掲載月 : 2008年9月
開発組織にとってQCD(Quality : 品質、Cost : コスト、Delivery : 納期)を高い次元でバランスさせることは、これまで一貫したテーマでしたが、昨今は、ビジネス面からの要請にも応えられるような組織のあり方や開発の進め方が求められています。IBMは「ソフトウェア開発組織にガバナンスをもたらし、お客様の成功をサポートする」ことを目的に、Rational®製品を通して、お客様に対してプロセス改善の専門技術やツールを提供しています。
IT全般統制の実現における課題
図1.日本版SOX法における
内部統制とITの関係
ビジネス面からの要請の一つにリスク管理、コンプライアンス管理を支える内部統制があります。2008年4月から適用された「金融商品取引法」(日本版SOX法)では、財務報告の信頼性確保のため、内部統制の外部監査が義務付けられ、企業にとって内部統制の確立が求められています。内部統制は、以下の3つの統制により、構成されます[図1]。
- 業務処理統制
財務報告の信頼性に影響を及ぼす業務プロセスに組み込まれた統制手続き(ワークフロー、紙文書の電子化などの業務プロセス、統制/アプリケーション・コントロールのためのIT業務処理統制) - IT 全般統制
ITを利用した業務処理統制が有効に機能することを保証する基盤の統制活動 - 全社統制
統制方針・IT戦略・リスク管理など、ITサービス全体の統制環境を実現する活動
この内、IT全般統制は、内部統制を下支えする取り組みとして極めて重要です。
IT全般統制への対応について、対応項目として、SOX法で先行する米国では、Public Company Accounting Oversight Board(PCAOB)の内部統制監査基準第2号で、プログラム開発、プログラム変更、コンピューター運用、プログラムやデータへのアクセスの4項目が例示されています。また、2007年2月に金融庁が公表した「財務報告に係る内部統制の評価及び監査に関する実施基準」では、ITにかかわる全般統制の具体例として、システムの開発、保守関係の管理、システムの運用・管理、内外からのアクセス管理などシステムの安全性の確保、外部委託に関する契約の管理、などが挙げられています。日本のお客様の多くは、運用やアクセス権管理などについてはセキュリティー強化の観点からすでに取り組まれているものの、プログラム開発のプロセスや開発と本番環境での展開方法などについては未着手で、まだまだ具体的な取り組みが必要であると思われます。
IT全般統制で重要なソフトウェアの変更管理とツール群
図2.IBM Rational
ソフトウェア・デリバリー
プラットフォーム
IT全般統制においては、業務を動かすソフトウェアの変更管理が重要です。ソフトウェアの開発や変更に関して、「正しい手順・手続きを守り、いかに統制を効かせるか」、「その実現により、法制度への対応を超えて、より品質の高いソフトウェアでいかに企業価値や競争力を高めることができるか」、という点まで考慮に入れて取り組むことが大切です。
IBMでは、このIT全般統制の重要なポイントであるソフトウェア開発管理・変更管理・リリース管理分野に関して、さまざまな課題に対応するRationalという卓越したソフトウェア製品をもってお客様のご支援をしています。その中から、特に重要な製品について概要を紹介します。
Rationalでは、ソフトウェア開発のツール群を、ライフサイクル・マネージメントの観点から[図2]のようなカテゴリーに分けて考えています。
プロセスとポートフォリオ管理
IBM Rational Method Composer(RMC)
RMCは、コンプライアンス要件を反映した開発プロセスを文書化します。あらゆる開発環境・開発要件に対応する実証済みのソフトウェア開発のベスト・プラクティスであるRational統一プロセス(Rational Unified Process®)を基に、プロジェクトの各段階で必要なプロセス・コンポーネントを選択・カスタマイズしてデプロイし、開発メンバー全員にお客様固有の開発プロセスとして公開します。
RMCにより、コンプライアンス対応の開発プロセスを構築し、Webブラウザーから閲覧可能にすることで、コンプライアンス要件の反映をサポートします。
変更とリリースの管理
IBM Rational ClearQuest®、Rational ClearCase®、Rational Build Forge®
ClearQuestは、開発プロセスを自動化することでソフトウェア・ライフサイクルのより優れた内部監視、予測、そしてコントロールを可能にします。また電子署名や、監査証跡とライフサイクル追跡機能により、コンプライアンス対応を強力にご支援します。
ClearCaseは、ライフサイクル全体にわたってソフトウェア資産の管理と制御を行う構成管理ツールで、ソフトウェア資産になされた変更を記録し、コンプライアンス対応上必要なアプリケーションの作成に使用されたファイルの記録を一元管理、必要なレポートの作成をご支援します。また、ClearQuestと連携することで、開発サイクルの全体にわたって要件定義から資産の状況を追跡できるようになります。
Build Forgeは、ソフトウェア・デリバリー・プロセスの自動化を実現するソフトウェアです。コンプライアンスの観点では、ソフトウェア・ビルドを検証して、デプロイされたソフトウェアの正確なバージョンの記録・文書化をご支援します。
品質管理
IBM Rational ClearQuest、IBM Rational RequisitePro®
先にご紹介した ClearQuestが、要求・設計の変更に対するテスト仕様の適切な変更やバグ対応の一元管理という点で、コンプライアンスへの対応をご支援します。
Rational RequisiteProは、要件の体系化・影響分析・追跡を行います。これにより、コンプライアンス要件を識別し、テストまでのトレーサビリティーを実現してアプリケーションで確実に実装されたことを検証可能とします。
「品質管理」のもう一つの側面であるテストの自動化についても豊富な製品群でソフトウェアの「品質の作り込み」をご支援しています。
米 Fidelity National Financial社の事例
米 Fidelity National Financial社は、ソフトウェア構成管理を皮切りに多くのRational製品を導入され、ソフトウェア資産の再利用などの点で大きな効果を上げています。
その一環として、Rationalテスト・ツールとRequisiteProおよびClearQuest・ClearCaseの統合を実施し、要件からテストまでの開発期間中のトレーサビリティーを確保しました。これにより、金融サービス業界の厳しい法的要件に対するコンプライアンスへの対応を実現しています。
今回ご紹介した製品の他にもIBM Rationalではソフトウェア開発全般をご支援する製品を豊富に準備しており、お客様の現状・課題に応じた、ソフトウェア開発におけるコンプライアンス要求への対応の実現に貢献してまいります。
本事例は特定のお客様での事例であり、すべてのお客様について同様の効果を実現することが可能なわけではありません。
本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
IBM, IBMロゴ, Build Forge, ClearCase, ClearQuest, Rational, Rational Unified Process, RequisiteProは、International Business Machines Corporationの米国およびその他の国における商標。
Adobe, Adobeロゴは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
