リリース11i
B25733-01
目次
戻る
次へ
| Oracle Internal Controls Managerインプリメンテーション・ガイド リリース11i B25733-01 | 目次 | 戻る | 次へ |
リスク・ライブラリは、プロセスとプロセス・リスク、および組織によるリスクの記述を可能にするポリシー、手順とアクティビティで構成されます。リスク・ライブラリには、次の4つの主要オブジェクトがあります。
プロセス
リスク
統制
監査手順
したがって、ライブラリは、これらのオブジェクトを社内の全組織に関して保持するコンテナに似ています。複数のライブラリを使用することはできません。
リスク・ライブラリは、専門組織(内部監査人協会や会計事務所など)または組織のユーザー、あるいはその両方からのコンテンツで構成できます。パートナのライブラリを実装することに決定した場合は、Oracle Internal Controls Managerに組み込まれているスプレッドシート・インタフェースを使用すると、サード・パーティのコンテンツをインポートできます。
注意: Oracle Internal Controls Managerにリスク・ライブラリ・オブジェクトをインポートする方法の詳細は、「Oracle Internal Controls Managerへのリスクと統制のインポート」を参照してください。
プロセスの詳細は「Oracle Internal Controls Managerのプロセス」、監査手順の詳細は「内部統制マネージャにおける監査手順」を参照してください。
リスクは、組織のプロセスや統制環境に悪影響を及ぼす行為やイベントが発生する可能性として定義されます。リスクの例として、システムに仕入先情報を入力したのと同じユーザーが請求書の入力と支払も行う場合などがあります。
「リスク」タブでは、情報を組織内のプロセス指向からプロセスに伴うリスク指向へと変更できます。
監査人は、各ビジネス・プロセスおよび組織に関連するリスクと、それが及ぼす可能性のある影響を識別します。Oracle Internal Controls Managerを使用し、再利用可能なリスクのライブラリを作成して保守し、各リスクをビジネス・プロセスまたはエンティティに関連付けることができます。エンティティ・リスクは、組織に直接関連付けられるリスクです。たとえば、ユーザーが十分に対応できない可能性のあるリスクは、より適切に組織に関連付けられます。すべてのリスクは、その可能性と影響に基づいて分類できます。たとえば、受注受入による損失のリスクは、大きな影響を及ぼす可能性の低いリスクとして作成できます。
Oracle Internal Controls Managerでは、2つの方法でリスクを作成できます。
次のメニュー・パスを使用して、リスクを手動で作成します。
| トピック | ナビゲータ・パス |
|---|---|
| OICMリスク・ライブラリにおけるリスクの作成 | 「内部監査人」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックします。 「リスク」サブタブ・セクションで「作成」ボタンをクリックします。 |
注意: 「リスク詳細」ページの選択フィールドの詳細は、「リスクの属性」の各項と「リスク、リスク・タイプおよび規約」の各項を参照してください。
後で編集できるようにリスクを保存すると、そのリスクは「草案」ステータスで作成されます。リスクが確定された時点で、「リスク」メイン・ページ(「リスク・ライブラリ」内)で「更新」をクリックし、承認のために発行します。承認したリスクの更新が必要になった場合は、「リスク詳細」にドリルインして「改訂」を選択します。
リスク・ライブラリ・オブジェクトをOracle Internal Controls Managerで使用できるのは、承認された後のみです。リスクは、ワークフロー・ルールの設定とOracle Approvals Managementアプリケーションにおける承認階層に基づいて承認または再承認されます。承認が完了すると、リスク承認ステータスが「承認済」に変わります。
注意: リスク・ライブラリ・オブジェクトの承認において、Oracle Approvals Managementをオプションで使用できます。詳細は、「リスク・ライブラリの変更統制」を参照してください。
プロセスや組織などのその他のオブジェクトにリスクを手動でリンクするには、次のメニュー・パスを使用します。
| トピック | ナビゲータ・パス |
|---|---|
| 手動によるリスクと組織、プロセスおよび統制の関連付け | リスクと組織のリンク 「内部監査人」(またはそれに相当する)職責を使用して「組織」タブをクリックし、適切な組織にドリルインします。 「組織詳細」ビューで「リスク」サブタブにナビゲートし、リスクを組織とリンクします。 リスクとプロセスおよび統制のリンク 「内部監査人」(またはそれに相当する)職責を使用して「組織」タブをクリックし、適切な組織にドリルインします。 「プロセス」サブタブ・ビューから「プロセス階層ワークベンチ」にナビゲート(適切なプロセスの「プロセスの変更」アイコンをクリック)します。このワークベンチ・ウィンドウのプロセスにドリルインし、「リスク」サブタブをクリックします。 この詳細ビューで「更新」ボタンをクリックし、「リスクおよび統制」サブタブにナビゲートします。リスクを追加することや、統制をプロセス・リスクに関連付けることが可能です。 |
「設定」タブでリスクをインポートします。リスクを手動で作成して統制およびプロセスに個別に関連付けるかわりに、Oracle Internal Controls Managerにはリスクおよび統制オブジェクト用の強力なインポート・メカニズムが用意されています。このインポート機能を使用すると、リスクと統制のインポート、およびプロセスと組織との関連付けを1ステップで実行できます。
注意: 詳細は、「Oracle Internal Controls Managerへのリスクと統制のインポート」を参照してください。
次の表に、「リスク詳細」および「結果」ページの選択フィールドの詳細を示します。
| フィールド | 詳細 | シード値 | 参照タイプ | アクセシビリティ・レベル |
|---|---|---|---|---|
| 分類 | リスクに表示される拡張可能属性の決定。詳細は、「拡張可能属性」を参照してください。 | N/A | N/A | N/A |
| 可能性 | ユーザー定義のリスク分類。 | まれ 小 普通 大 確実 | AMW LIKELIHOOD | ユーザー |
| 影響 | ユーザー定義のリスク分類。 | 重要でない あまり重要でない 普通 重要 非常に重要 | AMW IMPACT | ユーザー |
| 承認ステータス | リスクの承認ステータス。 Oracle Internal Controls Managerで使用可能にするには、リスクが「承認済」ステータスである必要があります。 | 承認済 草案 承認保留 否認済 | AMW_RISK_APPROVAL_STATUS | システム |
| 重大 | リスクが発生した場合の破損または損失が重大かどうか。 | Yes No | N/A | N/A |
| リスク・タイプ | ユーザー定義のリスク分類。1つのリスクに複数のリスク・タイプを関連付けることができます。詳細は、「リスク、リスク・タイプおよび規約」を参照してください。 | N/A | N/A | N/A |
新自己資本比率規制(Basel II)要件に対応するには、適切な規約(規制環境)に属するようにリスクおよびプロセスを分類する必要があります。
注意: 規約とその作成の詳細は、ホワイト・ペーパー『Integration with Oracle's Basel II Solution』を参照してください。
リスクはリスク・タイプ別に分類され、OICMリスク・ライブラリのリスクはリスク・タイプを使用して1つ以上の規約に関連付けられます。リスク・タイプは、企業改革法および新自己資本比率規制の業務リスク・フレームワークに準拠するOICMライブラリ内でシードされます。
次のリストは、新自己資本比率規制用のOICMにシードされているレベルIおよびレベルIIのリスク・タイプを示します。
| タイプ(レベルI) | 定義 | タイプ(レベルII)と例 |
|---|---|---|
| 内部の詐欺行為 | 少なくとも1人の内部関係者が関係する、差別行為は除く、詐欺、財産の横領または規約、法律または会社のポリシーの回避を目的としたタイプの行為による損失 | 未承認の行為(未報告の取引 - 金銭の損失を伴う故意による未承認の取引) 窃盗および詐欺(信用詐欺/窃盗/恐喝/資産の着服、横領、悪意を持った資産の破壊/賄賂/キックバック) |
| 外部の詐欺行為 | 第三者による詐欺、財産の横領または法律の回避を目的としたタイプの行為による損失 | 窃盗および詐欺(窃盗、偽造) システム・セキュリティ(ハッキングによる損害、情報の盗用) |
| 雇用慣行および職場の安全 | 雇用、健康または安全に関する法律または協定に違反した行為、人身傷害請求に関する支払、または差別行為から生じる損失 | 従業員との関係(補償、手当、解雇の問題) 安全環境(賠償責任、従業員の健康と安全) 差別行為(従業員への補償、すべての差別タイプ) |
| クライアント、製品およびビジネス慣行 | 特定のクライアントに対する故意でないまたは過失による職務上の義務違反(信託要件および適合性要件を含む)または製品の性質または設計から生じる損失 | 適合性、情報開示および信託(情報開示問題、強引な販売) 不適切なビジネス慣行またはマーケット慣行(反トラスト、インサイダー取引、無免許行為) 製品の欠陥(製品の瑕疵) 選択、支援および公開(ガイドラインに沿ったクライアントの調査不測) 助言行為(助言行為の成果に対する抗議) |
| 物的資産の損害 | 自然災害またはその他の事象による物的資産の損失または損害から生じる損失 | 災害およびその他の事象(自然災害による損失) |
| ビジネスの中断およびシステム障害 | ビジネスの中断およびシステム障害から生じる損失 | システム(ハードウェア、ソフトウェア、通信) |
| 実行、引渡しおよびプロセス管理 | 取引相手およびベンダーとの関係に起因する取引処理またはプロセス管理の失敗による損失 | 取引の捕捉、実行および保守(データ入力/ロードのエラー、会計処理エラー) モニタリングおよびレポート(不正確な外部レポート) 顧客文書(法的文書の紛失) 顧客/クライアント勘定管理(勘定への未承認アクセス、その他の顧客以外の関係者による抗議) 取引相手/ベンダーおよび仕入先(ベンダーによる抗議) |
組織では、このリスク・タイプの埋込みライブラリに、その他のリスクを次のように追加できます。
| トピック | ナビゲータ・パス |
|---|---|
| リスク・タイプの定義 | 「内部監査人」(またはそれに相当する)職責を使用して「設定」タブをクリックし、「リスク・ライブラリ」サブタブをクリックします。 「リスク・タイプ」リンクにドリルダウンします。 レベルIのリスク・タイプを作成するには、全リスク・タイプ・オプションをクリックし、ドロップダウン・リストから「サブ・リスク・タイプの追加」を選択します。 子会社レベルのリスク・タイプを作成するには、親リスク・タイプをクリックし、ドロップダウン・リストから「サブ・リスク・タイプの追加」を選択します。 |
このウィンドウでは、リスク・タイプの削除、再割当および更新が可能です。リスク・タイプまたはリスク・タイプのレベルの数には制限はありません。
リスク・タイプの作成時には、リスク・タイプを適切な規約にマップします。
次の表に、「リスク・タイプの作成」ウィンドウの各選択フィールドの詳細を示します。
| フィールド | 詳細 | シード値 |
|---|---|---|
| リスク・タイプ・コード | リスク・タイプの一意識別子。デフォルトでは連番が自動的に設定されますが、ユーザーが変更できます。 リスク・タイプの作成後は、リスク・タイプ・コードを更新できません。 | 連番 |
| インポート列順序 | Web ADIアップロードの列順序番号。スプレッドシートのアップロードを介して最大30のリスク・タイプをインポートできます。 | N/A |
| 規約 | 後述の「リスク・タイプおよび規約」を参照してください。 | N/A |
前述のとおり、新自己資本比率規制要件に対応するには、適切な規約(規制環境)に属するようにリスクおよびプロセスを分類する必要があります。方法は、次のとおりです。
リスクの作成時に、リスクは1つ以上のリスク・タイプを持つものとして分類されます。
注意: 詳細は、「リスクの属性」を参照してください。
リスク・タイプは、作成時に1つ以上の規約にマップされます。このため、規約が異なると、リスク・タイプのセットも異なります。たとえば、企業改革法規約のリスク・タイプ・セットが新自己資本比率規制規約のリスク・タイプ・セットとは異なる場合があります。ただし、リスク・タイプが重複していてもかまわず、特定のリスク・タイプを複数の規約が使用することもできます。
注意: 新しい子会社リスク・タイプを規約にマップするときに使用可能な唯一の規約は、親リスク・タイプに関連付けられた規約です。つまり、子会社リスク・タイプは、親にも関連付けられた規約に対してのみマップできます。
同様に、子会社リスク・タイプは、元の親と同じ規約にリンクされたその他のリスク・タイプに対してのみ再割当できます。
リスク、リスク・タイプおよび規約間のマッピングの結果、作成されたリスクは特定の規約内のリスク・タイプに関連付けられています。
特定の規約にリスク・タイプが関連付けられていない場合、リスクを表示しても規約は表示されません。
単純な検索の場合、リスクが関連付けられているすべてのプロセスや組織に対して検索を行うたびに、リスクが複数回表示されてしまうことがあります。
必要に応じて、次のディメンションを使用してリスクのサブセットを検索できます。
リスク名。
改訂。詳細は、「リスク・ライブラリ内のオブジェクトの改訂」を参照してください。
リスクの可能性。詳細は、「リスクの属性」を参照してください。
検索コンテキスト(「拡張検索」ボタンを介してアクセス)。次の3つの検索コンテキストを使用できます。
リスク・コンテキスト検索では、システム内でプロセスまたは組織名が関連付けられていないリスクがすべて戻されます。
関連プロセス・コンテキスト検索では、システム内でプロセスに関連付けられているリスクがすべて戻されます。リスクが複数のプロセスまたは複数組織内の同一プロセスに関連付けられている場合は、そのリスクがリストに2度以上表示されます。
組織コンテキスト検索では、組織に(その組織のプロセスを介して)関連付けられているリスクがすべて戻されます。
リスク・オブジェクトは、リスク・ライブラリと組織の両方のコンテキストで表示できます。
| トピック | ナビゲータ・パス |
|---|---|
| リスクの表示 | リスク・ライブラリのリスクの表示 「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「リスク」サブタブをクリックします。 組織コンテキストのリスクの表示 「スーパーユーザー」(またはそれに相当する)職責を使用して「組織」タブをクリックし、適切な組織にドリルインします。「リスク」サブタブの下には、「エンティティ・リスク」と「プロセス・リスク」の両方のリスクを表示できます。「エンティティ・リスク」は、組織に直接関係するリスクです。「プロセス・リスク」は、この組織のプロセスがさらされるリスクです。 |
会社の経営者は、会社の目的および目標達成について妥当な保証を提供するために、十分な処理の実施を計画、編成して指示します。統制とは、リスク管理を強化し、設定された目的および目標が達成される可能性を高めるために経営者、取締役会およびその他関係者が行う措置です。
「統制」タブでは、情報を組織のプロセスや他のライブラリ・オブジェクト指向から統制オブジェクト指向へと切り替えることができます。
プロセス・リスクを軽減するための統制を設計します。たとえば、仕入先を入力したのと同じユーザーが請求書の入力と支払も担当することによるリスクがある場合、それを軽減する統制の一例は、タスクを分割するか、支払台帳で未承認の仕入先に対する支払の有無を他のユーザーに確認させることなどです。月次消込、出荷前の与信承認、職務分掌(請求、売上記帳、入金処理の間)などは、売上取引の統制例です。
Oracle Internal Controls Managerでは、2つの方法で統制を作成できます。
次のメニュー・パスを使用して、統制を手動で作成します。
| トピック | ナビゲータ・パス |
|---|---|
| 手動によるOICMリスク・ライブラリでの統制の作成 | 「内部監査人」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックします。 「統制」サブタブ・セクションで「作成」ボタンをクリックします。 |
注意: 「統制詳細」ページの選択フィールドの詳細は、「統制の属性」の各項を参照してください。
後で編集できるように統制を保存すると、その統制は「草案」ステータスで作成されます。統制が確定された時点で、「統制」メイン・ページで「更新」をクリックして承認のために発行します。承認した統制の更新が必要になった場合は、「統制詳細」にドリルインして「改訂」を選択します。
リスク・ライブラリ・オブジェクトをOracle Internal Controls Managerで使用できるのは、承認された後のみです。リスクは、ワークフロー・ルールの設定とOracle Approvals Managementアプリケーションにおける承認階層に基づいて承認または再承認されます。承認が完了すると、統制承認ステータスが「承認済」に変わります。
注意: リスク・ライブラリ・オブジェクトの承認において、Oracle Approvals Managementをオプションで使用できます。詳細は、「リスク・ライブラリの管理」を参照してください。
次のメニュー・パスを使用して、エンティティおよびプロセス・リスクに統制を手動でリンクします。
| トピック | ナビゲータ・パス | Oracle Internal Controls Managerのウィンドウ |
|---|---|---|
| 手動による統制とエンティティおよびプロセス・リスクの関連付け | 統制とエンティティ・リスクのリンク 「内部監査人」(またはそれに相当する)職責を使用して「組織」タブをクリックし、適切な組織にドリルインします。「組織詳細」ビューで「リスク」サブタブにナビゲートし、「エンティティ・リスクの更新」をクリックします。 「エンティティ・リスクの更新」ウィンドウで、特定のリスクについて「統制の更新」アイコンを選択します。 統制とプロセス・リスクのリンク 「スーパーユーザー」(またはそれに相当する)職責を使用して「組織」タブをクリックし、適切な組織にドリルインします。「プロセス」サブタブから「プロセス階層ワークベンチ」にナビゲート(適切なプロセスの「プロセスの変更」アイコンをクリック)します。このワークベンチ・ウィンドウの「プロセス」にドリルインし、「リスク」サブタブをクリックします。 この詳細ビューで「更新」ボタンをクリックし、「リスクおよび統制」サブタブにナビゲートします。このウィンドウで、統制をプロセス・リスクに関連付けることができます。 | インポート詳細 |
「設定」タブでリスクをインポートします。統制を手動で作成して統制に個別に関連付けるかわりに、Oracle Internal Controls Managerにはリスクおよび統制オブジェクト用の強力なインポート・メカニズムが用意されています。このインポート機能を使用すると、リスクと統制のインポートやプロセスおよび組織との関連付けを1ステップで実行できます。
注意: 詳細は、「Oracle Internal Controls Managerへのリスクと統制のインポート」を参照してください。
「リスク・ライブラリ」->「リスク」サブタブにナビゲートすると、入力した全統制を「リスク」メイン・ページで確認できます。
統制には複数の属性があり、特定の統制に関してOracle Internal Controls Managerでの実装方法の詳細を指定できます。
次の項では、選択属性の詳細について説明します。
物的証拠
承認者の物的署名など、統制が手動統制であるときに提供する必要がある物的証拠です。
統制分類
統制に表示される拡張可能属性を決定します。
詳細は、「拡張可能属性」を参照してください。
統制タイプ
参照タイプ: AMW CONTROL TYPE
ユーザー・アクセシビリティ・レベル: 拡張可能
「統制タイプ」では、統制が「自動」であるか、「手動」であるか、または両者の「組合せ」であるか、あるいは「ポリシー」のいずれであるかを指定します。
| シード値 | 説明 |
|---|---|
| 自動 | プロファイル、アプリケーション・アクセス、ワークフロー、KPIは、自動統制の例です。このタイプの統制はE-Business Suite内で規定されます。 |
| 組合せ | アラートは、自動手順と手動手順の組合せを使用する統制の一例です。アラートを使用すると、条件が満たされたときに自動的にフラグを設定でき、その後に手動介入が開始されます。 |
| 手動 | 手動手順。 |
| ポリシー | 通常は、組織全体にわたって実装される、最上位レベルのビジネス・ポリシー形式の統制です。 |
参照タイプ: AMW AUTOMATION TYPE
ユーザー・アクセシビリティ・レベル: システム
「統制タイプ」が「自動」または「組合せ」の場合は、統制の自動タイプを選択します。「自動タイプ」では、プロセス・リスクの軽減に使用する自動統制の種類の詳細を指定します。
「自動タイプ」フィールドで選択した値に基づいて、対応する値を「統制ソース」で選択します。「統制ソース」は、自動統制名(値)です。指定した自動タイプについて、対応する統制ソース値を多数選択できます。たとえば、自動タイプ「プロファイル」を選択した場合、Oracle E-Business Suiteには数百のシード済プロファイル値があります。
「アプリケーション」フィールドでは、「統制ソース」値リストの値を限定できます。アプリケーションを自動タイプにリンクすると、「統制ソース」値は選択したアプリケーションの値に限定されます。
| シード値 | 統制の実装に使用: | 「統制ソース」の値 |
|---|---|---|
| プロファイル | プロファイル・オプションと登録済アプリケーション・パラメータ。 | すべてのシステム・プロファイル・オプション値 |
| 設定 | 現在は機能しません。 | 統制ソースなし |
| アプリケーション・アクセス | 制限付きアプリケーション・アクセス | フォーム機能 |
| システム・アクセス | 制限付きシステム・アクセス | 統制ソースなし |
| 変更統制 | Oracle Internal Controls Managerで定義済の統制 | 統制ソースなし |
| ワークフロー | アプリケーションで登録済のワークフロー・アクティビティ。 | すべての登録済ワークフロー |
| アラート | アラート通知。 | 統制ソースなし |
| レポート | アプリケーション・レポート。 | システム内のすべてのレポート |
| 組込み | Oracle Applications。 | 統制ソースなし |
| KPI | E-Business SuiteモジュールまたはOracle Performance Management FrameworkのKPI。制限を超えた場合に通知するプロセス統制制限を設定できます。 | Performance Management Frameworkから使用可能なすべてのKPI |
| 手動 | 手動手順。 | 統制ソースなし |
単位
これは、後続の「統制頻度」フィールドの基準単位です。一般的な基準単位は、「日」、「週」、「四半期」などです。値リストには、プロファイル・オプション「AMW: 統制頻度の単位区分」に応じた値が表示されます。
統制頻度
統制が実行/実装される頻度を示します。
開示統制とキー統制
統制を開示またはキー統制、あるいはその両方として識別します。
会社は、財務取引が有効で、適切な承認を受けて完了する(したがってGAAPに準拠した財務諸表を作成できる)ことを保証するために、社内のキー勘定項目統制システムを作成し、保守します。監査人は、主として財務上の内部キー統制に焦点を置きます。
これに対して、開示統制および手順では、財務諸表および申告書で開示する必要のある情報が正しく記録、分類、処理され、適切な時期にレポートされることを保証することに焦点が置かれています。
ただし、米国では企業改革法の導入に伴い、内部統制の限定的な概念以上の内容を含むように開示統制が証券取引委員会(SEC)により慎重に定義されました。そのため開示統制には、従来の措置のみでなく、会社の財務レポートにあらゆる業務分野の全情報をタイムリに開示するために必要なシステムがすべて含まれます。SECは、会社がレポート対象情報を確実にタイムリに収集して経営者に伝達するように設計された手順を、明示的に組み込んでいます。開示統制システムでは、会社の内部統制と社内のその他の予防プログラムを統合する必要もあります。
予防統制と検出統制
統制として次の一方または両方を選択します。
予防統制
検出統制
検証メカニズム
検証メカニズムにより、監査人はOracle E-Business Suiteアプリケーションの統制設定の検証情報を記録できます。検証により、現行の設定から適切なレベルの統制が得られることが保証されます。
統制設定の一例は、Oracle Payablesにおける照合タイプの設定です。
会社は、照合機能をオフにして事業や業務を実施できます。請求書には照合用の発注が必要であるというルールを規定するように選択できます。
請求書に照合用の発注と受入の両方が必要であるというルールを規定するように選択できます。
請求書には、照合用の発注と品質保証済の受入が必要であるというルールを規定するように設定できます。
統制設定は次の方法で検証できます。
指定の機能を介して自動
指定のユーザー・インタフェースを介して手動
レポートを検討して手動
内部統制のコンポーネント
これらは、組織の監査環境に影響する事前定義済のコンポーネントです。次に示すシード済コンポーネントはCOSOフレームワークに属しています。統制は、次のいずれかのドメインに属するものとして分類できます。
統制活動
内部環境
イベント識別
情報および伝達
モニタリング
目的の設定
リスク・アセスメント
リスク応答
注意: これらのコンポーネントの詳細は、「Oracle Internal Controls Managerにおけるアセスメントの作成」を参照してください。
統制目的
統制目的のタクソノミです。
初期化中
処理中
記録中
レポート
プロセス・リスクと勘定残高リスクを軽減する統制の評価には、次のようなフレームワークが使用されます。
統制アサーション
統制目的(アプリケーションでは「統制カテゴリ」とも呼びます)
したがって、Oracle Internal Controls Managerでは、統制ごとに目的とアサーションを割り当てることができます。
a. 統制アサーション
参照タイプ: AMW CONTROL ASSERTIONS
アクセシビリティ・レベル: 拡張可能
アサーションとは、経営者が組織のプロセスや財務諸表の構成要素に対して暗黙的または明示的に提示する情報を指します。監査標準では、アサーションは大きく分けて次の5つのカテゴリに分類されます。
存在または発生
完全性
評価または測定
権利および義務
提示および開示
b. 統制目的(統制カテゴリ)
参照タイプ: AMW CONTROL OBJECTIVES
アクセシビリティ・レベル: 拡張可能
統制目的は、監査人が次のタスクを遂行する上で役立つプラットフォームを提供します。
監査標準で要求される十分な法的効力を持った証拠の累積。
監査業務が困難な場合に蓄積する適切な証拠の決定。
また、統制目的を使用して、統制の設計と業務上の有効性を検証することもできます。統制目的のシード値は次のとおりです。
業務の有効性および効率
財務諸表の信頼性
適用可能な法律および規定の遵守
情報およびシステムの保護対策
統制事業所
参照タイプ: AMW CONTROL LOCATION
アクセシビリティ・レベル: 拡張可能
統制事業所は、統制の地理的範囲と実装を指します。統制事業所のシード値は次のとおりです。
グローバル
ローカル
地域
統制承認ステータス
参照タイプ: AMW CONTROL APPROVAL STATUS
アクセシビリティ・レベル: システム
統制の承認ステータス。Oracle Internal Controls Managerで使用可能にするには、統制が「承認済」ステータスである必要があります。統制承認ステータスのシード値は次のとおりです。
承認済
草案
承認保留
否認済
必要に応じて、次のディメンションを使用して統制のサブセットを検索できます。
統制名
統制事業所
統制タイプ
自動タイプ
注意: 詳細は、「統制の属性」を参照してください。
プロセスの場合、会社はビジネスの性質に基づいて組織に適用するリスクと統制のライブラリを構築します。Oracle Internal Controls Managerのインポート機能を使用すると、監査専門担当はリスクと統制をファイルからインポートして、既存のリポジトリの存在を活用できます。
Oracle Internal Controls Managerでは、リスク、統制およびリスク-統制関連のインポートにOracle Web ADIを使用します。Web ADIには、固有のスプレッドシート・インタフェースの使用など、多数のメリットがあります。リスク・ライブラリ・オブジェクトをスプレッドシートにコピーし、Web ADIフレームワークを使用してインポートできます。スプレッドシートには、インポート対象のリスク・オブジェクトに基づく動的レイアウトが備わっています。
Oracle Internal Controls Managerの「リスク・ライブラリ」->「インポート」タブを使用して、リスクおよび統制オブジェクトをリスク・ライブラリと組織の両方にインポートします。リスクと統制は比較的静的なデータを構成するため、ほとんどの組織ではインポート頻度が低いです。
| トピック | ナビゲータ・パス |
|---|---|
| リスクおよび統制のインポート | 「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「インポート」サブタブをクリックします。 |
Oracle Internal Controls Managerには、リスクおよび統制オブジェクトのインポート用に次の3つのパスが用意されています。
(リスク・ライブラリへの)リスクおよび統制のインポート
組織でのリスクおよび統制のインポート
統制のインポート
注意: インポート・パス「リスクおよび統制のインポート」および「組織でのリスクおよび統制のインポート」を使用すると、すべてのリスクとほとんどの統制属性をインポートできますが、「統制のインポート」パスを使用すると、統制オブジェクトのみの詳細および完全インポートを実行できます。
上のダイアグラムに示すように、Oracle Internal Controls Managerでは最初に言語やビューワ(Excel1997/2000)などのユーザー設定を選択する必要があります。次にスプレッドシートが表示され、これらのセルに値を入力またはコピーできます。最後に、メニュー・バーから「Oracle - アップロード」を選択してインポート処理を開始します。
注意: Web ADIはExcel 2002(XP)に対して認定済です。詳細は、「Web ADIとExcel 2002(XP)の併用」を参照してください。
監査専門担当は、「リスクおよび統制のインポート」ハイパーリンクを使用してリスク、統制、およびプロセスとのこれらの関連をリスク・ライブラリにインポートできます。
インポート中に、リスクと統制が存在しない場合は作成され、システムに存在する場合は更新されます。リスクと統制の属性はリスク-統制スプレッドシートの重要部分であり、オブジェクトはこれらの属性で更新されます。
また、インポートによりリスクおよび統制をプロセスに関連付けることもできます。リスクおよび統制のインポートはこのスプレッドシートで別個に実行できますが、リスク-統制関連はアプリケーション内に単独で存在することはできません。つまり、リスク・オブジェクトおよび統制オブジェクトは、プロセスのコンテキストでは互いにのみリンクできます。このため、インポート時にリスクおよび統制をプロセスにリンクする場合、関連するプロセスがリスク・ライブラリ内に存在している必要があります。
インポート・データの検証は、すべての参照ベース列の値リストを介してスプレッドシート自体で実行されます
次の表に、インポート・スプレッドシートのフィールドを示します。
| フィールド名 | 必須 | 検証 |
|---|---|---|
| プロセス・コード | No | システムで有効な全プロセス・コード。 |
| プロセス名 | No | システムで有効な全プロセス。 |
| プロセス目的の名称 | No | システムに格納されている目的の有効なプロセス目的名、または新規プロセス目的名を入力します。 |
| プロセス目的の摘要 | No | なし。 |
| リスク名 | Yes | システムに格納されているリスクの有効な名称、または新規リスク名を入力します。 |
| リスクの改訂 | No | Y/N。 |
| リスク摘要 | Yes | なし。 |
| 遵守(リスク・タイプ) | 4つのリスク・タイプから1つ以上選択する必要があります。 | Y/N。 |
| 効率(リスク・タイプ) | 4つのリスク・タイプから1つ以上選択する必要があります。 | Y/N。 |
| 財務諸表(リスク・タイプ) | 4つのリスク・タイプから1つ以上選択する必要があります。 | Y/N。 |
| 不正行為(リスク・タイプ) | 4つのリスク・タイプから1つ以上選択する必要があります。 | Y/N。 |
| 可能性 | Yes | AMW_LIKELIHOOD。 |
| 影響 | Yes | AMW_IMPACT。 |
| 重大リスク | No | Y/N。 |
| 重大値 | No | なし。 |
| リスク承認ステータス | No | 「承認済」、「草案」。 |
| リスク分類 | No | システムで有効な全リスク分類。 |
| 統制名 | No | システムに格納されている統制の有効な名称、または新規統制名を入力します。 |
| 統制の改訂 | No | Y/N。 |
| 統制摘要 | No | なし。 |
| 監査手順関連付け | No | システムに格納されている監査手順の有効な名称。 |
| 設計有効性 | No | Y/N。 |
| 業務有効性 | No | Y/N。 |
| 統制承認ステータス | No | 「承認済」、「草案」。 |
| 統制事業所 | No | AMW_CONTROL_LOCATION。 |
| 統制タイプ | No | AMW_CONTROL_TYPE。 |
| 自動タイプ | No | AMW_AUTOMATION_TYPE。 |
| アプリケーション | No | 「統制ソース」値リストの値を制限します。 「統制の属性」の「自動タイプ」を参照してください。 |
| 統制ソース | No | 有効な統制ソース。 「統制の属性」の「自動タイプ」を参照してください。 |
| 物的証拠 | No | なし。 |
| ビジネス・グループ | No | PER_BUSINESS_GROUPS表。Oracle Human Resourcesで「ワーク・ストラクチャ」->「組織」を選択するとアクセスできます。 「ビジネス・グループ」を使用して、表示する役職タイトルを識別できます。署名が必要な(手動)統制がある場合、役職タイトルを使用して個々の最小レベルを識別できます。通常、「ビジネス・グループ」は、ユーザーがアプリケーションにログインしたときのユーザー・プロファイルから取得されます。ただし、Web ADIセッションの場合は情報を同じように取得できないため、統制のアップロード時にこの情報を入力する必要があります。 |
| 役職名 | No | PER_JOBS表。 Oracle Human Resourcesで「ワーク・ストラクチャ」->「役職」を選択するとアクセスできます。関連する「役職名」を表示するには、「ビジネス・グループ」列に移入する必要があります。 |
| 予防統制 | No | Y/N。 |
| 検出統制 | No | Y/N。 |
| 開示統制 | No | Y/N。 |
| キー統制 | No | Y/N。 |
| 検証ソース | No | 「フォーム」、「レポート」。 |
| 検証ソース名 | No | なし。 |
| 検証インストラクション | No | なし。 |
| 統制分類 | No | システムで有効な全統制分類。 |
| 統制コンポーネント - 統制活動 | No | Y/N。 |
| 統制コンポーネント - 内部環境 | No | Y/N。 |
| 統制コンポーネント - 情報および伝達 | No | Y/N。 |
| 統制コンポーネント - モニタリング | No | Y/N。 |
| 統制コンポーネント - リスク・アセスメント | No | Y/N。 |
| 統制コンポーネント - 目的の設定 | No | Y/N。 |
| 統制コンポーネント - リスク応答 | No | Y/N。 |
| 統制コンポーネント - イベント識別 | No | Y/N。 |
| 統制カテゴリ - 業務の有効性および効率 | No | Y/N。 |
| 統制カテゴリ - 財務諸表の信頼性 | No | Y/N。 |
| 統制カテゴリ - 適用可能な法律および規定の遵守 | No | Y/N。 |
| 統制カテゴリ - 情報およびシステムの保護対策 | No | Y/N。 |
| ユーザー定義の統制カテゴリ1〜N | No | AMW_CONTROL_OBJECTIVES。 |
| 統制アサーション - 存在または発生 | No | Y/N。 |
| 統制アサーション - 完全性 | No | Y/N。 |
| 統制アサーション - 評価または測定 | No | Y/N。 |
| 統制アサーション - 権利および義務 | No | Y/N。 |
| 統制アサーション - 提示および開示 | No | Y/N。 |
| ユーザー定義の統制アサーション1〜N | No | AMW_CONTROL_ASSERTIONS。 |
監査専門担当は、「組織でのリスクおよび統制のインポート」ハイパーリンクを使用して、リスク、統制、および特定の組織プロセスとこれらの関連をアプリケーションにインポートできます。
このインポートを実行する前に、該当する組織プロセスがアプリケーション内に存在する必要があります。このため、インポートの前提条件は、次のようになります。
アプリケーションに有効な組織を設定します。
プロセスをリスク・ライブラリにインポートし、これらのプロセスを組織に関連付けます。
新しいリスク・オブジェクトおよび統制オブジェクトは、リスク・ライブラリと該当する組織の両方にインポートされます。インポート・データの検証は、すべての参照ベース列の値リストを介してスプレッドシート自体で実行されます。インポート中に、リスクと統制が存在しない場合は作成され、システムに存在する場合は更新されます。リスクと統制の属性はリスク-統制スプレッドシートの重要部分であり、オブジェクトはこれらの属性で更新されます。
このインポート・スプレッドシートのフィールドは、次の2つの例外を除いて、前項(リスク・ライブラリへのリスクおよび統制のインポート)で説明したフィールドとまったく同じです。
スプレッドシートの上部にある必須の「組織名」。データは1回に1つの組織に対してのみインポートできます。
「プロセス名」も必須です。このインポートの目的は、リスク・オブジェクト、統制オブジェクト、および特定の組織プロセスとのこれらの関連を作成することにあります。
リスク・ライブラリと組織の両方へのリスクおよび統制のインポートに関する注意事項は、次のとおりです。
ユーザー定義の統制カテゴリ(統制目的)列と統制アサーション列をスプレッドシートに表示するには、先にOracle Internal Controls Managerの参照表で(AMW_CONTROL_OBJECTIVEおよびAMW_CONTROL_ASSERTIONS参照タイプを使用して)定義しておく必要があります。定義する参照には設定時にタグ番号も関連付ける必要があります。このタスクを完了するには、「内部統制マネージャ・スーパー・ユーザー(フォーム)」またはそれに相当する職責を使用して「参照」ウィンドウにナビゲートします。
Web ADIにより、スプレッドシートからのデータがAMW_RISKS_CONTROLS_INTFインタフェース表にアップロードされます。次に、コンカレント・プログラムにより、インタフェース表から実表にデータがアップロードされます。インポート処理中に発生したエラーには、該当するエラー・メッセージを使用してエラー・フラグが設定されます。
「草案」ステータスのリスクと統制をインポートおよび(プロセスと)リンクできます。ただし、プロセスを承認のために発行すると、関連するすべてのリスクおよび統制オブジェクトが最初に承認されているかどうかが検証され、そうでない場合、プロセスの承認のための発行は否認されます。
リスク・フィールドまたは統制フィールドのどちらかの改訂フラグが値「Y」に設定されている場合は、リスクまたは統制(あるいはその両方)の属性がスプレッドシートに表示される値で更新されることを意味します。その後、Oracle Internal Controls Managerでは、新規の属性値が空白であっても、リスクと統制に添付されます。この2つのフィールドのどちらかの改訂フラグが「N」に設定されている場合は、スプレッドシート内の関連属性値が無視されることを示します。
前述のとおり、インポート・パス「リスクおよび統制のインポート」および「組織でのリスクおよび統制のインポート」を使用すると、すべてのリスクとほとんどの統制属性をインポートできます。「統制のインポート」パスを使用すると、統制オブジェクトの詳細および完全インポートを実行できます。
プロファイル・オプション「AMW: 組織でのリスク統制 - インポート後に削除」を「Yes」に設定すると、Web ADIを介して正常にインポートされた統制がインタフェース表から削除されます。
「統制のインポート」ハイパーリンクを使用すると、統制オブジェクトの詳細をアプリケーションにインポートできます。
次の表に、インポート・スプレッドシートのフィールドを示します。
| フィールド名 | 必須 | 検証 |
|---|---|---|
| 統制名 | Yes | システムに格納されている統制の有効な統制名。既存の統制の場合は、アップロードにより属性が更新されます。アプリケーションに存在しない場合は、統制名を入力できます。 |
| 統制の改訂 | No | Y/N。 |
| 統制摘要 | Yes | なし。 |
| 統制承認ステータス | No | 「承認済」、「草案」。 |
| 統制事業所 | No | AMW_CONTROL_LOCATION。 |
| 統制タイプ | Yes | AMW_CONTROL_TYPE。 |
| 自動タイプ | No | AMW_AUTOMATION_TYPE。 |
| アプリケーション | No | 「統制ソース」値リストの値を制限します。 「統制の属性」の「自動タイプ」を参照してください。 |
| 統制ソース | No | 有効な統制ソース。 「統制の属性」の「自動タイプ」を参照してください。 |
| 物的証拠 | No | なし。 |
| ビジネス・グループ | No | PER_BUSINESS_GROUPS表。Oracle Human Resourcesで「ワーク・ストラクチャ」->「組織」を選択するとアクセスできます。 「ビジネス・グループ」を使用して、表示する役職タイトルを識別できます。署名が必要な(手動)統制がある場合、役職タイトルを使用して個々の最小レベルを識別できます。通常、「ビジネス・グループ」は、ユーザーがアプリケーションにログインしたときのユーザー・プロファイルから取得されます。ただし、Web ADIセッションの場合は情報を同じように取得できないため、統制のアップロード時にこの情報を入力する必要があります。 |
| 役職名 | No | PER_JOBS表。 Oracle Human Resourcesで「ワーク・ストラクチャ」->「役職」を選択するとアクセスできます。関連する「役職名」を表示するには、「ビジネス・グループ」列に移入する必要があります。 |
| 予防統制 | No | Y/N。 |
| 検出統制 | No | Y/N。 |
| 開示統制 | No | Y/N。 |
| キー統制 | No | Y/N。 |
| 検証ソース | No | 「フォーム」、「レポート」。 |
| 検証ソース名 | No | なし。 |
| 検証インストラクション | No | なし。 |
| 単位 | No | プロファイル・オプション「AMW: 統制頻度の単位区分」に応じます。 |
| 統制頻度 | No | N/A |
| 統制分類 | No | システムで有効な全統制分類。 |
| 統制コンポーネント - 統制活動 | No | Y/N。 |
| 統制コンポーネント - 内部環境 | No | Y/N。 |
| 統制コンポーネント - 情報および伝達 | No | Y/N。 |
| 統制コンポーネント - モニタリング | No | Y/N。 |
| 統制コンポーネント - リスク・アセスメント | No | Y/N。 |
| 統制コンポーネント - 目的の設定 | No | Y/N。 |
| 統制コンポーネント - リスク応答 | No | Y/N。 |
| 統制コンポーネント - イベント識別 | No | Y/N。 |
| 統制カテゴリ - 業務の有効性および効率 | No | Y/N。 |
| 統制カテゴリ - 財務諸表の信頼性 | No | Y/N。 |
| 統制カテゴリ - 適用可能な法律および規定の遵守 | No | Y/N。 |
| 統制カテゴリ - 情報およびシステムの保護対策 | No | Y/N。 |
| 統制アサーション - 存在または発生 | No | Y/N。 |
| 統制アサーション - 完全性 | No | Y/N。 |
| 統制アサーション - 評価または測定 | No | Y/N。 |
| 統制アサーション - 権利および義務 | No | Y/N。 |
| 統制アサーション - 提示および開示 | No | Y/N。 |
| 統制目的 - 初期化中 | No | Y/N。 |
| 統制目的 - 処理中 | No | Y/N。 |
| 統制目的 - 記録中 | No | Y/N。 |
| 統制目的 - レポート | No | Y/N。 |
プロファイル・オプション「AMW: 統制 - インポート後に削除」を「Yes」に設定すると、Web ADIを介して正常にインポートされた統制がインタフェース表から削除されます。
Web ADIをExcel 2002(XP)で動作させる手順は、次のとおりです。
Excel 2002を開きます。
「ツール」->「マクロ」->「セキュリティ」->「信頼のおける発行元」を選択します。
「Visual Basic プロジェクトへのアクセスを信頼する」を選択します。
注意: 詳細は、「Web ADIを使用したプロセスのインポート」を参照してください。
Web ADIを使用して、リスク・ライブラリ・オブジェクトおよびその関連をデータベースからエクスポートできます。このダウンロード機能を使用して、Oracle Internal Controls Managerの外部で保守するスプレッドシートとデータベース情報を比較および同期化します。ダウンロード・スプレッドシートの形式は、対応するアップロードで使用される形式を反映しています。
リスクと統制のエクスポート
| トピック | ナビゲータ・パス |
|---|---|
| リスクと統制のダウンロード | 「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「プロセス」サブタブをクリックします。 適切なプロセスにドリルダウンし、「RCMのダウンロード」ボタンにアクセスします。 |
統制のエクスポート
| トピック | ナビゲータ・パス |
|---|---|
| 統制のダウンロード | 「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「統制」サブタブをクリックして「統制のダウンロード」ボタンにアクセスします。 |
