リリース11i
B25733-01
目次
戻る
次へ
| Oracle Internal Controls Managerインプリメンテーション・ガイド リリース11i B25733-01 | 目次 | 戻る | 次へ |
Oracle Internal Controls Managerには、内部統制の編成、文書化およびテスト機能と、継続的な遵守のモニタリング機能が用意されています。このアプリケーションを使用して次のような監査活動を実施できます。
ビジネス・プロセスの定義と組織体系へのマッピング
リスクおよび統制の記録とビジネス・プロセスへの関連付け
統制をテストするための監査手順の作成
統制のテストや、残高詳細のテストのような他のテストの場合、監査中に実行される作業手順の量は、組織の内部統制体系と確立された統制および規約への遵守に関して監査人が行うアセスメントの範囲によって大きく異なります。
そのため、Oracle Internal Controls Managerを使用して、内部統制の体系と遵守に関する組織のアセスメントを取り込むことができます。次の事項がアセスメントの対象となります。
組織の監査環境に影響する事前定義済のコンポーネント。次に示すシード済コンポーネントはCOSOフレームワークに属しています。このリストに独自の値を追加することもできます。
統制環境
リスク・アセスメント
統制活動
情報および伝達
活動のモニタリング
イベント識別
目的の設定
リスク応答
特定の組織のコンテキスト。次のコンテキストを指定できます。
組織自体
組織内での統制
組織内でのビジネス・プロセス
監査アセスメントでは、監査人は組織の情報システムを次のように系統的に検証する必要があります。
セキュリティ不足の有無と内部統制の妥当性の識別
統制の有効性の予測に使用するデータのソース
導入後の内部統制体系の妥当性の確認
アセスメントに続いて監査作業を実施した後、ビジネス・プロセスとシステムの遵守を検討し、監査レポートおよび所見を発行できます。
アセスメントを容易にするために、Oracle Scriptingツールで作成された調査をOracle Internal Controls Managerのアセスメントに関連付けることができます。Oracle Scriptingは、調査を通じて利害関係者にフィードバックを請求し、管理して分析するための強力なWebベース・ツールです。どのような組織でも、Oracle Scriptingで作成された調査は有効な統制環境を提供する上で役立ち、結果を使用してマクロ・レベルのリスク・アセスメントを実施できます。
Oracle Scriptingは、スクリプト・オーサーや調査管理コンソールなど、複数のコンポーネントで構成されています。スクリプト・オーサーは、全社的に配布可能な調査スクリプトの作成に使用します。調査管理コンソールを使用すると、調査データ分析用のレポートを生成するのみでなく、調査キャンペーン情報を設定して保守できます。
データ収集にスクリプトを使用するには、様々な方法があります。たとえば、スクリプトを調査質問票として使用し、従業員や他のターゲット人口に対して特定の情報を請求できます。また、複数のアプリケーションの様々な側面を統合するためのスクリプトも記述できます。
あらゆる調査のために、Scriptingツールには次の機能が用意されています。
応答に基づいて異なる質問を行う機能。たとえば、一連の質問に対する応答者の答えが一部の領域で高リスクを示している場合は、調査で問題の細部にドリルダウンして、より詳細な情報をアセスメント担当のために収集できます。
ターゲット応答者またはライン・オブ・ビジネスに応じて異なる一連の質問を行う機能。
アセスメント担当に特定の結果を警告するために調査内にトリガーを設定する機能。
スクリプトの作成後は、調査キャンペーンの一部として使用できます。アプリケーションを使用して調査参加者を識別し、Eメールで調査を配布し、応答者にはインターネット経由で質問票に記入させることができます。調査キャンペーンのターゲットは、特定のライン・オブ・ビジネスまたは特定のグループを含むように設定できます。その後、調査結果を使用して、共通のテーマやリスク領域に関するデータを提供します。
これらの機能を使用すると、監査関連の調査を通じて組織、プロセス、統制または統制体系の機能に関して貴重な情報を提供できます。Oracle Internal Controls Managerを使用するとアセスメントに調査を関連付けることができるため、調査結果からアセスメントに対する信頼性およびサポートが提供されます。
調査を作成して管理する手順の概要は、次のとおりです。
スクリプト・オーサーを使用した調査質問票の作成
調査管理ユーティリティを介した調査キャンペーンの定義
調査管理コンソールを使用した調査の配布
応答のモニタリングと分析
注意: 調査作成プロセス、調査管理および調査レポートの詳細は、『Oracle Scripting Implementation Guide』および『Oracle Scripting Developer's Guide』を参照してください。
Oracle Scriptingには機密フィードバック・メカニズムも用意されており、業務を有効にモニタリングできます。これは、特定の地域では必須機能です。
たとえば、米国の企業改革法は株式会社の監査委員会に対して、従業員から提出される会計または監査関連の質問票を匿名の機密情報として受け入れる手順を確立するように要求しています。この内部告発者規定では、雇用主は匿名のフィードバックを安全に提出する手段を全従業員に提供することが要求されるようになりました。
Oracle Scriptingを使用すると、従業員の機密が維持されるように調査を作成して配布できます。従業員からのホットライン・コールによる情報を取得するスクリプトを作成し、同一人物からの複数の匿名コールをリンクできます。
調査結果は、付属のDiscovererレポートで即時に使用できます。このレポートをOracle Business Intelligenceで使用し、Discovererワークブックを変更してアドホック・レポートを作成できます。Discovererを使用すると、すべてのレポート・データをExcelスプレッドシートなどの外部システムにエクスポートできます。
注意: Interaction Center Intelligenceを介して使用可能なレポートの詳細は、『Oracle Scripting Implementation Guide』を参照してください。
次のようなシード済レポートが用意されています。
調査質問頻度レポート: このレポートを使用すると、調査の配置ごとに調査の質問に対する対象者の応答方法を要約レベルで表示できます。テキスト形式以外の質問に対する応答の頻度が示されます。たとえば、「監査に満足していますか」という質問に、「Yes」と答えた応答者数および「No」と答えた応答者数などです。
調査質問詳細レポート: 調査の応答者全員について、各質問に対する答えがすべて示されます。
調査配置テキスト応答レポート: マネージャが情報を詳細に検討できるように、テキストによる応答のみが抽出されます。通常、テキストによる応答には、コメントやその他の重要な自由形式情報が含まれています。このレポートは、個々の応答者から調査中に提供されたコメントの全体的な傾向を把握する必要のある管理者やマネージャに役立ちます。
調査キャンペーン要約レポート: このレポートは、各調査キャンペーンの要約情報を提供します。送付済調査件数、応答率、エラー数(Eメール・アドレスの誤りなど)および調査中止件数(無回答)が一覧表示されます。
調査配置詳細レポート: ターゲット応答者リスト名、送付済のリマインダ件数、応答率など、各調査の配置の詳細情報が示されます。
Oracle Internal Controls Managerでは、組織の内部統制体系と、設定された統制および規約の遵守に関するアセスメントを記録できます。前述のように、監査中に実施される手順の作業量は、この事前アセスメントに応じて大きく異なります。
アセスメントのみでなく、アセスメント結果の評価についても、重要な属性を記録できます。Oracle Internal Controls ManagerはオプションでOracle Scriptingと統合でき、Oracle Scriptingで実施された調査をOracle Internal Controls Managerでのアセスメントに関連付けることができます。
Oracle Internal Controls Managerでアセスメントを作成する手順は、次のとおりです。
アセスメントの重要な属性の入力
アセスメントの実施コンテキストの記録
Oracle Scriptingを使用して作成した1つ以上の調査へのアセスメントの関連付け(オプション)
アセスメント手順の作成と設定(オプション)
アセスメントの監査所見および評価の記録
| トピック | ナビゲータ・パス |
|---|---|
| アセスメントの作成 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブ、「アセスメント」サブタブにナビゲートします。 次に、「作成」ボタンをクリックします。 |
最初の手順では、「オーナー名」および「予定完了日」などの属性を設定してアセスメントを作成します。
次の表に、「アセスメント」ページの各選択フィールドの詳細を示します。
| フィールド | 詳細 | シード値 | 参照タイプ | アクセシビリティ・レベル |
|---|---|---|---|---|
| タイプ | ユーザー定義のアセスメント分類。 | 遵守アセスメント 統制環境アセスメント 総合的自己アセスメント リスク・アセスメント セキュリティ・アセスメント | AMW_ ASSESSMENT_ TYPE | ユーザー |
| ステータス | アセスメントのステータス。 ステータス変更は手動で行う手順です。アセスメント定義を完了してアセスメントが開始された後、ステータスを「未開始」から「処理中」に変更できます。 | 保管済 完了 未開始 処理中 | AMW_ASSESSMENT_STATUS | システム |
| アセスメント期間 |
コンポーネント
内部統制体系と遵守に関するアセスメントは、組織の監査環境に影響する特定のコンポーネントに対して実施します。Oracle Internal Controls Managerでは、これらのコンポーネントをアセスメントの作成時に指定できます。
次に示すシード済コンポーネントは、米国ではCOSOフレームワークに属しています。このリストに独自の値を追加することもできます。
統制環境: これは、組織全体が統制に誠実に取り組む態勢です。統制環境のアセスメントを作成する際は、次のようなファクタを考慮します。
倫理規定とそれに関する必須研修の有無
文書化されたポリシーおよび手順
収益計画と予算データの積極性
リスク・アセスメント: 組織の実績に影響する内部および外部ファクタの評価。次の事項に関する正式なプログラム・オフィスの有無を考慮します。
ビジネス・リスク管理
プロセス・リスク管理
内部監査のリスク・アセスメント
統制活動: リスク管理のために識別された処理のタイムリな実行を保証する上で役立つポリシーと手順。通常、これらのポリシーは次の6つのカテゴリに分類されます。
職務分掌
適切な承認手順と権限委任手順
レコードと監査証跡を保守するための十分なプロセスとシステム、および独立したパフォーマンス・チェック
資産と記録の物理的管理
勘定科目調整
情報テクノロジ管理
情報および伝達: 関連情報を確実かつタイムリに識別して伝達するプロセス。このコンポーネントのアセスメント時には、次の事項を考慮します。
統制に関する上席役員からのメッセージ
正式な業務計画
関心の競合など、従業員の行動に関する従業員の役職記述、ポリシー
正式な実施規定に関する研修
活動のモニタリング: 内部統制が適切に設計され、有効に実行され、適応可能かどうかを判断するプロセス。このアセスメントは、組織内の内部監査機能が統制関連の他のポリシーと手順の効率と有効性をモニタリングするように設定されているかどうかに大きく依存します。
リスクを最小限に抑えるには、内部監査スタッフを業務部門と会計部門の両方から独立させることが重要です。また、これらのスタッフは監査委員会の直属にする必要があります。
イベント識別: イベントとは、目的の達成に影響を及ぼす可能性のある事象で、その影響はプラスにもマイナスにも、またはその双方にもなります。リスクとは、このようなイベントが発生する可能性のことです。
目的の設定: 企業は、その戦略と使命をサポートした上で、許容されるリスクの程度に見合うような目的を選択します。目的とは、企業の利害関係者に対する価値創出のための方策に関わる、経営者の戦略的選択を反映するものです。そのため、経営者は、これらの戦略的選択に付随するリスクを認識し、その影響を検討することが重要です。
リスク応答: このコンポーネントには、イベントへの考えられる応答の識別と評価も含まれます。
注意: 「コンポーネント」セクションに表示されるチェック・ボックスは、参照AMW_ASSESSMENT_COMPONENTSから取り込まれます。必要に応じて参照値を変更し、追加のアセスメント・コンポーネントを提供できます。
| トピック | ナビゲータ・パス |
|---|---|
| 調査コンテキストの記録 | 「監査業務」->「アセスメント」タブにナビゲートし、コンテキストを記録する必要があるアセスメントを選択します。 「コンテキスト」サブタブにドリルインして「追加」ボタンをクリックします。 |
アセスメントのコンテキストを記録するには、アセスメントのステータスが「未開始」である必要があります。アセスメントが他のステータスの場合、コンテキストを記録できません。
アセスメントは、次の1つ以上のものを参照して実施されます。
特定の組織
その組織内のプロセス
プロセス-リスク-統制マトリックスを介した、それらの組織プロセスに関連する統制
トレインの各ページの値は、前のページで行った選択によってフィルタリングされます。
| トピック | ナビゲータ・パス |
|---|---|
| 1つ以上の調査へのアセスメントの関連付け | 「監査業務」->「アセスメント」タブにナビゲートし、調査に関連付ける特定のアセスメントを選択します。 「調査」サブタブ、「追加」ボタンをクリックします。 |
調査キャンペーンを開始して、内部統制に関する従業員と利害関係者からのフィードバックを取り込むことができます。「調査のアセスメントへの追加」ページには、次のフィールドが表示されます。
調査: 調査階層の最上位レベルにある調査キャンペーンでは、調査キャンペーン全体に影響するパラメータが管理されます。これらのパラメータには、調査質問票として使用する特定のスクリプト、調査ステータス(「オープン」、「取消済」)および調査リソースなどがあります。1つの調査キャンペーンに1つ以上のサイクル(後述)が含まれます。
調査サイクル: 調査の実施用に様々な時間枠を区別できます。「調査サイクル」属性には、最低応答率およびステータス(「オープン」、「有効」または「取消済」)などがあります。1つの調査キャンペーンに複数のサイクルを定義できるため、一定期間中に調査の比較データ分析を実施できます。各サイクルには1つ以上の配置(後述)が含まれます。
調査配置: 配置は特定のサイクルに属する、調査階層の最下位メンバーです。実際には、配置は調査キャンペーンの特定部分の主要ビジネス・ルール(実行者、実行時期および実行期間)を含む構成メンバーです。応答者が調査キャンペーンに参加できるように、事前に配置を有効にしておく必要があります。
注意: Oracle Internal Controls Managerでアセスメントのリンク先として使用できるのは、調査名、サイクルおよび配置のみです。
調査結果を表示するにはOracle Scriptingアプリケーションを使用します。詳細は、『Oracle Scripting Implementation Guide』を参照してください。
関連付けができるのは、(調査、調査サイクル、または調査配置の)ステータスが、「クローズ」または「取消済」以外の調査です。また、配置の応答終了日は将来の日付である必要があります。
また、アセスメントが「処理中」ステータスで、「有効」ステータスの調査が関連付けられている場合は、「調査のアセスメントへの追加」ページで調査パラメータを更新できません。
注意: 「有効」ステータスの調査とは、参加者に配布済で更新処理中の調査です。
| トピック | ナビゲータ・パス |
|---|---|
| アセスメント手順の作成 | 「監査業務」->「アセスメント」タブにナビゲートし、適切なアセスメントを選択します。 「手順」サブタブをクリックします。「追加」ボタンを使用して以前作成した手順を追加し、「作成」ボタンを使用してこのアセスメントに追加する新規手順を記述します。 |
複数の手順の1つのアセスメントへの関連付け、および同じ手順の複数のアセスメントへのリンク付けが可能です。各手順は一連のステップで構成されますが、これらのステップは順に実行する必要があります。
注意: アセスメント手順と監査手順を混同しないでください。監査手順は、監査作業中に実行される詳細な手順を提供するのに対し、アセスメント手順は統制リスクのアセスメントを行います。
| トピック | ナビゲータ・パス |
|---|---|
| アセスメント全体の所見および評価の記録 | 「監査業務」->「アセスメント」タブにナビゲートし、所見および評価を入力する適切なアセスメントを選択します。 |
「評価」ページには、次の2つのセクションがあります。
全体所見
「所見の更新」ボタンをクリックし、アセスメントとコンポーネントの所見およびコメントを入力します。「アセスメント」の「全体所見」セクションを更新できるのはアセスメント・オーナー(アセスメント作成時に指定)のみであることに注意してください。他のユーザーには「所見の更新」ボタンは表示されません。
アセスメント・オーナーは、通常、アセスメントとそのコンポーネント(後述)の評価を検討してから、この所見を入力します。
評価
「評価」ボタンをクリックし、アセスメントとその実行対象コンポーネントの評価を入力します。コメントも入力できます。
アセスメント全体の有効性とコンポーネント評価には、参照タイプAMW_EVALUATION_CONCLUSIONが使用されます。アクセシビリティ・レベルはユーザーです。
プロセス・オーナーは、ビジネス・プロセスの認証の際、それらの手順に関連付けられているすべてのアセスメントを表示できます。
注意: プロセス認証の詳細は、「プロセス認証と組織認証」を参照してください。
監査(統制のテスト、および残高詳細のテストなどの他のテスト)中に実行される作業手順の量は、組織の内部統制体系と確立された統制および規約の遵守に関して監査人が行うアセスメントの範囲によって大きく異なります。
事前アセスメントで組織の内部統制体系と全体の遵守がきわめて有効であることが判明している場合、監査人はこのアセスメントに依存して最小限の実地監査作業ですませてしまう傾向があります。
そのため、アセスメントの所見と評価は重要データです。アセスメント評価の入力と更新に適切なセキュリティ・レベルを提供するために、Oracle Internal Controls Managerでは次の担当がそれぞれ区別されます。
アセスメント結果を入力するユーザー(入力者)
実際にアセスメントを実施する評価担当(実行者)
この2つのロールには次の制限が適用されます。
指定のアセスメントについて作成できる評価は、評価担当ごとに1件のみです。
「アセスメント評価」へのアクセス権を持つユーザーは、複数の評価を作成できます。前述の第1項のように、評価ごとに異なる評価担当が必要です。
「アセスメント」の「全体所見」セクションに入力および更新できるのは、アセスメントのオーナー(アセスメント作成時に指定)のみです。
既存の評価を更新できるのは、それを作成(入力)したユーザーと評価担当のみです。更新するには、評価のステータスが「処理中」である必要があります。
評価を作成できるのは(「評価」ボタンが使用可能)、アセスメントのステータスが「完了」または「処理中」の場合のみです。アセスメントのステータスが「未開始」または「保管済」の場合は、評価を入力できません。
注意: 組織の内部統制体系および設定済統制の遵守のアセスメントが完了した後で、監査手順を開始して、統制および残高詳細をテストし、その他の実地テストを実行できます。
