申請ワークフローや業務での成果物の確認で行う活動については以下のようなものがあります。
4 Eyes Principle や Segregation of Duties (SoD) はワークフローの設計では重要なポリシーだと思います。
JiraのWFでは Dual Control 同時承認を同列の承認者の承認時間を評価できるためオンラインでも同時承認を実現することが可能です。
業務の目的やリスクの程度に合わせて以下の活動ルールを組み込むことを推奨します。
弊社ではメーカーでの製品企画/製品プロジェクトやグループ企業内IT部門のサービス依頼等のWF構築等を行っております。
4 Eyes Principle 2者ルール
任意のプロセスや作業が完了する前に、少なくとも2人の個人によるチェックまたは承認が必要であるという原則です。誤りを減少させ、不正行為を防止し、全体的な作業の質を向上させることを目的としています。
6 Eyes Principle 3者ルール
3人の個人によるチェックまたは承認が必要であるというものです。より厳格なリスク管理が求められる状況で採用されることがあり、特に重要な決定や高リスクの活動に適用される場合があります。
Segregation of Duties (SoD) 部門越えルール
特定のタスクやプロセスを異なる個人またはチームに割り当てることで、不正防止とエラーのリスクを軽減する原則です。一人の個人がプロセスの全段階を制御することを防ぎます。
Consensus approval 合議承認
プロジェクトに関係するメンバーに承認を要求します。
Dual Control 同時承認
4eyesに似ているが同時に行うことが必要 承認時間があいてはいけない 特定のアクションやプロセスを実行するためには、二人以上の個人の同時の操作や承認が必要であるという原則です。セキュリティが重視される環境で用いられます。
Comment for apprval/Reject 承認・否認コメント
承認・否認について理由・条件等を付加する 必須とする会社もある
Peer Review 共同レビュー
作業や成果物が公開または最終承認される前に、同等の専門知識を持つ一人以上の同僚によって評価されるプロセスです。ソフトウェア開発や学術研究で一般的に採用されています。
Maker and Checker 作成者と確認者
一人が情報を生成または入力し、別の個人がその正確性と完全性を検証するプロセスです。金融業界でよく使用され、不正やエラーを防ぐための有効な方法とされています。
Red Team - Blue Team Exercises
組織の防御機構をテストするために、攻撃者の役割を担う専門家のチーム(レッドチーム)と、防御側(ブルーチーム)の間で行われるセキュリティ演習です。セキュリティの脆弱性を識別し、対策を強化するのに役立ちます。