ヘッダーをスキップ

Oracle Internal Controls Managerインプリメンテーション・ガイド
リリース11i
B25733-01
目次へ
目次
前のページへ
戻る
次のページへ
次へ

Oracle Internal Controls Managerのプロセスと組織

概要

標準的な内部監査機能の重要な部分は、社内のビジネス・プロセスに関連付けられています。また、ほとんどの規制機関により参照されている監査標準では、内部統制がビジネス・プロセスのコンテキスト内で定義されています。

Oracle Internal Controls Manager(OICM)設定の最初のタスクは、自社のビジネス・フローを正確に反映したプロセスを作成することです。

Oracle Internal Controls Managerのプロセス設定の概要

次の各ステップに、OICMでプロセスを正確に作成するために完了する必要のあるタスクを示します。

  1. 社内で発生するビジネス・プロセスを次の手段で把握します。

  2. 次にリストする方法のいずれかを使用してOICMにおいてプロセスを作成します。

  3. 手順文書をOICMプロセスに関連付けます。

    内部監査人は、監査業務の一環として組織内のビジネス・プロセスを文書化する必要があります。これらの文書をOICMで対応するプロセスに関連付けることができます。

    Oracle TutorにはOracle E-Business Suiteの手順コンテンツのリポジトリが組み込まれており、自社固有のビジネス・プロセスにあわせて動的に調整できます。Oracle Tutorを使用すると、OICMでプロセスに関連付け可能な手順文書を作成して発行できます。

    注意: 詳細は、「プロセスへの文書の関連付け」を参照してください。

  4. 主要な財務勘定をOICMのプロセスにリンクします。

    監査標準では、財務レポートの信頼性に関して内部統制が妥当に保証する必要があります。

    OICMでは、GL勘定科目へのリンクを提供することで、プロセスと財務諸表の各要素とを統合できます。また、各プロセスを複数の財務諸表勘定科目に関連付けることができます。たとえば、「受注-入金」プロセスは、収益、繰延収益、売上原価、完成品在庫および売掛/未収金管理の各勘定科目に影響します。

    各プロセスはビジネス・リスクを伴うため、キー勘定科目をプロセスに関連付けることで財務諸表項目とそれに伴うリスクの間のリンクも確立されます。たとえば、「顧客の不履行」というリスクは、「受注-入金」プロセスを通じて「収益」財務諸表項目に影響します。

    注意: 詳細は、「キー勘定項目とプロセスとのリンク」を参照してください。

  5. リスク、統制および監査手順をリスク・ライブラリにロードして、ビジネス・プロセスに関連付けます。

    監査人は、監査所見と遵守レポートを発行する前に適切な監査手順を実行する必要があります。これらの手順では、組織のビジネス・プロセスに伴うリスクを軽減するように設定された内部統制が検証されます。

    したがって、監査所見を発行する前に、リスク、統制および監査手順を相互に関連付け、さらにプロセスに関連付ける必要があります。

    注意: OICMでリスクおよび統制をプロセスにリンクする方法の詳細は、「Oracle Internal Controls Managerでのリスクの設定」および「Oracle Internal Controls Managerでの統制の設定」を参照してください。

    注意: 監査手順と統制の関連付けの詳細は、「Oracle Internal Controls Managerにおける監査手順の設定」を参照してください。

  6. OICMにおけるプロセスを発行および承認します。

    組織を構成するビジネス・プロセスの検証が、内部監査機能の主要部分です。すべてのプロセスおよびプロセス改訂は「草案」ステータスで作成され、プロセスまたはその改訂はシステムで使用される前に承認される必要があります。

    承認のためにプロセスが発行されると、すべての担当(プロセス・オーナーなど)に通知が送信され、この通知の受信者は、承認を与える前にプロセスをレビューまたは変更できます。

    注意: 詳細は、「OICMにおけるプロセス承認と変更管理」を参照してください。

    OICMアプリケーションでは、指定オーナーとして記載されているか、そうでない場合はプロセスに対する適切な権限を持っているユーザーにプロセスの表示と変更を許可します。

    注意: 詳細は、「Oracle Internal Controls Managerのロールと権限」および「Oracle Internal Controls Managerの機能セキュリティ」を参照してください。

  7. OICMにおけるプロセスを会社の組織体系にマッピングします。

    様々な組織がそれぞれ異なるプロセスを実行している場合があるため、OICMでは特定のプロセスを社内の特定の組織に関連付けることができます。組織が標準プロセスを少し変更したバリエーションを実行している場合があることに注意してください。この種のバリエーションには、理由付けと承認が必要です。

    注意: 詳細は、「Oracle Internal Controls Managerにおける組織」を参照してください。組織設定の詳細は、『Oracle HRMSユーザーズ・ガイド(日本仕様)』を参照してください。

Oracle Internal Controls Managerにおけるプロセスの直接作成

プロセスは次の方法でリスク・ライブラリに作成できます。

トピック ナビゲータ・パス
アプリケーションのリスク・ライブラリにおけるプロセスの作成 「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「プロセス」サブタブをクリックします。
該当するプロセスの「変更」アイコンをクリックして、その子として新規プロセスを作成します。最上位レベルのプロセスを作成するには、「全プロセス」ノードの「変更」アイコンを選択します。
「プロセス階層ワークベンチ」で、「追加」アイコンをクリックします。

図の説明は本文中にあります

「プロセスの追加」ウィンドウで、「新規プロセスの作成」オプションを選択します。選択されたプロセスの子として新規プロセスが作成されます。

プロセス・コードとプロセス名

図の説明は本文中にあります

アプリケーションでは、プロセス名およびプロセス・コードを次のように区別します。

「発注承認」プロセスを考えてみます。このプロセスは複数の階層および組織に存在し、環境に応じて異なるリスク、統制などに関連付けられているとします。そのため、異なる複数の「発注承認」プロセスがシステムに共存する必要があります。

したがって、OICMは複数の同じ名前のプロセスをサポートします。アプリケーションは一意のプロセス・コードで各プロセスを内部的に指定し、これがプロセスの一意識別子になります。プロセス・コードは、ユーザーが入力することも、事前定義によってシステムが生成することもできます。

プロセスの属性

次に、その属性を入力してプロセスの設定を完了します。

注意: 詳細は、「プロセスの属性」を参照してください。

Oracle Tutorを使用したプロセス文書のインポート

OICMの実装に必須ではありませんが、Oracle Tutorはオラクル社が推奨する手順作成および文書化ツールです。チュータには準備の整った、包括的な手順のベースが用意されており、それをビジネス・プロセスにあわせて容易に変更できます。

また、この2つの製品は統合されているため、Oracle Tutorで作成されたプロセスをOICMに容易にロードできます。インポートすると自動的に、OICMのプロセスがプロセス・フロー・ダイアグラムとともに作成されます。

注意: Oracle Tutorにおけるプロセス・フローと手順の作成と変更の詳細は、『Oracle Tutor Author User Manual』を参照してください。

チュータを使用したプロセス文書のインポート

チュータからOICMにプロセスをインポートする手順は、次のとおりです。

  1. Oracle Tutorでプロセスを作成します。

  2. 「Author」->「Flowchart Preferences」をクリックし、「Select Enable Audit Mode」を選択して「OK」をクリックし、チュータ・オーサー作業環境で監査モードをオンにします。

    この設定により、「監査」フォルダにプロセス(RE_xxxxx)fl1ファイルが配置されます。fl1は、OICMで読取り可能なファイル形式であり、Hグリッドの移入に使用されます。

  3. チュータ/Wordメニュー・バーで「Author」->「Flowchart」を選択します。

    これにより、プロセスのフローチャートが生成され、チュータがインストールされているディレクトリ/Author/Auditに(プロセス名).fL1ファイルも作成されます。

  4. 対応するfl1ファイルが/Author/Auditフォルダにあることを確認します。

  5. OICMの「リスク・ライブラリ」->「プロセス」タブで、親プロセスとして機能するプロセスに該当するラジオ・ボタンを選択します。インポート対象のチュータ・プロセスが、このプロセスの子として作成されます。「すべて拡張」をクリックすると、表示されているプロセスを拡張できます。

    OICMでは、最上位レベルの親プロセスは「全プロセス」です。プロセスが表示されない場合は、親プロセス文書を作成してインポートします。これにより、すべての上位レベル・プロセスが定義されます。

    最初に最上位レベルのプロセス(「調達-支払」、「受注-入金」など)をロードしてから、サブプロセスを順番にロードすることをお薦めします。1つの親プロセスに多数の子プロセスを関連付けることができます。

    図の説明は本文中にあります

  6. 「チュータ文書の変換」をクリックします。既存の添付がある場合は、「添付」リンクが表示されます。

  7. 「追加」をクリックして次の情報を指定します。

  8. 最後に、次のいずれかの方法でチュータ文書のインポートを完了します。

  9. コンカレント・プロセスが完了した後、インポートされたプロセスを「リスク・ライブラリ」ウィンドウの「プロセス」タブで確認できます。

  10. 変更を参照できない場合は、フォーム・メニューにナビゲートし、前述の取得したIDを持つコンカレント要求を検索します。エラーがある場合は、「ログの表示」をクリックするとエラー・メッセージとログ・ファイルが表示されます。

最下位レベルのタスク・インポートに関する注意

チュータ文書の場合は、親プロセスまたは親タスクの下位に複数レベルのサブプロセスまたはサブタスクを設定できます。インポート時には、チュータ文書内の第1レベルのサブプロセスまたはタスクのみが、OICMにアップロードされます。

次のインポートを実行する前に、適切な親プロセスまたは親タスクを選択すると、親レベルの下に下位の各レベルのサブプロセスまたはサブタスクをアップロードできます。OICMでは、親プロセスに関連付けることのできる子プロセスの数に制限はありません。また、親レベル・プロセスの下位に置くサブプロセスとサブタスクのレベル数にも制限はありません。

大規模で複雑な環境では、各プロセスまたはタスクが個別のエントリ(行)として表示されるため、「リスク・ライブラリ」ウィンドウに表示されるプロセスとタスクがすぐに膨大な数になってしまうことが考えられます。その場合は、リスクと統制が直接関連付けられていないプロセスについて、すべての最下位レベル・タスクをHTML添付ファイルに記述することをお薦めします。通常、最下位レベル・タスクは手順文書または指示文書であることに注意してください。

監査モード選択

必要に応じ、適切な監査モードを選択して、チュータ・プロセスまたは手順内のタスクにフラグを立てることができます。

注意: Oracle Tutorでは、通常、このフラグは上位レベルのプロセスのタスクではなく手順および指示の下位レベルで設定されます。監査モードを使用したタスクのフラグ付けの詳細は、『Oracle Tutor Author User Manual』を参照してください。

Oracle Tutorにおいて監査モードでフラグ付けされているプロセスおよびタスクは、OICMにおいて次のタイプで自動的に作成されます。

プロセスへのファイルの添付

プロセスにファイルを添付する手順は、次のとおりです。

  1. OICMの「リスク・ライブラリ」->「プロセス」タブで、手順文書を添付するプロセスのラジオ・ボタンを選択します。このプロセスが、最下位レベル・タスクの親タスクとなります。

  2. 「チュータ文書の変換」、「添付」を順番にクリックします。既存の添付がある場合は、結果ウィンドウに表示されます。

  3. 「添付の追加」をクリックして次の情報を指定します。

  4. 最後に、次のいずれかの方法で添付のインポートを完了します。

  5. これで、最下位レベルのタスクを表示できます。そのためには、親レベル・プロセスを選択し、「チュータ文書の変換」をクリックして「添付」を選択します。

注意: 「プロセスへの文書の関連付け」も参照してください。

チュータを使用したプロセス・フロー・ダイアグラムのインポート

チュータからOICMにプロセス・ダイアグラムをインポートする手順は、次のとおりです。

  1. チュータ/Wordメニュー・バーで「Author」->「Convert To html」を選択します。これにより、プロセスまたは手順のフローを示すgifファイルが生成され、(プロセス名).gifファイルがチュータのインストール・ディレクトリに格納されます。チュータのインストール・ディレクトリは、選択したチュータ・オーサーHTMLオプションに応じて/US/APPSHTML/FNDまたはTutor11i/HTMLです。

  2. OICMの「ホーム」->「プロセス」タブで、フロー・ダイアグラムが表すプロセスまたは手順に対応したラジオ・ボタンを選択します。「すべて拡張」をクリックすると、表示されているプロセスを拡張できることに注意してください。

  3. 「チュータ文書の変換」、「添付」を順番にクリックします。既存の添付がある場合は、結果ウィンドウに表示されます。

  4. 「添付の追加」をクリックして次の情報を指定します。

  5. 最後に、次のいずれかの方法でフロー・ダイアグラムのインポートを完了します。

  6. 「リスク・ライブラリ」ウィンドウの「プロセス」タブでプロセスを選択すると、インポートされたプロセス・ダイアグラムを確認できます。

Oracle Workflowを使用したプロセスのインポート

Oracle Workflowは、完全なビジネス・プロセス定義、自動化および統合ソリューションを提供します。ワークフロー・プロセスは、ビジネス・フローを構成する一連のアクティビティで構成されています。アクティビティには、ビジネス・イベント、自動化された機能、ユーザーに対する通知およびサブプロセスなどを含めることができます。

Oracle Workflowを使用すると、次のようなアクティビティを実行できます。

Oracle Workflow Builderで定義されたワークフローを、OICMでプロセスとして使用可能にできます。

メリット

Oracle Workflowを使用したプロセスのインポート手順

インポートするワークフロー・プロセスは任意のITEM TYPEが可能です。Oracle Workflowでは、項目タイプによりワークフロー・コンポーネントが高レベルのカテゴリにグループ化され、ワークフロー・プロセスのすべてのコンポーネント(プロセス自体を含む)を、特定の項目タイプに関連付ける必要があります。

前提条件

Workflow Builderで作成されたプロセスをOICMのプロセスとして使用可能にするには、「全プロセス」ノードの下位に定義する必要があります。

Workflow Builderにおける手順

  1. 「オープン」アイコン([Ctrl]+[O])をクリックしてOracle Workflow Builderを開きます。

  2. 「データベース」ラジオ・ボタンをクリックし、ユーザー、パスワードおよびSIDを入力します。

  3. シャトル・ボックスが表示されます。左側で適切な「項目タイプ」を選択し、左矢印をクリックして、この項目タイプを左側のボックスに移動し、「OK」を押します。

  4. 「項目タイプ」タイプを拡張し、「プロセス」を拡張します。

  5. 下位プロセスを作成するプロセスをダブルクリックします。

  6. 開いた空白のスペースを右クリックして「新規プロセス」を選択します。このオプションがグレー表示されている場合は、そのプロセスの子プロセスを作成するための権限が付与されていません。

  7. プロセスのプロパティを入力します。 必要な数のプロセスを作成できることに注意してください。

  8. ここでアクティビティ遷移データを作成する必要があります。たとえば、Process1などのノードをクリックし、右クリックしてProcess2への矢印を描きます。これは、実行順序でProcess2がProcess1に続くことを意味します。

  9. この方法で引き続きプロセスを作成します。OICMで参照可能にするには、作成するプロセスがALL PROCESSESプロセス(ルート)の下位に存在する必要があることに注意してください。このプロセスもアプリケーションとともにシードされます。

  10. ボックスを閉じて全データを保存します。

Oracle Internal Controls Managerにおける手順

トピック ナビゲータ・パス
Oracle Workflowからのプロセスのインポート 「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「プロセス」サブタブをクリックします。
該当するプロセスの「変更」アイコンをクリックして、その子として新規プロセスを作成します。最上位レベルのプロセスを作成するには、「全プロセス」ノードの「変更」アイコンを選択します。
「プロセス階層ワークベンチ」で、「追加」アイコンをクリックし、「ワークフローからのプロセスのインポート」を選択します。

図の説明は本文中にあります

インポートされたプロセスは、必要に応じて、OICMで修正できます。たとえば、子、リスク、統制などをプロセスに追加できます。

ワークフロー内のプロセスにおける以降の変更は、OICMプロセスに自動的には反映されません。後でOICMのバージョンとOracle Workflowのコピーを同期化するには、「既存のICMプロセスの上書き」オプションを選択して再インポートします。これによって、OICMプロセスとワークフローからのバージョンが一致します。

注意: ワークフローからインポートされるプロセスの2つのバージョンの名前および項目タイプは同一である必要があります。既存プロセスの上書きを選択する場合は、既存プロセスに関連付けられたリスク・ライブラリ・オブジェクトは削除されます。

インポートされたワークフロー・プロセスは新規改訂です。承認されないかぎり承認階層には表示されません。

Web ADIを使用したプロセスのインポート

内部監査中に、会社は重要なビジネス・プロセスと関連リスクおよび統制のライブラリを作成します。コンサルティング会社も、リスク・ライブラリ・オブジェクトの大きいデータセットを作成しています。通常、これらのリポジトリは数年にわたって作成され、プロセスの実行と監査の実施に関する業界のベスト・プラクティスが取り込まれています。

Applications Desktop Integrator(ADI)は、Oracle E-Business Suiteに対するスプレッドシート・ベースの拡張機能であり、スイート・アプリケーションで、固有のスプレッドシート・インタフェースを使用したデータ・インポートをできるようにします。OICMのインポート機能を使用すると、会社は既存のリポジトリをファイルからインポートして活用できます。このデータは、最小限のカスタマイズにより組織に適用できます。

OICMでは、リスク・ライブラリ・オブジェクト(プロセス、リスク、統制および監査手順)のインポートにOracle Web ADIを使用します。

注意: OICMにリスクおよび統制オブジェクトをインポートする方法の詳細は、「Oracle Internal Controls Managerへのリスクと統制のインポート」を参照してください。また、「Oracle Internal Controls Managerへの監査手順のインポート」も参照してください。

Web ADIを使用したプロセスのインポート

プロセスでは比較的静的なデータを扱うため、通常、ほとんどの組織では、データのインポート頻度は低くなります。

トピック ナビゲータ・パス
Web ADIを使用したOICMへのプロセスのインポート 「スーパーユーザー」(またはそれに相当する)職責を使用して、「リスク・ライブラリ」タブをクリックし、「インポート」サブタブをクリックします。
ビューワ設定を選択してから必要なすべての情報をインポート・スプレッドシートに入力します。最後に、メニュー・バーから「Oracle - アップロード」を選択します。

Oracle Web ADIを使用したプロセスのインポートに関する注意事項は、次のとおりです。

Web ADIインポートとオーナー権限

次のロジックが、プロセス・オーナー、財務オーナーおよびアプリケーション・オーナー列に適用されます。

次の表に、インポート・スプレッドシート本体のフィールドを示します。

フィールド名 必須 検証(参照タイプ)
プロセス名 Yes フリー・テキストまたはシステムで有効な全プロセス名
プロセス・コード No フリー・テキストまたはシステムで有効な全プロセス・コード
親プロセス名 Yes 「全プロセス」など、システムで有効な全プロセス名。
または、新規の親プロセス名をフリー・テキストとして入力できます。このプロセスはアプリケーションの表に存在しないため、スプレッドシートに新規プロセス行として入力し、インポートする必要があります。
親プロセス・コード No フリー・テキストまたはシステムで有効な全プロセス・コード
プロセス・オーナー No AMW_EMPLOYEES_CURRENT_Vビュー内の有効なパーティ。
財務オーナー No AMW_EMPLOYEES_CURRENT_Vビュー内の有効なパーティ。
アプリケーション・オーナー No AMW_EMPLOYEES_CURRENT_Vビュー内の有効なパーティ。
プロセス連番 No N/A。この番号によって、プロセスが階層に表示される順序が決定されます。
プロセスの改訂/削除 No 改訂/削除
承認ステータス No AMW_PROCESS_APPROVAL_STATUS
プロセス・カテゴリ No AMW_PROCESS_CATEGORY
重要なプロセス Yes (Y/N)AMW_SIGNIFICANT_PROCESS
標準プロセス No (Y/N)AMW_STANDARD_PROCESS
標準バリエーション No システムで有効な全プロセス。
プロセス・タイプ No 有効な全プロセス・タイプ
統制活動タイプ No 自動、手動、組合せ
添付URL No N/A
分類 No 有効な全プロセス分類

注意: 標準バリエーション

アップロードされているプロセスが標準プロセスではない場合、「標準バリエーション」フィールドに入力する必要があります。つまり、アップロードされるプロセスは、「標準バリエーション」フィールドに入力されたプロセスのバリエーションです。

注意: 「プロセスの改訂/削除」フラグ

インポート時にプロセスが存在しない場合は作成され、「プロセスの改訂/削除」フラグのステータスに基づいて更新されます。このフラグは、次のプロセス改訂をサポートします。

プロファイル・オプションの設定

コンカレント・プログラムのロードに基づいて、次のプロファイル・オプション値を適切に設定する必要があります。

  1. BNEアップロード再試行件数

    コンカレント・プログラムのステータスをチェックする回数を指定します。デフォルトは50です。

  2. BNEアップロード・スリープ秒数

    コンカレント・プログラムのステータスの各チェック間に待機する秒数を指定します。デフォルトは3です。これは、Web ADIがコンカレント要求の終了を150秒待機することを示します。

  3. BNE UIX物理ディレクトリ: file_path/cabo/に設定する必要があります。

    file_pathは、caboディレクトリの場所です。

  4. ICXプロファイル「Appsサーブレット・エージェント」: http://xxxxx:port/oa_servlets/に設定する必要があります。

    URLの末尾の/が重要であることに注意してください。

  5. BNEアップロード・ステージ・ディレクトリ: Appsユーザーが書込み権限を持つディレクトリを指す必要があります。

    書込み権限がない場合は、次の書込み権限エラーが表示されます。

    IO例外: システム管理者にbns.logファイルを参照するよう連絡してください。 原因: jave.io.FileNotFoundException:/Directory path/bnee0tdZvSg.xml(権限が拒否されました) 処置: サポート担当者に連絡してください。

    ファイルbnee0tdZvSg.xmlは動的に生成され、コンカレント・プログラム処理に応じて変動します。

Web ADIとExcel 2000より後のバージョンのExcelの併用

Web ADIをこれらのバージョンで動作させる手順は、次のとおりです。

  1. Excelの最新バージョンを開きます。

  2. 「ツール」->「マクロ」->「セキュリティ」->「信頼のおける発行元」を選択します。

  3. 「Visual Basic プロジェクトへのアクセスを信頼する」を選択します。

プロセス目的

明示的であるか暗黙的であるかに関係なく、すべてのビジネス・プロセスには目的があります。これらの目的は、組織でプロセスを実行することで達成しようとしている事項に関して、強力なシグナルを送信します。通常、プロセス目的は次の一方または両方として分類されます。

ビジネス・プロセスを検討すると、これらの目的を決定する上で役立ちます。識別したプロセス目的により、プロセス・リスクとそのリスクを軽減するための統制に関する指針が提供されます。プロセス目的をプロセス定義と併用すると、プロセス・オーナーに担当プロセスのパフォーマンス評価に関して有効なベンチマークを提供することもできます。そのため、アプリケーションではキー・パフォーマンス・インディケータをプロセス目的に関連付けることができます。

OICMでは、プロセス定義への関連付けが可能な目的を作成できます。プロセス目的は、統制目的またはパフォーマンス目的として分類できます。

プロセス目的の設定

OICMでは、2つの方法でプロセス目的を作成できます。

プロセス目的を定義するには、OICMアプリケーションのリスク・ライブラリを使用する必要があることに注意してください。

手動によるプロセス目的の作成

トピック ナビゲータ・パス
手動によるプロセス目的の作成 「ビジネス・プロセス・オーナー」(またはそれに相当する)職責を使用して「設定」タブをクリックし、「リスク・ライブラリ」サブタブをクリックします。
「リスク・ライブラリ」タブの(プロセスの)目的リンクを選択し、「作成」ボタンをクリックします。
  1. 目的の属性を入力し、統制目的であるかパフォーマンス目的であるかを指定します。

    図の説明は本文中にあります

    統制目的の場合もパフォーマンス目的の場合も、Oracle Daily Business Intelligenceモジュールからのキー・パフォーマンス・インディケータの形式でパフォーマンス測定を関連付けることができます。同じパフォーマンス測定を複数の目的に使用できます。

  2. プロセス目的の作成後に、「プロセス詳細」ページの「目的」セクションにドリルダウンします。

    トピック ナビゲータ・パス
    プロセス目的とプロセスのリンク 「ビジネス・プロセス・オーナー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「プロセス」サブタブをクリックします。
    関連プロセスに対して、「変更」アイコンをクリックして「プロセス階層ワークベンチ」にアクセスします。該当するプロセスにドリルダウンして「更新」ドロップダウンを選択します。
    「目的」サブタブを選択して、「プロセス目的」ハイパーリンクを追加または更新します(あるいはその両方)。

    注意: プロセス階層ワークベンチの詳細は、「プロセス承認と変更管理」を参照してください。

プロセス目的のインポート

プロセス目的を手動で作成してプロセスに個別に関連付けるかわりに、OICMにはプロセス目的用に強力なインポート・メカニズムが用意されています。この機能を使用すると、プロセス目的のインポートとプロセスへの関連付けを1ステップで実行できます。

プロセスをリスク・ライブラリにインポートしている間は、プロセス目的をインポートできないことに注意してください。かわりに、プロセス目的はリスクおよび統制をインポートするためのスプレッドシートの一部になります。これは、これらの目的が、プロセス・リスクのコンテキストでのみ完全に理解できるためです。プロセスに特定の方向性を与えると、プロセス目的によりプロセスがリスクにさらされます。そのため、OICMでは、プロセス目的をリスクおよび統制とともにインポートします。

注意: リスク、統制およびプロセス目的のインポートを実行する前に、プロセスがアプリケーションに存在する必要があります。詳細は、「Oracle Internal Controls Managerへのリスクと統制のインポート」を参照してください。

リスク・ライブラリ内のプロセス目的

通常、プロセスに関連付けられている目的は、リスク・ライブラリの「プロセス詳細」ウィンドウに表示されます。

トピック ナビゲータ・パス
プロセスに関連付けられているプロセス目的の表示 「ビジネス・プロセス・オーナー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「プロセス」サブタブをクリックします。
関連プロセスにドリルダウンして「目的」セクションにスクロールします。

ただし、プロセス目的を関連リスクのコンテキスト内で表示および設定することもできます。前述のように、これらは目的がプロセスに特定の方向性を与えた結果として発生するリスクです。

トピック ナビゲータ・パス
リスクのコンテキスト内でのプロセス目的の表示 「ビジネス・プロセス・オーナー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「リスク」サブタブをクリックします。
関連リスクにドリルダウンして「目的」サブタブを選択します。

「削除」および「追加」ボタンをクリックすると、OICMで特定のプロセス目的を特定のリスクに関連付けることができます。

プロセスの属性

次の表に、「プロセス詳細」ページの各フィールドの選択の詳細を示します。

フィールド 説明 シード値 参照タイプ アクセシビリティ・レベル
プロセス・オーナー プロセスの実行担当者の氏名。 N/A N/A N/A
財務オーナー プロセスの財務部分または結果の担当者の氏名。 N/A N/A N/A
承認ステータス プロセスの承認ステータス。 Oracle Internal Controls Managerで使用可能にするには、プロセスが「承認済」ステータスである必要があります。 承認済
草案
承認保留
否認済
AMW_PROCESS_APPROVAL_STATUS システム
標準プロセス プロセスが標準とみなされるか非標準とみなされるか。 非標準プロセスは、固有のリスクを伴い、個別の統制と監査手順を必要とする場合があります。 Yes
No
AMW_STANDARD_PROCESS システム
プロセス・カテゴリ プロセス分類。 定例プロセスよりも非定例プロセスの方に監査の焦点を置く必要があります。財務見積時に到着するように見積プロセスが実行されます。 見積
非定例
定例
AMW_PROCESS_CATEGORY 拡張可能
重要プロセス プロセスの優先度を示します。 Yes
No
AMW_SIGNIFICANT_PROCESS ユーザー
プロセス・タイプ プロセス定義をそのタイプによって微調整できます。
タスクとは、プロセス内で実行される作業の単位です。
統制活動とは、プロセスに関連付けられたリスク軽減を主要目的に実行される作業の単位です。統制活動は、設定されるプロセスに関連付けられたプロセスという形での統制として考えられます。
Oracle Tutorにおいて適切な監査モードでフラグ付けされたプロセスおよびタスクが、OICMで統制活動として自動的に作成されます。
プロセス
サブプロセス
タスク
統制活動
N/A N/A
プロセス分類 拡張可能属性の分類です。 N/A N/A N/A

注意: OICMでは、社内の特定組織にプロセスを関連付けることができます。他の組織の属性に影響を与えずに、特定の組織内でプロセス属性を更新できます。たとえば、様々な組織で同じプロセスに異なるプロセス・オーナーを割り当てることができます。

「組織内のプロセスの改訂」を参照してください。

プロセス重要性

前述の表のように、リスク・ライブラリ内でプロセスを作成するときに、「Yes/No」フラグを使用して重要性の属性を設定できます。重要プロセスについては、この属性の決定要素、つまり、このプロセスが重要であると判断した理由を指定できます。

「AMW: プロセス作成中の重要プロセスのデフォルト」プロセス・オプションを設定すると、自動的にこの値にデフォルト設定されます。

トピック ナビゲータ・パス
重要プロセス決定要素 「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「プロセス」サブタブをクリックします。
「プロセス詳細」ページにドリルインして「プロセス重要性」セクションまでスクロール・ダウンします。

決定要素は参照タイプであり、ユーザーが拡張できます。

プロセス・オーナー:

OICMでは、「プロセス・オーナー」フィールドを次の2つの方法で使用します。

  1. アプリケーション内でロールと権限を実装する場合は、このフィールドを使用して組織へのアクセスを許可します。

    注意: 詳細は、OICMの「ロールと権限」を参照してください。

  2. プロセス認証の作成後に、OICMでは「プロセス・オーナー」フィールドを使用して認証タスクを割り当てます。認証に含まれるプロセスを表示して認証できるのは、プロセス・オーナーのみです。

    たとえば、プロセスP2Pが関係するプロセス認証があるとします。ユーザーUが組織USにおけるこのプロセスのオーナーである場合、UはUS組織におけるP2Pの認証を担当し、影響する通知を受け取ります。プロセス認証が必要で、プロセスのオーナーが識別されない場合は、プロセス認証通知を送信できません。

    注意: 詳細は、「プロセス認証と組織認証」を参照してください。

プロセスへの文書の関連付け

通常、プロセスの文書化は、監査人が実行する遵守チェックの基礎となります。OICMでは、プロセスに任意の文書を添付できます。添付文書は、様々な目的に使用できます。たとえば、説明として、またはユーザーにプロセスの配置方法を示す基礎として使用できます。

チュータ添付

Oracle Tutorはオラクル社の推奨文書化ツールです。チュータにはプロセスまたは手順の作成、自動フローチャート作成、およびロール・ベースの発行機能があり、事前定義済のビジネス・モデルおよびビジネス・フローが用意されています。したがって、出荷時のプロセスと手順を変更して、Oracle E-Business Suiteで容易に独自のビジネス・プロセスを表すことができます。また、Oracle TutorはOracle iLearningと統合されており、マネージャは従業員がジョブの実行に必要な手順を学習したことを確認できます。

Oracle Tutorを使用して手順を開発した後で、該当するプロセスに関連付けたり、OICMの「プロセス詳細」ウィンドウからアクセスできます。

プロセスへの(チュータからの)文書の関連付け

「リスク・ライブラリ」の「プロセス」ウィンドウで、「チュータ文書の変換」をクリックし(チュータはオラクル社推奨の文書化および作成ツールであるため)、「添付」をクリックして文書をプロセスに添付します。

文書をプロセスに関連付ける手順は、「プロセスへのファイルの添付」で説明した手順と同じです。

注意: これらのファイルはチュータ・プロセス作成ファイルと区別してください。後者とは異なり、これらの文書は説明のためにのみプロセスに添付されます。

添付はリスク・ライブラリ内および組織内のプロセス(またはリスク、統制、監査手順オブジェクト)に個別に追加されることにも注意する必要があります。ライブラリ内で添付した内容はライブラリ内でのみ参照可能ですが、特定の組織でリスク・ライブラリ・オブジェクトに添付した内容が組織からリスク・ライブラリに自動的に送られることはありません。

その他の添付

注意: 次の説明は、(プロセスのみではなく)すべてのリスク・ライブラリおよび組織オブジェクトへの文書の添付に適用されます。

「添付」サブタブを使用して、OICMでは実質的にどのようなデータ型の文書でも、アプリケーションのオブジェクトであるプロセス、リスク/統制、監査関与などに添付できます。Oracle Filesでのデータの格納に加えて、この添付機能ではサード・パーティのリポジトリもサポートしています。そのため文書またはファイルを外部文書管理システムに格納し、関与オブジェクトにリンクできます。

前提条件

アプリケーションでオブジェクトに添付をリンクするには、次の2つのタスクを完了する必要があります。

  1. 「Self-Service Oracle Files使用可能」プロファイル・オプションを「Yes」に設定します(アプリケーション・レベルで)。

  2. 該当する文書リポジトリ・パラメータを次のとおり設定します。

    トピック ナビゲータ・パス
    アプリケーションの文書リポジトリのパラメータ設定 「システム管理者」職責を使用して、「アプリケーション」の「文書」->「リポジトリ」にナビゲートします。

    図の説明は本文中にあります

    該当するインスタンスに対して、必要なパラメータを次のとおり設定します。

    パラメータ名 説明
    サービスURL Oracle Files Online(OFO)インスタンスが実行中であるかどうかのチェックに使用(テスト目的のみ)
    WebDav接続URL OFOでDAV(http)接続を開くために使用するURL
    連番 順序指定のための連番

    監査の実行中の任意の時点で、監査関与またはアプリケーションの他のオブジェクトに添付をリンクできます。

    トピック ナビゲータ・パス
    リスク・ライブラリまたは組織オブジェクトへのファイルの添付 オブジェクトの詳細ページまたは「監査関与」で、「添付」サブタブにナビゲートします。

    図の説明は本文中にあります

キー勘定項目とプロセスとのリンク

財務諸表を認証するには、まず財務諸表の財務項目に影響する様々なビジネス・プロセスの影響を理解する必要があります。各財務項目は勘定科目または連結勘定科目であり、その項目に影響するプロセスの重要部分です。財務項目に関連するプロセスを認識し、財務監査に取り込む必要があります。

そのため、OICMでは、プロセスをシステムで定義済の勘定科目にマッピングできます。これらの勘定科目は、勘定体系における勘定科目セグメントの定義に基づいています。

注意: 勘定科目および定義の詳細は、『Oracle Applicationsフレックスフィールド・ガイド』を参照してください。

OICMでプロセスに勘定科目をリンクするには、2つの方法があります。

勘定科目とプロセスをリンクする前提条件

前述のどちらの方法にも、次の前提条件があります。

1. 財務勘定科目のインポート

OICMアプリケーションによって、財務レポート・アプリケーション(Oracle Financial Statement Generator(FSG)または他のアプリケーション)から財務諸表構成、勘定体系および財務項目とキー勘定科目の間の関係をインポートできます。

プロファイル・オプション「AMW: Oracle財務諸表生成プログラムを使用」を設定して、アプリケーションで認識される財務勘定科目および財務諸表のソースを定義します。

2. 勘定科目のインポート・コンカレント・プログラムの実行

勘定科目のコンカレント・プログラム「勘定科目のインポート」を実行して、すべての関連財務項目をOICMアプリケーションの表に取り込みます。

注意: 財務諸表のインポートの詳細は、付録B「認証する財務諸表のインポート」を参照してください。

手動による重要勘定項目とプロセスとのリンク

トピック ナビゲータ・パス
手動による重要勘定項目とプロセスとのリンク 「ビジネス・プロセス・オーナー」職責(またはそれに相当する職責)を使用して「リスク・ライブラリ」タブをクリックし、「プロセス」サブタブをクリックします。
関連プロセスに対して、「変更」アイコンをクリックして「プロセス階層ワークベンチ」にアクセスします。該当するプロセスにドリルダウンし、「更新」ドロップダウンを選択します。
「重要勘定科目」サブタブを選択し、勘定科目を追加または更新(あるいはその両方)します。

値リストには、関連値セットに定義されている勘定科目がすべて表示されます。1つのプロセスに複数の重要勘定科目をリンクできます。

プロセスとキー勘定科目関連のインポート

プロセスを勘定科目に個別にリンクするかわりに、プロセスおよびキー勘定科目関連すべてを一度にインポートできます。

  1. 「リスク・ライブラリ」->「インポート」タブで「プロセスとキー勘定科目関連のインポート」を選択します。

  2. ビューワ設定(Excel 1997/2000)を選択し、表示されるスプレッドシートを適切なデータで更新します。

  3. スプレッドシートのメニュー・バーから「Oracle - アップロード」を選択します。

Oracle Web ADIを使用したプロセスおよびキー勘定科目関連のインポートに関する注意事項は、次のとおりです。

次の表に、インポート・スプレッドシートのフィールドを示します。

フィールド名 必須 検証
プロセス名 Yes システムで有効な全プロセス。
財務諸表 No システムで有効な財務諸表すべて。これらの財務諸表はOracle FSGまたはサード・パーティのレポートから取り込まれます。
財務項目 No 選択した財務諸表内で有効な財務項目すべて。財務諸表がOracle FSGレポートの場合、これらの項目は通常は行オブジェクトです。
キー勘定項目 Yes 選択した財務諸表と項目に属している有効な勘定科目すべて。財務諸表と項目のフィルタを空白にすると、値リストには全勘定科目が表示されます。

Oracle Internal Controls Managerにおける組織

注意: リスク・ライブラリ・オブジェクト(プロセス以外)のリスク・ライブラリへのシードの詳細は、「Oracle Internal Controls Managerにおけるリスクと統制」および「Oracle Internal Controls Managerにおける監査手順」を参照してください。

リスク・ライブラリがシードされると、アプリケーションにおける残りのほとんどの設定は特定の組織のコンテキスト内で行われます。会社がビジネス・プロセスを組織全体にわたって標準化することには、様々なメリットがあります。たとえば、共通するプロセスの方法論、規模および学習の経済性などがあります。

ただし、動的な環境では、プロセスに組織固有の変更が行われる場合があります。また、複数の所在地にまたがる企業の場合は、プロセスの実行環境が多岐にわたる場合があります。通常、このように類似性のない設定では、特定の組織でプロセスを変更する必要が生じます。そのため、Oracle Internal Controls Managerには次を作成する機能が用意されています。

注意: プロセス・バリエーションの詳細は、「リスク・ライブラリ内のプロセスの改訂: パート2(プロセス・バリエーション管理)」を参照してください。プロセス例外の詳細は、「組織内のプロセスの改訂」を参照してください。

Oracle Internal Controls Managerにおける組織の設定

Oracle Internal Controls Managerにおける組織は、監査可能単位である必要があります。 監査可能単位は、Oracle E-Business Suiteで組織分類として使用可能な企業の論理部署またはグループです。たとえば、法的エンティティ、営業単位、会社コスト・センター、在庫組織、または監査可能単位として分類できる他の組織などです。

前提条件

組織を監査可能単位として設定する前に、次のプロファイル・オプションをシードする必要があります。

Oracle Human Resourcesにおける監査可能単位の設定

Oracle Human Resourcesで実行する必要のある手順の概要は、次のとおりです。

注意: 組織設定の詳細は、『Oracle HRMSユーザーズ・ガイド(日本仕様)』を参照してください。

  1. Oracle Human Resourcesで、「ワーク・ストラクチャ」->「組織」->「摘要」フォームにナビゲートします。

  2. 名称、有効日および事業所など、組織の主要属性を入力します。

    組織分類

  3. 「組織分類」セクションで「監査可能単位」を選択します。「使用可能」チェック・ボックスを選択し、「他」をクリックして「監査可能単位」の詳細にドリルインします。

  4. この監査可能単位の「子会社」値セットを選択します。値リストは、デフォルトで「AMW: 監査単位の子会社値セット」プロファイル・オプションからの値セットに設定されます。次に、子会社値を選択します。これで、この子会社に監査可能単位が関連付けられます。

    監査可能単位が子会社の概念を超えていることに注意する必要があります。「組織」ウィンドウでは、自組織(監査可能単位に設定)を「在庫組織」や「法的エンティティ」のような他の分類でも設定できます。

    たとえば、自社の在庫組織の内部統制を調査する場合は、これらの各在庫組織にも監査可能単位としてタグを設定し、子会社に関連付ける必要があります。同じ子会社の下位に在庫組織のような複数の組織を配置できます。これらの各監査可能単位も、この子会社にリンクされます。

    一方、調査対象が複数の子会社にまたがる法的エンティティであるとします。この場合は、子会社ごとに1つずつ、複数の監査可能単位を設定する必要があります。これらの各監査可能単位にも、法的エンティティ・タグが設定されます。

  5. この監査可能単位のライン・オブ・ビジネス値セットを選択します。この手順はオプションです。値リストは、デフォルトで「AMW: 監査単位のLOB値セット」プロファイル・オプションからの値セットに設定されます。監査可能単位に関連付けるライン・オブ・ビジネス値を選択してください。

    特定のライン・オブ・ビジネス値に複数の監査可能単位を関連付けることができることに注意してください。

「関連付け」ページでの検索

プロセスを組織に関連付けるときに、必要に応じて「関連付け」検索ウィンドウで次のディメンションを使用して組織を検索できます。

プロセスと組織のリンク

プロセスは、最初にOracle Internal Controls Managerのリスク・ライブラリにインポートされます。監査所見を発行するには、事前にリスク、統制および監査手順を相互に、およびプロセスに関連付けておく必要があります。これらの関連付けは、最初にリスク・ライブラリで実行します。

様々な組織が異なるプロセスを実行している場合があるため、Oracle Internal Controls Managerではプロセスを社内の特定の組織に関連付けることができます。つまり、プロセスは会社の組織体系にマップされます。プロセスに関連付けられたリスク・ライブラリ・オブジェクトとのリンクはすべて、関連組織に持ち越されます。これらのリンクは、アプリケーションの組織ビューで表示できます。

トピック ナビゲータ・パス
プロセスと組織のリンク 適切な職責を使用して、「リスク・ライブラリ」タブおよび「プロセス」サブタブにナビゲートし、「組織への関連付け」および「組織への同期化」ボタンにアクセスします。

このウィンドウにおけるプロセスのビューは承認済階層です。つまり、承認されたプロセスのみを組織に関連付けることができます。次の条件が満たされるまで、また条件が満たされなければこのビューにはプロセスが表示されないことに注意してください。

リスク・ライブラリから既存プロセスの階層を持つ組織にプロセスをリンクまたは再関連付けする場合、既存の階層(存在する場合)が自動的に上書きされることはありません。かわりに、このアプリケーションでは、複数のオプションを用意しています。

前述のオプションを次に説明します。

組織への関連付け

図の説明は本文中にあります

デフォルトでは、プロセスに現在関連付けられていないすべての組織が従属する「選択された組織」ウィンドウに表示されます(同じプロセスを1つの組織に重複して関連付けることはできません。かわりに「組織への同期化」ボタンを使用してください)。この時点でクリックして適用すると、従属ウィンドウのすべての組織が自動的に関連付けられます。サブセットを検索するには、先行する「使用可能な組織」ウィンドウに戻り、会社と組織名でフィルタできます。

プロセスを組織に関連付けている間に、このアプリケーションではそのサブプロセスに対して次のオプションが提供されます。

  1. 組織内で定義を保持

    この場合、サブプロセスの属性およびその下位階層は上書きされません。

    たとえば、リスク・ライブラリのプロセスP1が組織O1に関連付けられているとします。プロセスP1にはサブプロセスP2があり、P2にはサブプロセスがないとします。P2が子P3を持ちO1に存在する場合は、P1がO1(「組織内で定義を保持」オプション使用)に関連付けられ、次の構成となります。

    P1

    |

    P2

    |

    P3

  2. ライブラリ定義との同期化

    この場合は、サブプロセスの属性とその下位階層が現在のライブラリ定義によって上書きされます。前述の例の場合、O1は次の構成となります。

    P1

    |

    P2

組織との同期化

特定の組織におけるプロセスとリスク・ライブラリ内の元のプロセスは、次のような理由で一致しなくなる可能性があります。

  1. 引き続き、プロセス関連のリスク、統制、手順、勘定科目をリスク・ライブラリ内で追加または変更できます。また、プロセス体系自体の変更(リスク・ライブラリ内の子プロセスの追加または削除)も可能です。このような追加および変更は、アプリケーションで組織にマップされているプロセスに自動的には移行されません。

  2. プロセス例外も作成できます。つまり、特定の組織のプロセスを変更できます。これらの変更は、リスク・ライブラリ内のプロセス体系には反映されません。

プロセスまたはそのサブプロセス(あるいはその両方)、プロセス階層またはその属性(あるいはその両方)、関連リスク、統制および監査手順を、該当するプロセスについて指定されたロールと権限を持つ個人とともに、同期化することを選択できます。次の同期化オプションに基づいて、組織のコンテキスト内で行われる特定の変更内容は消去されます。

図の説明は本文中にあります

注意: 組織に関連付けできるのは「リスク・ライブラリ」で承認されているプロセスのみです。ただし、組織にリンクされると、そのプロセスは組織でも承認される必要があります。

プロセス(および他のリスク・ライブラリ)の添付

添付はリスク・ライブラリ内および組織内のプロセス(またはリスク、統制、監査手順オブジェクト)に個別に追加されることに注意してください。プロセスにドリルダウンして「添付」リンクを選択します。

ライブラリ内で添付した内容はライブラリ内でのみ参照可能ですが、特定の組織でリスク・ライブラリ・オブジェクトに添付した内容が組織からリスク・ライブラリに送られることはありません。

組織へのリスクと統制のリンク

リスクと統制を同じように組織に直接リンクできます。

トピック ナビゲータ・パス
組織へのリスクと統制の直接リンク 「スーパーユーザー」(またはそれに相当する)職責を使用して「組織」タブにナビゲートし、該当する組織にドリルインして「リスク」および「統制」サブタブにアクセスします。

組織の表示

3つの階層ビューが組織に対して使用可能です。

  1. カスタム階層。Oracle HRモジュールで定義され、「AMW: 組織セキュリティ階層」プロファイル・オプションに入力された組織の階層です。

  2. 法的階層。子会社値セットの子会社(会社)の階層です。値セット名は、「AMW: 監査単位の子会社値セット」プロファイル・オプションに入力する必要があります。

  3. 管理階層。LOB値セットのLOBの階層です。値セット名は、「AMW: 監査単位のLOB値セット」プロファイル・オプションに入力する必要があります。

    図の説明は本文中にあります

    ここでの「タイプ」はHRで定義された組織タイプです。