リリース11i
B25733-01
目次
戻る
次へ
| Oracle Internal Controls Managerインプリメンテーション・ガイド リリース11i B25733-01 | 目次 | 戻る | 次へ |
監査人が統制リスクのアセスメントを行うには、内部統制体系を理解する必要があります。このアセスメントは、組織の統制環境における統制アサーションと統制目的が対象となります。
注意: 詳細は、「統制の属性」の「統制アサーションと統制目的」を参照してください。
統制ポリシー、システムおよび測定が効率的に設計されていると思われるかどうかに関係なく、監査人は組織の内部統制に対する評価を反映したレベルでリスク・アセスメントを行います。いずれの場合も、統制リスク・アセスメントの実施後に、統制をテストするための監査手順を設計する必要があります。
監査手順では、監査作業中に実行する詳細手順を提供します。これらの手順は、設計と運用に関して統制の有効性を検証することで、特定の監査目的を達成するように設計されています。そのため、Oracle Internal Controls Managerにおける監査手順は、設計の有効性、運用の有効性またはその両方を検証する手段として識別できます。
統制の有効性をテストする監査手順には、次のような活動が含まれます。
クライアント担当の照会。
文書とレコードの検証。
取引の整合性の考慮。たとえば、請求書連番のチェックという形で実施できます。
ポリシーと手順の適用の観察。
Oracle Internal Controls Managerでは、監査手順をその手順での検証対象となる統制に関連付けることができます。また、監査手順ごとに過去のすべての結果の詳細を検証できます。
監査手順は、監査作業中に実行される手順の詳細を提供します。Oracle Internal Controls Managerで監査手順を設定および使用するには、次の方法をとる必要があります。
監査手順の作成
統制への監査手順の関連付け
監査関与における監査手順のテスト結果の入力
注意: 監査手順を手動で作成してプロセス統制に関連付けるかわりに、Oracle Internal Controls Managerには監査手順オブジェクト用の強力なインポート・メカニズムが用意されています。
このインポート機能を使用すると、監査手順のインポートと統制への関連付けを1ステップで実行できます。詳細は、「Oracle Internal Controls Managerへの監査手順のインポート」を参照してください。
「リスク・ライブラリ」->「監査手順」サブタブにナビゲートすると、「監査手順」メイン・ウィンドウに作成したすべての監査手順を表示できます。
| トピック | ナビゲータ・パス |
|---|---|
| 監査手順の作成 | Oracle Internal Controls Managerの「スーパーユーザー」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブ、「監査手順」サブタブにナビゲートし、「作成」ボタンにアクセスします。 手順は特定の分類に対して作成されます。 |
注意: 分類の詳細は、Oracle Internal Controls Managerにおける「拡張可能属性」を参照してください。
「監査手順の作成」ウィンドウでは、手順の終了日を選択できます。
後で編集できるように手順を保存すると、その手順は「草案」ステータスで作成されます。手順が確定された時点で、「監査手順」メイン・ページで「更新」をクリックして承認のために発行します。承認済手順の更新が必要になった場合は、手順詳細にドリルインして「更新」を選択します。
リスク・ライブラリ・オブジェクトをアプリケーションで使用できるのは、承認された後のみです。監査手順は、ワークフロー・ルールの設定とOracle Approvals Managementアプリケーションにおける承認階層に基づいて承認または再承認されます。承認が完了すると、手順承認ステータスが「承認済」に変わります。
注意: リスク・ライブラリ・オブジェクトの承認における承認プロセスはオプションです。詳細は、「リスク・ライブラリの管理」を参照してください。
監査手順ステップ: Oracle Internal Controls Managerで監査手順をシードする場合は、手順を構成するタスクの詳細を入力してステップも作成できます。「監査ステップ」では、監査タスクの実行に必要な最小グラニュル・レベルで作業を割り当てることができます。
| トピック | ナビゲータ・パス |
|---|---|
| 監査手順ステップの作成 | 既存の監査手順にドリルインして「ステップ」サブタブにアクセスします。 |
ステップの時系列順リストの連番を入力します。必要に応じて、特定のステップで処理するデータのサンプル・サイズを入力できます。
| トピック | ナビゲータ・パス |
|---|---|
| 統制への監査手順の関連付け | 既存の監査手順にドリルインして「統制」サブタブにアクセスします。 |
監査手順は、組織の内部統制の有効性を検証するために作成されます。監査手順の作成後のステップは、システムで設定済の統制に関連付けることです。
「統制」サブタブには、この手順の関連する統制がすべて表示されます。監査手順にリンクする追加の統制を検索できます。Oracle Internal Controls Managerで統制を監査手順に関連付けるときに、その意図が設計の有効性の検証であるか、運用の有効性の検証であるか、あるいはその両方であるかを識別できます。
| トピック | ナビゲータ・パス |
|---|---|
| 監査手順の結果および所見の入力 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブにナビゲートします。「関与」サブタブをクリックし、適切な関与の詳細にドリルインします。 色の薄い「タスク」タブを選択してタスクにドリルインし、そのタスクにリンクしている監査手順にアクセスします。次に、この監査手順の「ステータス」列ハイパーリンクをクリックし、結果を使用して手順を更新します。 |
| 監査手順に基づく統制評価の入力 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブにナビゲートします。「関与」サブタブをクリックし、適切な関与の詳細にドリルインします。 関与詳細のページの色の薄い「統制」タブをクリックしてから(統制の)「表示」ハイパーリンクをクリックして、統制の監査手順を表示します。「統制の評価」アイコンをクリックし、この特定の監査手順に基づいて統制の評価を入力します。 |
注意: 関与における手順の結果および評価の入力の詳細は、Oracle Internal Controls Managerにおける「監査関与」を参照してください。
必要に応じて監査手順詳細にドリルインし、監査手順で検証中の統制を表示できます。
特定の環境で実行されるビジネス・プロセスは固有のリスクを伴うことに注意することが重要です。同じプロセスを異なる環境で実行すると、リスク・レベルが異なる場合があります。そのため、監査結果および所見は、特定の組織内でプロセス・リスクを軽減する統制について入力します。
プロセスや他のリスク・ライブラリ・オブジェクトと同様に、会社はビジネスの性質に基づいて組織に適用する監査手順のライブラリを構築します。Oracle Internal Controls Managerのインポート機能を使用すると、監査専門担当は監査手順ファイルからインポートして、既存のリポジトリの存在を活用できます。
Oracle Internal Controls Managerでは、監査手順と手順- 統制関連のインポートにOracle Web ADIを使用します。Oracle Internal Controls Managerの「リスク・ライブラリ」タブを使用して、監査手順をインポートします。
| トピック | ナビゲータ・パス |
|---|---|
| 監査手順のインポート | 「スーパーユーザー」(またはそれに相当する)職責を使用して、「リスク・ライブラリ」タブをクリックし、「インポート」サブタブをクリックし、「監査手順のインポート」オプションにアクセスします。 |
「監査手順のインポート」ハイパーリンクを使用して手順をインポートし、アプリケーション内の統制に関連付けます。
注意: このインポート中は、統制オブジェクトを作成できません。すべての統制は、スプレッドシートで監査手順にリンクする前に作成しておく必要があります。
注意: インポート中に統制を監査手順に関連付ける操作は、必須ではないことに注意してください。
インポート中に、監査手順が存在しない場合は作成され、システムに存在する場合は更新されます。監査手順の属性はスプレッドシートの重要部分であり、オブジェクトはこれらの属性で更新されます。インポート・データの検証は、すべての参照ベース列の値リストを介してスプレッドシート自体で実行されます。
次の表に、インポート・スプレッドシートのフィールドを示します。
| フィールド名 | 必須 | 検証 |
|---|---|---|
| 監査手順名 | Yes | なし。 |
| 摘要 | No | なし。 |
| 承認ステータス | No | 「草案」、「承認済」。 |
| 終了日 | No | (MM-DD-YYYY) |
| 改訂 | No | (Y/N) |
| 統制名 | No | アプリケーションに格納されている統制の有効な名称。 |
| 設計有効性 | No | (Y/N) |
| 業務有効性 | No | (Y/N) |
| ステップ番号 | Yes | なし。 |
| ステップ名 | Yes | なし。 |
| ステップ摘要 | No | なし。 |
| サンプル・サイズ | No | なし。 |
| 監査手順分類 | No | 監査手順で有効な全分類。 |
Web ADIにより、スプレッドシートからのデータがインタフェース表にアップロードされます。次に、コンカレント・プログラムにより、インタフェース表から実表にデータがアップロードされます。インポート処理中に発生したエラーには、該当するエラー・メッセージを使用してエラー・フラグが設定されます。
リスク・ライブラリでの一般的な監査手順の作成またはインポート方法以外にも、監査関与の過程で監査手順を作成できます。通常、これらの手順を実行するための要件は関与の過程で発生します。
注意: 詳細は、「監査関与の範囲内での監査手順の作成」を参照してください。
