェクトは、 watsonx.governance Third-Party Risk Managementの RiskRecon コネクターで使用されます。 RiskRecon Ratings オブジェクトは、カテゴリー・レベルおよびサブカテゴリー・レベルのベンダー評価およびスコアを保管します。 RiskRecon 評価オブジェクトは、 /BusinessEntity/Library/VRM/VRMLibrary/RiskRecon の下に作成され、Vendor オブジェクトの子です。

シナリオ分析

シナリオ分析 (SA) は、オペレーショナル・リスク・イベントの潜在的な発生を識別および測定したり、オペレーショナル・レジリエンスを評価したりするために使用される評価手法です。 従来のオペレーショナル・リスク評価とは異なり、これは将来を見通した仮定分析です。

シナリオ分析は、もっともらしい運用上の損失の可能性と影響の推論された評価を導出したり、運用の回復力を分析したりするように設計されています。 Governance console のシナリオ分析プロセスを使用して、シナリオ分析を構成し、サポートする質的データおよび量的データを収集することができます。 各シナリオ分析内で、評価のサポート情報とともに、頻度と重大度の推定値の範囲をバケットに記録できます。

watsonx.governance Operational Risk Management (ORM) では、多くの場合、シナリオ分析を使用して、発生頻度は低いが重大度の高い損失 (自然災害、テロ、不正なトレーダーなど) を伴うイベントを特定して測定します。 シナリオ分析は、多くの場合、定性的な要素とともに、企業のオペレーショナル・リスク資本の見積もりへの直接入力として使用されます。 一般に、シナリオ分析は拠点に対して作成され、リスク・カテゴリーが割り当てられます。 また、リスク評価、関連する損失イベント、ORIC 損失、ORX 損失、およびリスクなど、裏付けとなる ORM データを関連付けることもできます。

watsonx.governance Business Continuity Management (BCM) では、シナリオ分析を使用して、重大なが妥当なシナリオを識別および測定します。これにより、重要なビジネス・サービスが中断される可能性があり、確立された影響許容範囲内でビジネス・サービスがリカバリーできる可能性がテストされます。 シナリオ分析オブジェクトは、ビジネス・サービス・オブジェクトの子オブジェクトとして作成されます。 シナリオ分析の結果は、シナリオ結果オブジェクトに保管されます。

シナリオ結果

シナリオ結果オブジェクトはシナリオ分析オブジェクトの子であり、比較および傾向の把握を目的としたシナリオ分析ワークショップの結果を取り込むために使用します。

watsonx.governance Business Continuity Managementでは、シナリオ分析ワークフローの最後のアクションの一部としてシナリオ結果オブジェクトが作成されます。

署名

署名は、一般にオブジェクトの承認に同意したことを示します。 これには、適用を強制する力はありません。 また、承認後に項目を変更できないようにすることはできません。

署名 (ロックが関連付けられているものと関連付けられていないもの) は、オブジェクトのタスク・ビューからオブジェクトに適用されます。

システムで署名ロックが構成されている場合は、オブジェクトでサインオフを行ったときに、オブジェクトとそのすべての関連子オブジェクトがロックされ、署名者が署名を取り消すか管理者がオブジェクトのロックを解除するまで変更できなくなります。

戦略目標

このオブジェクト・タイプは、組織の ESG 目標を表すために使用されます。 オブジェクト・タイプには、ESG ドメインおよび目標のフィールドが含まれます。 戦略目標オブジェクト・タイプには、拠点という 1 つの親があります。

サブアカウント

サブアカウントは、より大きな親アカウント (または別のサブアカウント) の一部である、より小さく、よりターゲットを絞った明細項目を表します。 各補助科目オブジェクトは、親である勘定科目オブジェクトまたは補助科目オブジェクトに関連付けることができます。

下位規約

下位規約は、組織が準拠する必要がある外部 (または内部) の下位項目を表します。 UCF、 Ascent Reg Tech、 Wolters Kluwerなどのサード・パーティー・プロバイダーからコンテンツをプルできます。 通常、下位規約はライブラリー拠点構造内にあり、システム内で複製されることはありません。 下位規約は再帰的ですが、Deloitte、UCF、 Ascent Reg Tech、および Wolters Kluwer の各コンテンツは、厳密に 1 つの下位規約を使用します。 下位規約では、規制コンプライアンスの内容もサポートします。 下位規約を使用して、法的文書から抽出した段落を表すことができます。

サブプロセス

サブプロセスは、プロセスの 1 つのコンポーネントです。 プロセスを評価目的でより小さな単位に分割するために使用します。 例えば、受注から入金までの財務プロセスは、買掛金、購買、一般会計などの複数のサブプロセスで構成されます。 これらのサブプロセスは拠点をリスクにさらす可能性があり、統制を使用して改善することができます。

Internal Audit Management ソリューションでは、このオブジェクトは監査スコープでは使用されませんが、プロセスの詳細を文書化するために使用される可能性があります。

サブコントラクター

Sub-Contractor オブジェクトは、Vendor オブジェクトの子オブジェクトです。 サブコントラクターは、ベンダーによって提供されるサービスの一部を表します。 Sub-Contractor はオプションのオブジェクト・タイプです。 「従契約者」は、アンケート評価、リスク評価、または階層化の対象にすることができます。 さまざまなサブコントラクターに関連付けられているリスクを要約して分析することができます。 Sub-Contractor がサポートするプロセスまたはサブプロセスに親の関連付けを追加できます。

監査計画の要約

「要約監査計画」オブジェクト・タイプを使用すると、プログラム・オフィスは、範囲、リスク・プロファイル、監査の予測時間などによって、事前に決定された期間 (年次、半年、または四半期) にわたって監査可能拠点の監査を計画することができます。

Summary Audit Plan オブジェクトは、拠点の子です。 サマリー監査計画の子には、監査および監査可能拠点が含まれます。

Supply Wisdom

Supply Wisdom オブジェクトは、 Supply Wisdomからインポートされたベンダーのリスク評価を保管します。 Supply Wisdom オブジェクト・タイプには、1 つの親である Vendor があります。

Supply Wisdom 親アラート

Supply Wisdom 親アラート・オブジェクトは、 Supply Wisdomからインポートされたアラート・データを保管します。 インポートにより、着信アラート・データの事業継続性イベント・オブジェクトが作成され、 Governance console内の対応する Vendor オブジェクトおよび Location オブジェクトにアラートが関連付けられます。

システム

System は、自己完結型のオブジェクト・タイプです。これは、システム・オブジェクトごとにフォルダーが作成されることを意味します。 システム・オブジェクトは、リスクを評価できる稼働環境内のエレメントを表すために、複数のベースラインをグループ化します。 これは、資産オブジェクトと、関連するリスク、統制、および要件の集合のコンテナーとして機能します。これらが連携して、1 つの機能を実行したり、1 つの IT サービスを構成したりします。 例えば、システム・オブジェクトは、企業の E メールを提供するサーバー、オペレーティング・システム、アプリケーション、データベース、サポート担当者、および機能を表す場合があります。

チーム

組織は、チーム・オブジェクト・タイプを使用して、事業継続性プロセスをサポートするグループまたは事業継続性の計画で影響を受けるグループを分類できます。 チーム・オブジェクトは、チームの重要メンバー、業務の種類、および場所を識別するために使用でき、従業員オブジェクトまたは事業継続性計画オブジェクトに関連付けることができます。

テスト計画

テスト計画はテストのコンテナーであり、親コントロール・オブジェクトおよび子オブジェクト (テスト結果や問題など) に関連付けることができます。 詳細なテストを実施し、結果を文書化することで、統制の運用状況の有効性を確認します。 テスト計画では、統制が有効かどうかを判別する仕組みを記述します。 例えば、コントロールの例を以下に示します。人事は、従業員のステータスの変更を許可します。 このコントロールのテストは、以下のようになります。新しい従業員レコードの HR 許可スタンプを確認します。 テストでは、新規統制が実施されて使用中であることが検証されます。

デフォルトの Internal Audit Management 構成では、テスト計画およびテスト結果の代わりに調書オブジェクトが使用されます。 監査オブジェクトではこれらのオブジェクトにアクセスできる必要があります。ビジネス・テストを文書化するためにこれらのオブジェクトが使用されることが多いためです。

テストの結果

テストの結果は、テスト計画を実行して得られる情報です。

デフォルトの Internal Audit Management 構成では、テスト計画およびテスト結果の代わりに調書オブジェクトが使用されます。 監査オブジェクトではこれらのオブジェクトにアクセスできる必要があります。ビジネス・テストを文書化するためにこれらのオブジェクトが使用されることが多いためです。

脅威

脅威とは、組織の運用および資産に悪影響を及ぼす可能性がある状況またはイベントのことです。 脅威のライブラリーは、拠点オブジェクトの下に作成し、親のプロセス、システム、または資産オブジェクトに関連付けるかコピーすることができます。 また、脅威を脆弱性に関連付けて、脆弱性の脅威による脆弱性の悪用の可能性と影響を特定して評価することもできます。これにより、資産、システム、またはプロセスに対するリスクが発生します。

ユース・ケース

ユースケース・オブジェクトは、エンティティーの子であり、モデル・オブジェクトの親です。 ユース・ケース・オブジェクトの使用はオプションです。 その主な目的は、モデルのユース・ケースに関する情報を収集することです。

ユース・ケース・レビュー

ユースケース・レビュー・オブジェクトは、ユースケースの子です。 その主な目的は、レビューアーの名前、リスク評価、レビュー・コメントなど、親ユース・ケースのさまざまな利害関係者から承認情報を収集することです。

ベンダー

ベンダーは、企業が商品またはサービスを調達するサード・パーティー企業を表します。 ベンダーには4種類の子オブジェクトがあります: ベンダー子会社、SubContractors,契約と約束。 ベンダーは、アンケート評価、リスク評価、または層分けの対象にすることができます。 各種ベンダーに関連するリスクを要約および分析することができます。 ベンダーがサポートするプロセスやサブプロセスに親の関連付けを追加できます。

Supply Wisdomを使用する場合、Vendor オブジェクトには、子オブジェクトとして Supply Wisdom オブジェクトもあります。

ベンダー評価は、コネクターを使用して SecurityScorecard または Supply Wisdom からインポートできます。

ベンダー子会社

販売元子会社は、企業が商品またはサービスを調達する販売元の子会社を表します。 ベンダーの子会社は、オプションのオブジェクト・タイプです。 ベンダーの子会社は、ベンダーの子です。 ベンダー子会社には、次の 3 種類の子オブジェクトがあります。SubContractor,契約と約束。 ベンダーの子会社は、アンケート評価、リスク評価、または階層化の対象にすることができます。 さまざまな販売元子会社に関連するリスクを要約および分析できます。 ベンダー子会社がサポートするプロセスまたはサブプロセスに親の関連付けを追加できます。

脆弱性

脆弱性により、セキュリティーの脆弱性を追跡して評価することができます。 脆弱性の共通脆弱性評価システム (CVSS v2) を使用して、脆弱性にスコアを割り当てます。 脆弱性の親オブジェクトは、システム、インシデント、資産、またはリスクにすることができます。 通常は、IT セキュリティー・ソリューションから脆弱性をインポートします。

権利放棄

免除により、ポリシー、要件、または統制の例外のライフサイクルを文書化、処理、および管理することができます。 免除は、拠点、ポリシー、手順、要件、リスク、統制、基準、および資産に関連付けることができます。

WK 規制イベント

WK 規制イベント・オブジェクトは、 Wolters Kluwer から watsonx.governance Regulatory Compliance Managementへの規制イベント・フィードの直接取り込みを可能にします。

ワークペーパー

ワークペーパーは、監査の範囲内で追跡する必要があるアーティファクトまたは成果物です。 契約書、テスト・マトリックス、面談メモ、あるいは問題の監査に応じたその他の成果物を表すことができます。 調書自体は、調書オブジェクトに保管されている属性にすることも、Microsoft Word、Microsoft Excel、または調書オブジェクトに添付されているその他のタイプのファイルにすることもできます。 調書をテストの証拠に使用する場合は、テスト計画とテスト結果の両方が調書で文書化されます。

監査セクションのタスク・ビューから調書オブジェクトを作成します。 調書オブジェクトはライブラリーからコピーすることもできます。ライブラリーでは、内部の監査部署が作成した各種調書のテンプレートが調査オブジェクトで表されています。