予防コンプライアンス管理のための ポリシーアズコードエンジン
コンプライアンスマネージャーは、コントロール目標を ポリシーアズコードエンジン (PaCE) でマッピングできます。PaCE は、ドキュメント参照と、例外を決定する必要がある PaCE ポリシーを渡す GRC を呼び出します。コントロールオーナーは PaCE ログを表示して、準拠または非準拠のインスタンスを把握できます。
組織が遵守しなければならない規制の数が増加し、同様に技術的リスクが増加しているため、組織はデジタルワークフローに予防コントロールを統合する必要があります。たとえば、DevOps プロセスで新しいソフトウェアアプリケーションを開発する場合、技術リスクを軽減するために実装および検証する必要のある IT ポリシーとコントロールがいくつかあります。
Policy as Code Engine を使用すると、独自のカスタムコードロジックを記述して、ポリシーを検証し、展開可能なインスタンスに統合できます。PaCE ポリシーは、展開可能なインスタンスにコミットされる前にコードを検証し、そのコンプライアンスをチェックします。非準拠がある場合、展開は停止します。GRC と統合するには、コンプライアンスデータソースレジストリ機能を使用して、ポリシーとして PaCE をコントロール目標に追加します。
PaCE との統合による予防コンプライアンス管理により、コンプライアンスチーム、運用チーム、DevOps エンジニアが日準拠のアクティビティを実行できなくなります。一方、この統合は、事前に例外を発生させるうえで役立ちます。
この統合の主な機能は次のとおりです。
- コンプライアンスが、従業員の全体的なエクスペリエンスを向上させるために従業員ワークフローに組み込まれます。
- 顧客はコントロールをコード化でき、実行状況に基づいて、ワークフロー内のアクションによって非準拠が判断されるかどうかを従業員に通知できます。
- 非準拠の場合、従業員はビジネス要件に基づいて例外を要求し、デジタルワークフローを続行できます。
この統合による主なメリットは次のとおりです。
- 従業員トレーニングへの依存度の削減:コントロールがワークフローに組み込まれているため、従業員が受ける必要があるトレーニングの数が大幅に削減されます。
- 自動化されたレビューとコンプライアンスモニタリング:自動化されたチェックにより、コントロールに違反していないことが確認されるため、手動でのレビューのタスクが削減されます。
- 自動監査ログ:監査チームとコンプライアンスチームは自動監査ログにアクセスできるため、手動での監査と証拠収集のタスクを削減できます。
- リスクの低下と違反の減少:コントロールを継続的に監視することで、違反の可能性を最小限に抑えます。
- 可視化:ビジネス、リスク、コンプライアンスチームなどのステークホルダーに、コンプライアンスをリアルタイムで可視化します。
- 速度:ワークフローの完了を妨げることなくビジネスニーズがある場合に従業員が例外を要求できるため、ワークフローの速度が向上します。