4
エンジニアがコードを展開および実行するときに、職務分掌を可能にするプロセスまたはツールは何ですか?
金融サービス部門などの規制の厳しい環境では、職務分掌は開発責任と生産特権を持つ個人間の衝突を回避するための不可欠なメカニズムです。 従来、これは開発者がコードを開発してから運用に引き継ぐことを意味していましたが、多くのDevOpsオペレーティングモデルでは、開発と運用の分離は少なくともぼやけています。 Googleのサイト信頼性エンジニアリング(SRE)では、Google内に個別のSRE機能がありますが、開発者は、運用負荷が高いときにSREをバックストップするために持ち込まれます。 で「あなたはそれを構築し、あなたを実行それ」モデルは個別の操作機能はありません。 職務分離メカニズムの根本原因を数か月にわたって掘り下げた後、Sarbanes Oxleyセクション404:内部統制の管理評価を満たすために主に存在するようです。 (a)必要なルール。委員会は、1934年証券取引法第13条(a)または15条(d)で要求される各年次報告書に、内部統制報告書を含めることを要求する規則を規定します。 (1)財務報告のための適切な内部統制構造と手順を確立および維持するための経営者の責任を述べる。そして (2)発行者の直近の会計年度末の時点で、財務報告のための発行者の内部統制構造と手順の有効性の評価を含む。 (b)内部統制の評価と報告。サブセクション(a)で要求される内部統制評価では、発行者の監査報告書を作成または発行する各登録会計事務所は、発行者の経営者が行った評価を証明し、報告しなければなりません。このサブセクションに基づいて行われた認証は、理事会によって発行または採用された認証契約の基準に従って行われるものとします。そのような認証は、個別の契約の対象にはなりません。 コメントに基づいて、私が行っているいくつかの仮定を呼び出すことが重要です。 私は主に大規模市場の金融サービスを検討しています。つまり、取引量は多いが比較的低い価値です。これは、異なる取引価値プロファイルを持つ商業金融サービスとは対照的です。 金融機関のオンラインサービスは、さまざまなリスクを考慮した多くのコンポーネントで構成されます。 Move Money-アカウント間でお金を移動したり、異なる所有者のアカウント間で送金したりします。いくつかを挙げると、マネーロンダリング防止、詐欺防止、および禁輸国を考慮しなければならない作業。 顧客獲得 -Move Moneyに比べて取引量が少ないため「リスク」が少ないが、まだ検討が必要です。 インターネットバンキング -さまざまなレベルのリスクを伴う幅広いサービスをカバーしています。MoveMoneyはその一部と見なされます。 リスクに応じてそれぞれに異なるアプローチをとることが考えられますが、単純にするために、最もリスクの高いオペレーションの一部に適用されるソリューションに取り組んでいます。 TL; DR:証券取引委員会の 規制に準拠する適切な内部統制を確保することは、経営者の責任です。 Sarbanes Oxley 404は通常、トップダウンリスクアセスメントを完了することで満足します。その一部は共謀のリスクを評価し、緩和戦略を進めます。 開発者が日常的にソース管理と生産の両方にアクセスできるDevOpsのプラクティスと文化を採用している会社内で、職務分掌を達成する方法、またはより一般的には結託のリスクを軽減する方法。