リリース11i
B25733-01
目次
戻る
次へ
| Oracle Internal Controls Managerインプリメンテーション・ガイド リリース11i B25733-01 | 目次 | 戻る | 次へ |
Oracle Internal Controls Managerは、役員、管理部長、内部監査部門および公認会計事務所が社内統制を文書化およびテストし、継続的な遵守をモニタリングするための包括的ツールであり、COSO(トレッドウェイ委員会組織委員会)標準に基づいています。
多くの国では、企業の内部統制のテストとレポートに政府規制が適用されます。たとえば米国では、2002年の企業改革法により、経営者と社外監査人の両方に対して会社の社内統制のレポートが義務づけられています。
この章では、コーポレート・ガバナンスとOracle Internal Controls Managerの概要を説明します。
次のダイアグラムに、一般的なコーポレート・ガバナンスのビジネス・フローの概要を示します。
この図のように、通常、コーポレート・ガバナンスにはあらゆる組織で実行する必要のある一連のタスクが含まれています。
通常、プログラム・オフィスは、社内の最上級役員の承認を受けます。プログラム・オフィスは内部と外部の管理職責を設定し、他のオフィスの業務の基礎となるパラメータを設定します。このパラメータには、社内統制の発効期限とマイルストン、遵守する上で関与が不可欠な組織内の担当が含まれます。特定の監査関与を計画済アクティビティまたはトリガー・イベントの結果として実行できます。
プログラム・オフィスの重要なタスクは、エンティティのリスクおよびそのリスクを軽減する統制のアセスメントと管理に使用するフレームワークを確立することです。COSOフレームワークは、組織の社内統制の有効性を査定するための最も一般的なフレームワークです。
職務を分掌し、可能性のある侵害を経営者に警告できるように組織体系を確立します。この作業により、遵守しているかどうかの分析を必要とする特定部門も識別できます。
社内の特定のエンティティに固有のビジネス・プロセスをすべて識別して分析します。エンティティの手順マニュアルを検討し、面接を行い、既存の手順を複製することで、通常は必要なビジネス・プロセスが明らかになります。これらのプロセスは、財務諸表の信頼性に関して妥当な保証を提供するために、主要な財務会計担当にマップする必要があります。
エンティティ内のビジネス・プロセスがさらされる定期リスクすべてのライブラリを作成します。このリスク・ライブラリを作成するために、監査人はビジネス体系や統制環境などのファクタを考慮する必要があります。財務、業務および開示上の一部のリスクはエンティティに固有ですが、通常、ビジネス・プロセスは次のタイプのリスクを伴います。
記録された取引が有効かどうか。たとえば、売上は実在の顧客に対する出荷によるものかどうか。
取引が承認済かどうか。たとえば、承認済発注に関する支払かどうか。
取引の金額が正しいかどうか。たとえば、出荷商品の正しい金額について売上が記録されるかどうか。
取引の仕訳が適切かどうか。たとえば、営業取引が正しい勘定に含まれ、適切に集計されるかどうか。
取引が適正な時期に記録されるかどうか。たとえば、売上がタイムリに記録されるかどうか。
取引に欠落や誤りがないかどうか。たとえば、発生した売上がすべて記録されるかどうか。
また、ライブラリはプロセス・リスクを軽減するように設定された内部統制で構成されます。現在有効なエンティティの内部統制を分析し、それを統制ライブラリに追加します。
通常、統制手順は次の5つのカテゴリに分類されます。
十分な職務分掌
十分な文書とレコードによる監査証跡の保守
承認手順
資産と記録の管理
独立したパフォーマンス・チェック
通常、監査人はエンティティの財務、業務および開示上のリスクを現在有効な内部統制にリンクするマトリクスを作成します。必要に応じて新規の内部統制を提案したり、リスクを軽減するために既存の統制を変更します。
監査人が(プロセス、リスクおよび統制の調査を通じて)内部統制体系の設計と運用の概要を把握した後、統制リスクのアセスメントを実施する必要があります。このアセスメントにより、内部統制をテストするために実行する必要のある監査作業の範囲が決定されます。
通常、統制リスクのアセスメントは、主要な各取引タイプについて詳細な統制目的別に実施されます。これには、次のような主要プロセスに関するデータの収集が含まれます。
取得と支払
売上と回収
生産と在庫
従業員関連のプロセス
資本の取得、減価償却および返済
負債および投資ポートフォリオ関連のプロセス
アセスメントの実施中に、告発者から提示される懸案をモニタリングすることも重要です。告発者は仕入先、顧客、従業員などです。利害関係者に対して定期的に調査を実施して、内部統制の妥当性に関する所見を収集できます。
最後に、アセスメントの評価結果を文書化します。
監査プロジェクトの性質、テストの範囲および必要なリソースを識別します。
テストの前提条件として、内部統制の評価に使用する主要メトリクスを定義する必要があります。これにより、内部統制が有効で設計どおりに機能しているかどうかをテストするための監査手順を設計できます。ターゲットを表す代表的なサンプルを使用して、内部統制が確実にテストされるようにします。
すべての監査手順とその結果を文書化します。監査人は、文書化された結果に基づいて所見とレポートを発行します。この作業は、結果とアラートを開示およびレポート・サイクルに統合する上で役立ちます。
次のような懸案に関する評価と結果を、監査委員会と独立監査人に伝達する必要があります。
統制不足
欺瞞
重大な弱点
監査結果に基づいて、新規の内部統制を提案したり既存の統制を変更し、リスク軽減における有効性を改善できます。
Oracle Internal Controls Managerは、Oracle Internal Control Applicationsの主要モジュールであり、Webベースのリスクおよび監査管理機能を提供する包括的な監査ツールです。役員、管理部長、内部監査部門および公認会計事務所は、このモジュールを使用して内部統制を文書化およびテストして継続的な遵守をモニタリングできます。
Oracle Internal Controls Managerを使用すると、企業は内部統制のテスト回数を効率的に増加させ、リスク・アセスメントの信頼性を高め、外部での監査検証コストを削減できます。このアプリケーションの直感的なワークベンチを使用して、次のような監査アクティビティを編成、実行および管理します。
標準的なビジネス・プロセスの定義
プロセスに伴うリスクの設定
プロセス・リスクを軽減できる統制の設定
組織体系(監査可能単位)の設定と体系へのプロセスのマッピング
設定された統制と規約を組織が遵守しているかどうかのアセスメントの記録
統制を検証するための監査手順の作成
ビジネス・プロセスとシステムが準拠しているかどうかの検討および監査結果の記録
次の項では、Oracle Internal Controls Managerアプリケーションを使用して監査を設定し実行するための必須タスクの概要を説明します。
Oracle Internal Controls Managerを使用して、自社のビジネス・フローを正確に反映したプロセスを作成します。プロセスは、Oracle Tutor(推奨)またはOracle Workflowを使用して作成できます。どちらも、Oracle Internal Controls Managerと統合されています。
注意: 詳細は、「Oracle Internal Controls Managerのプロセスと組織」および「Oracle Internal Controls Managerのプロセス承認」を参照してください。
リスク・ライブラリは、プロセスとリスク、組織によるリスクへの対処を可能にするポリシー、手順およびアクティビティで構成されます。
リスク: Oracle Internal Controls Managerを使用して、再利用可能なリスクのライブラリを作成し、保守します。これにより、各リスクを組織内のビジネス・プロセスに関連付けることができます。
統制: プロセス・リスクを軽減できる統制を設定します。
リスク・ライブラリは、外部ソースからの内容で構成できます。パートナのライブラリを実装するように決定した場合は、Oracle Internal Controls Managerに組み込まれているスプレッドシート・インタフェースを使用して、サード・パーティによる内容をインポートできます。
リスク・ライブラリ内の情報の整合性を維持するため、Oracle Internal Controls Managerにおけるライブラリ項目の作成または変更は承認プロセスにより管理されます。
注意: 詳細は、次を参照してください。
Oracle Internal Controls Managerの設定全体を、監査可能単位のコンテキストで行います。監査可能単位は、Oracle組織の特殊カテゴリです。
注意: 詳細は、「Oracle Internal Controls Managerのプロセスと組織」を参照してください。
統制のテスト、および残高詳細のテストなどの他のテストの場合、監査中に実行される作業手順の量は、組織の内部統制体系と設定された統制および規約への遵守に関して、監査人が行うアセスメントの範囲によって大きく異なります。
Oracle Internal Controls Managerでは、内部統制の体系と遵守に関する組織のアセスメントを組み込むことができます。次の事項がアセスメントの対象となります。
組織の監査環境に影響する事前定義済のコンポーネント
特定の組織のコンテキスト
注意: 詳細は、「Oracle Internal Controls Managerでのアセスメント」を参照してください。
監査手順は、監査作業中に実行する詳細手順を提供します。これらの手順は、設計と運用に関して統制の有効性を検証することで、特定の監査目的を達成するように設計されています。Oracle Internal Controls Managerでは、監査手順を作成し、その手順で検証する統制と手順を関連付けることができます。
注意: 詳細は、「Oracle Internal Controls Managerにおける監査手順」を参照してください。
通常、組織での内部監査はプロジェクトとして管理され、監査手順はこれらのプロジェクト内のタスクに変換されるのが一般的です。遵守しているかどうかを検討し、監査を完了した後、Oracle Internal Controls Managerで評価と監査所見を記録できます。
注意: 詳細は、Oracle Internal Controls Managerにおける「監査関与」を参照してください。
Oracle Internal Controls Managerでは、社内タスクの任意の組合せを非互換として識別できます。この種のタスク・セットから複数のタスクにアクセスすると、ユーザーの不正行為を招くおそれがあります。したがって、この種の複数のタスクへのアクセス権を持つ社内のユーザーは、職務分掌標準に対する違反となります。
このアプリケーションでは、非互換タスクを事前にモニタリングし、1人のユーザーがアクセスした場合にレポートできます。
注意: 詳細は、「職務分掌の制約」を参照してください。
プロセス認証では、プロセス・オーナーは自組織のプロセスが自社の管理システムの基礎として利用されている標準を遵守していることを保証する必要があります。これには、組織のプロセスが適切で有効であることを保証するための、一連の堅実な監査およびその他のアクティビティが含まれます。
監査および必要な関連フォローアップ・アクティビティを正常に完了すると、プロセスは認証済になります。認証は、プロセスが適用可能な標準の要件を満たしていることを証明します。外部監査人は、財務諸表の発行前に、システムが確立され有効に実装されているなどの客観的な証拠を求めます。
Oracle Internal Controls Managerは、ビジネス・プロセスを認証するための精巧なメカニズムを提供します。アプリケーションで実行された監査関与の結果を、認証の基礎として使用できます。
注意: 詳細は、「プロセス認証」を参照してください。
財務監査は、企業の財務諸表が特定の基準(通常は一般に容認されている会計原則)を遵守しているかどうかを判断するために実施されます。Oracle Internal Controls Managerでは、監査評価とプロセス認証を使用して財務諸表を認証できます。
注意: 詳細は、「財務諸表認証」を参照してください。
監査プロセス中には、確立された標準に対する非遵守が組織でしばしば検出され、この種の非遵守は調査結果として識別されます。通常、これらは会計慣行やアカウンタビリティなどに違反する重大な懸案項目です。
調査結果がすべて有効に対処されて解消されるまで、認証を発行できません。Oracle Internal Controls Managerでは、監査関与の実行中に判明した調査結果結果を記録して追跡できます。
注意: 詳細は、「Oracle Internal Controls Managerにおける調査結果」を参照してください。
アプリケーションには7つの事前定義済リスク・ライブラリ・レポートが用意されており、リスク・ライブラリに存在するプロセスとオブジェクトの正確さと整合性を定期的に検証できます。
注意: Oracle Internal Controls Managerのレポートの詳細は、「統制レポート」を参照してください。
次の項は、アプリケーション全体に適用されます。
ユーザーは、Oracle Internal Controls Managerを使用して継続的な遵守をモニタリングする際に、各種のリスク・ライブラリ・オブジェクトと相互作用します。これらのオブジェクトに関連付けられた追加データおよび一意のデータを取得して追跡することは、必要であり、有用でもあります。このアプリケーションは、拡張可能属性という形でこの機能を提供します。
拡張可能属性は、リスク・ライブラリ・オブジェクトに関連付けられた追加情報の取得に使用できるユーザー定義属性です。これらの属性のエントリは、事前定義済値セットに対して検証されます。
注意: 詳細は、Oracle Internal Controls Managerにおける「拡張可能属性」を参照してください。
このアプリケーションにおけるセキュリティは、次の双方のセキュリティによって実装されます。
機能セキュリティ(次の項で説明)
データ・セキュリティ
データ・セキュリティは、同じ機能へのアクセス権を持つユーザーが表示できるデータ・セットが、そのユーザーのデータ・アクセス権によって異なるという点で、機能セキュリティより下位レベルに位置します。この概念は、ユーザーまたはユーザー・グループに固有のオブジェクト・インスタンス(プロセスなど)に対するアクセス権の付与に基づいています。
権限は、割当て済のロール内にグループ化できます。Oracle Internal Controls Managerでは、オブジェクトに対応する様々なロールがシードされています。
注意: 詳細は、「Oracle Internal Controls Managerのロールと権限」を参照してください。
Oracle E-Business Suiteのアーキテクチャには、アプリケーション論理の各部を機能として識別する機能が用意されています。アプリケーション・システム管理者は、特定の機能を含めたり除外して職責を作成することで機能セキュリティを管理します。
Oracle Internal Controls Managerでは、アプリケーションの選択ウィンドウで機能セキュリティが提供されます。
注意: 詳細は、「Oracle Internal Controls Managerの機能セキュリティ」を参照してください。
次の項では、Oracle Internal Controls Managerにおけるアプリケーション統制モニタリング機能を説明します。
会社のビジネス・プロセスおよび財務レポートの正確さと信頼性は、そのITシステムおよび統制環境の信頼性と機能に大いに依存します。IT部門は、IT統制環境のアセスメントを行うという継続的な需要を満たし、遵守のコストを最小限に抑えるという継続的な需要を満たすために、IT統制をモニタリングおよびテストする自動化された手法を必要としています。
アプリケーション統制モニタリング機能では、Oracle E-Business Suite内でIT統制をモニタリングすることで、会社がIT環境を効果的かつ効率的に管理できます。このアプリケーションは、アプリケーション・ソフトウェアの保守、変更の管理、システム・セキュリティの確保、構成の管理など、CobiTフレームワーク内の高レベルな統制目的をサポートします。
注意: 「アプリケーション統制モニタリングおよびガバナンスの概要」の章も参照してください。
アプリケーション統制モニタリングを使用してアプリケーション統制の変更をレポートするには、アプリケーション統制モニタリングを適切に実装する必要があります。
注意: 詳細は、「アプリケーション統制管理の設定」を参照してください。
アプリケーション統制モニタリングの定義が完了したら、このアプリケーションを使用してデータの設定変更を問い合せることができます。アプリケーション統制モニタリングでは、主に次の4つの基準を使用して、アプリケーション統制値およびそれらの値の変更を検索できます。
レポート・グループ
アプリケーション
ユーザー
インスタンス
注意: 詳細は、「アプリケーション統制管理の管理」を参照してください。
Oracle Internal Controls Managerをインストールすると、インストール・プロセスによってIT監査人職責が自動的に作成されます。この職責には、このアプリケーションを設定および実装するために必要な機能が含まれています。したがって、前提条件ステップとして、実装のためこの職責を適切なユーザーに割り当ててユーザーを設定します。
注意: アプリケーション統制モニタリング機能の実装を完了するために実行する必要があるタスクのチェックリストは、「アプリケーション統制モニタリングのチェックリスト」を参照してください。
アプリケーション統制管理機能では、ITマネージャおよび監査人が、Oracle E-Business Suite内のいくつかのモジュールで設定パラメータの変更を追跡できます。
この章では、変更の有無を監査できる特定の設定グループ、アプリケーションおよび設定パラメータの詳細を説明します。
注意: 詳細は、「シード済設定グループおよびパラメータ」を参照してください。
Oracle Internal Controls Managerは、テストおよび検証対象のアプリケーションから独立しており、どのような環境(OracleまたはOracle以外)にも正常に配置できます。ただし、次のように、Oracle E-Business Suiteの他のモジュールと統合されていることによるメリットもあります。
Oracle Tutor: Oracle Tutorは、ビジネス・プロセスとワークフローのマッピングと文書化に使用する強力なアプリケーションです。手順作成、自動フローチャート作成およびロール・ベース発行の各機能が用意されています。また、事前定義済のビジネス・モデルとビジネス・フローも含まれています。
チュータで作成されたビジネス・プロセスをOracle Internal Controls Managerにアップロードできます。インポートすると自動的に、同じプロセスがプロセス・フローのビジュアル・ダイアグラムとともにOracle Internal Controls Managerに作成されます。Oracle Tutorは、手順の作成と文書化のための推奨ツールです。
Oracle Workflow: Oracle Workflowでは、E-Business Suiteを介してプロセス・チャートが作成され、ビジネスに対して機能するフローが制御および規定されます。Oracle Workflowはアクティブな作業管理ツールであり、ビジネス・プロセスおよびプロセス・アクティビティのデータベースとして機能します。
Oracle Workflow Builderで定義されたビジネス・ワークフローを、Oracle Internal Controls Managerでプロセスとして使用可能にすることができます。したがって、プロセスは確実に設定どおりの方法で実行されます。
Oracle Files: Oracle Filesは文書管理ツールです。Oracle Tutorまたは他のツールを使用して開発されたヘルプ・ファイルとプロセス文書を、手順および該当プロセスに関連付けることができます。通常、プロセス文書は監査人が実行する遵守チェックの基礎となります。
Oracle Filesは、Oracleデータベースでの文書のバージョン管理、チェックイン、チェックアウトおよび格納機能を提供します。
Oracle Scripting: Oracle Scriptingは、質問表を迅速に作成し、調査参加者を容易に識別し、Eメールを介して調査を配布し、応答者がインターネット経由で質問表に記入できるようにする強力なツールです。
Oracle Scriptingでは、従業員と利害関係者からプロセスと内部統制に関するフィードバックを取得することで、有効な統制環境が提供され、高レベルのリスク・アセスメントを実行できます。調査結果は、監査作業の実施範囲を査定する上で役立ちます。
シード済の調査スクリプトを配布し、最小限の変更を加えて使用できます。シード済の調査を検討し、組織固有の変更を加えて再配布し、調査参加者から情報を収集できます。
Oracle Corporate Performance Management: 企業のパフォーマンス管理には、次のようなアクティビティが含まれます。
戦略目標の設定と整列
計画、予算編成、予測およびモデル化
業務分析およびレポート
Corporate Performance Managementフレームワークは複数のOracle製品で構成されています。これには、Oracle Financial Analyzer、Sales AnalyzerとPerformance Analyzer、Oracle Activity Based Management、Oracle Balanced ScorecardおよびOracle Daily Business Intelligenceなどのアプリケーションが含まれます。
これらのアプリケーションでプロセス統制制限を設定することで、パフォーマンス管理フレームワークではビジネス・プロセスを継続的にモニタリングし、監査作業を保証する例外を通知できます。
Oracle Project Applications: 監査手順をOracle Projectsで設定されたプロジェクトとして作成すると、Oracle Projectsアプリケーション・ファミリのメリットがすべて得られます。次のアプリケーションが含まれます。
Oracle Project Management
Oracle Project Costing
Oracle Project Resource Management
Oracle Project Collaboration
Oracle Project Intelligence
Oracle Approvals Management: Oracle Approvals Managementとの統合により、リスク、統制および監査手順を正式に承認できます。これらのリスク・ライブラリ・オブジェクトの作成と変更には、承認が必要です。アプリケーション・コードをカスタマイズするための要件はありません。
これらのルールはOracle Approvals Managementで設定され、リスク・ライブラリ・オブジェクトを使用する前に承認する必要のある担当を決定します。承認者には、階層内の1人以上のユーザーを割り当てることができます。
その他のOracle E-Business Suiteモジュール: Oracle Payables、Oracle ReceivablesのようなOracle E-Business Suiteアプリケーションが組み込まれている環境では、これらのモジュールでの複数の内部統制が、Oracleの開発によりOracle Internal Controls Managerで使用可能になります。
注意: 詳細は、「自動タイプ、アプリケーションおよび統制ソース」を参照してください。
財務諸表の認証を有効にするために、Financial Statement Generator(FSG)レポート内の勘定科目が自動的にOracle Internal Controls Managerで使用可能になります。Financial Statement Generatorは強力なアドホック・レポート・ツールであり、Oracle General Ledgerモジュールのコンポーネントです。
Oracle Internal Controls Managerでは、このアプリケーションへのアクセスに使用する複数の職責が事前にシード済です。次の表に、これらの職責の詳細を示します。
次の表は、Oracle Internal Controls Managerでの職責とコンテキスト詳細および関連する章を示しています。
| 事前シード済職責の名称 | コンテキスト情報 | 章 |
|---|---|---|
| 内部統制マネージャ・スーパー・ユーザー | ビジネス・プロセス、リスクおよび統制ライブラリ、アセスメント | 第2〜6章、第14〜16章 |
| 内部統制マネージャ・スーパー・ユーザー(フォーム) | Oracle Internal Controls Manager関連のプロファイルおよび参照 | すべての関連設定 |
| 内部監査人 | アセスメント、監査関与、職務分掌違反、調査結果および改善 | 第7、8、9、12章、第14〜16章 |
| ビジネス・プロセス・オーナー | プロセス・バリエーションおよび例外、プロセス認証、懸案および改善 | 第10、12章、第14〜16章 |
| グローバル業務管理者 | プロセス認証、懸案および改善 | 第10、12章、第14〜16章 |
| 署名役員 | 財務諸表認証、懸案および改善 | 第11、12章、第14〜16章 |
| Oracle ICM Discovererレポート | 統制レポート | 第13章 |
| IT監査人 | アプリケーション統制モニタリング | 第17〜21章 |
注意: Oracle Internal Controls Managerでのセキュリティの詳細は、「Oracle Internal Controls Managerのロールと権限」および「Oracle Internal Controls Managerの機能セキュリティ」を参照してください。
次の表に、Oracle Internal Controls Managerでの職責とメニュー項目のマトリクスを示します。
| メニュー項目 | グローバル業務管理者 | ビジネス・プロセス・オーナー | 署名役員 | 内部監査人 | 内部統制マネージャ・スーパー・ユーザー | ライブラリ・マネージャ |
|---|---|---|---|---|---|---|
| プロセス認証の作成 | x | |||||
| プロセス認証の検討 | x | |||||
| プロセスの認証 | x | x | ||||
| 懸案の作成および追跡 | x | x | ||||
| 改善処理の作成および追跡 | x | x | ||||
| 「自分のプロセス」の表示 | x | |||||
| GPOにより作成された認証の表示 | x | |||||
| 財務諸表の認証 | x | |||||
| 財務諸表認証の作成 | x | |||||
| プロセス・オーナーが作成した懸案の追跡 | x | |||||
| 監査評価の表示 | x | |||||
| 組織固有のプロセス階層の表示 | x | |||||
| プロセス認証の表示 | x | |||||
| 改善処理の作成および追跡 | x | x | ||||
| 職務分掌違反チェックの実行 | x | |||||
| 調査結果の作成および追跡 | x | |||||
| 評価の記録 | x | |||||
| 監査関与の範囲設定 | x | |||||
| アセスメントの実施 | x | x | ||||
| リスク・ライブラリの管理 | x | x | x | |||
| 組織固有プロセス階層の計画 | x | x | x | |||
| 設定の管理 | x | x | x | x | x | x |
