リリース11i
B25733-01
目次
戻る
次へ
| Oracle Internal Controls Managerインプリメンテーション・ガイド リリース11i B25733-01 | 目次 | 戻る | 次へ |
内部監査人と外部監査人の両方がリスク・ベースの監査を実施し、ビジネス・プロセスに対する軽減統制の有効性をテストします。監査結果は、内部統制が意図したとおりに機能していることを監査人が立証するための基礎となります。これらのリスク・ベースの監査は、通常はプロジェクトとして管理されます。
監査関与はビジネス・エンティティに対する監査割当ての集合を表し、監査情報の中央リポジトリとなります。Oracle Projectsと統合された関与には、監査の時間枠、スタッフ情報など、リソースと予算の管理に役立つ情報や、監査結果に関する情報も含めることができます。
この章では、監査関与の設定と実行の詳細について説明します。
監査関与を作成して実装するには、次のタスクを実行します。
監査関与の設定: 次の2種類の方法があります。
監査関与は、Oracle Internal Controls Manager内で設定します。
Oracle Projectsと統合して、監査関与を設定します。
監査関与の範囲の設定: 関与の範囲は、会社、ライン・オブ・ビジネス、組織およびプロセスに基づいて設定されます。
監査関与の実行: 関与は、Oracle Internal Controls Managerを介して管理されます。
次のダイアグラムに、監査関与を設定するための必須ステップの概要を示します。
最初のタスクは関与タイプを作成することです。
| トピック | ナビゲータ・パス |
|---|---|
| Oracle Internal Controls Managerにおける関与タイプの作成 | 「内部監査人」(またはそれに相当する)職責を使用して「設定」タブにナビゲートし、次に「関与」サブタブに移動し、「タイプ」ハイパーリンクをクリックします。 |
監査関与は、関与テンプレートから作成(または、テンプレートから作成された他の関与からコピー)されます。次に、そのテンプレートを関与タイプにリンクします。
次の表に、「タイプの作成」ウィンドウの各選択フィールドの詳細を示します。
| フィールド | シード値 | 説明 |
|---|---|---|
| プロジェクト・タイプ | Oracle Projectsからのすべてのプロジェクト・タイプ | OICM内で関与を設定するため、このフィールドは空白にしておく必要があります。 注意: このフィールドに入力すると、その値はOracle Projectsへのブリッジとして機能します。Oracle Projectsとの統合による監査関与の設定の詳細は、次の項を参照してください。 |
| 番号生成 | ユーザー入力 生成済順序 | 「ユーザー入力」の場合、監査関与の作成時にユーザーは手動で数字を入力します。ユーザーが入力した数字に接頭辞を追加することもできます。たとえば、すべてのIT監査プロジェクトは、接頭辞ITAで始まります。 |
関与タイプの作成時に無制限に拡張可能属性を定義できます。この属性は、その特定の関与タイプを使用して作成されたすべての関与で表示され、使用可能です。
注意: 拡張可能属性の設定と使用の詳細は、Oracle Internal Controls Managerにおける「拡張可能属性」を参照してください。
この監査関与タイプを使用して関与テンプレートを作成します。
| トピック | ナビゲータ・パス |
|---|---|
| Oracle Internal Controls Managerにおける関与テンプレートの作成 | 「内部監査人」(またはそれに相当する)職責を使用して「設定」タブ、「関与」サブタブにナビゲートし、「テンプレート」ハイパーリンクをクリックします。 |
関与テンプレートには、プロジェクトに必要な標準的な成果物が含まれます。たとえば、通常、テンプレートには、プロジェクトの作業分岐体系の一部としてプロセスを監査するための標準監査タスクが含まれています。このテンプレートを使用して関与を作成すると、このようなタスクがすべて自動的に含まれます。
テンプレート・タスクの作成
特定の監査関与を計画済活動として、またはトリガー・イベント(大量の売掛金の消込み)の結果として実行する必要がある場合は、監査対象となるプロセスまたはビジネス・フローに適したテンプレートからプロジェクトを作成できます。たとえば、監査対象となるプロセスが「受注-入金」の場合は、「受注-入金」監査関与テンプレートを使用して監査関与を作成できます。
プロセスの監査には、実行される監査方法に応じて複数の監査関与テンプレートが必要です。また、同じプロセスでも、産業や期間によって使用する関与テンプレートは異なります。
ビジネス・プロセスのリスクおよび統制の評価に使用される監査タスクのほとんどは、関与テンプレートから開始されますが、監査関与内で作成することもできます。
Oracle Internal Controls Managerでは、リスク統制ライブラリの設定の一部として監査手順を作成または改訂します。
注意: 監査手順および監査手順のステップの作成の詳細は、「Oracle Internal Controls Managerでの監査手順の設定」を参照してください。
リスク統制ライブラリ内の監査手順を、監査関与テンプレート内のタスクにリンクします。関連付けた監査手順は、関与テンプレートから作成された全プロジェクトに関連タスクとともに表示されます。
監査手順を関与テンプレートのタスクにリンクするには、2つの方法があります。
方法1
次の手順では、テンプレート・タスクと監査手順の間にリンクを作成して保持します。実行すると、このテンプレートから作成される全プロジェクトのタスクが、これらの監査手順にリンクされます。
このリンクを作成するには、リスク・ライブラリ内の監査手順詳細にドリルダウンします。
| トピック | ナビゲータ・パス |
|---|---|
| 関与テンプレート・タスクへの監査手順の関連付け | 「内部監査人」(またはそれに相当する)職責を使用して「リスク・ライブラリ」タブをクリックし、「監査手順」タブをクリックします。 関連する監査手順については、「更新」アイコンをクリックし、「監査手順」詳細ウィンドウにナビゲートします。最後に、「監査プロジェクト・タスク」サブタブに移動します。 |
テンプレートを選択すると、そのテンプレートをプロジェクト・タスクの監査手順に関連付けることが可能になります。監査手順にリンクするタスクを選択します。
この関連付けの結果、この関与テンプレートから作成されるすべての監査関与のプロジェクト・タスクが、内部統制マネージャ・モジュールの関連監査手順に自動的にリンクされます。
方法2
この方法を使用すると、特定の関与について、テンプレート・タスクと監査手順の間にリンクを作成できます。関連付けはテンプレート・レベルで設定されないため、他の関与には無効です。
| トピック | ナビゲータ・パス |
|---|---|
| 関与テンプレート・タスクへの監査手順の関連付け | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブ、「関与」サブタブにナビゲートします。該当する関与の詳細にドリルインして、「タスク」サブタブに移動します。 必要な「タスク割当なしでの監査手順」にドリルインし、タスクを追加して更新します。 |
このようにして、特定の関与の該当するテンプレート・タスクに監査手順をリンクします。
監査手順と関与テンプレート・タスクの関連付けに関する注意事項は、次のとおりです。
1つの監査手順と複数のタスク、または複数の監査手順と1つのタスクを関連付けることができます。
監査手順は、作業分岐体系の任意のレベルで任意のテンプレート内のタスクに添付できます。ほとんどの場合、この関連付けはタスク階層の最下位レベル、つまり作業分岐体系のリーフ・ノードで設定されます。
適切な監査関与テンプレートから関与を作成します。
| トピック | ナビゲータ・パス |
|---|---|
| 関与の作成 | 「内部監査人」(またはそれに相当する)職責を使用して、「監査業務」タブ、「関与」サブタブにナビゲートします。 |
テンプレートからプロジェクトを作成するかわりに、既存の関与からコピーできます。
監査関与のセキュリティ・ロールを設定します。
このアプリケーションでは、「ロール」を作成することによって監査関与に関するデータ・セキュリティが使用可能になります。ロールを使用して、ユーザーはロールのデータ・アクセス権に基づいて、様々なデータ・ビューの表示およびオブジェクトのインスタンス(関与など)に関する権限を持つことができます。
注意: 詳細は、「Oracle Internal Controls Managerにおけるロールと権限」および「Oracle Internal Controls Managerの機能セキュリティ」を参照してください。アプリケーションでロールを使用するには、プロファイル・オプション「AMW: データ・セキュリティの実施」を「Yes」に設定する必要があります。
次のメニュー・パスを使用して監査関与セキュリティのロールを設定します。
| トピック | ナビゲータ・パス |
|---|---|
| 関与セキュリティ: 関与ロールの設定 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブ、「関与」サブタブにナビゲートします。該当する関与の詳細にドリルインして「担当」サブタブに移動します。 |
このアプリケーションには、監査関与の実行について次のシードされたロールがあります。
| ロール | 権限 |
|---|---|
| 関与承認者 | 関与承認者は、発行された監査関与を「サインオフ」できます。 関与が正常に完了したと思われる場合、関与承認者は、そのサインオフを承認できます。監査関与ステータスが「サインオフ」に変わり、サインオフ・ステータスが「承認済」になります。 受け入れられない場合は、サインオフが拒否されます。監査関与ステータスは「有効」のままで、サインオフ・ステータスは「否認済」に変わります。 詳細は、「サインオフ・プロセスの設定」を参照してください。 |
| 関与監査人 | 関与監査人は、監査関与の主たる実行者です。したがってこのロールを保有する個人は、監査手順を追加して、(監査手順を構成する個々のステップのステータスのみでなく)各監査手順のステータスも更新できます。 |
| 関与マネージャ | 関与マネージャは、監査関与の範囲とセキュリティ権限をアプリケーションに設定します。監査関与を作成する個人は、自動的にこのロールを取得します。 関与マネージャも関与を実行できます。 |
| 関与レビュー担当者 | 関与レビュー担当者には、監査関与へのみアクセスするビューが表示されます。 |
すべてのユーザーが監査関与を作成できますが、関与マネージャにより「個人」または「全ユーザー」にロールが割り当てられます。1人の個人に複数のロールを割り当てることができます。監査関与では継承されたロールは無効です。
監査関与の目的を定義します。
監査目的は、監査人が監査を計画し、蓄積する適切な証拠を決定するために役立つフレームワークを提供します。目的とは、監査関与を実行することで達成しようとしている事項に関する強力なメッセージです。監査関与の「サインオフ」(後述)が開始されると、示された監査目的が達成されたかどうかをチェックできます。
| トピック | ナビゲータ・パス |
|---|---|
| 監査目的 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブ、「関与」サブタブにナビゲートします。該当する関与の詳細にドリルインして、「目的」サブタブに移動します。 「作成」ボタンをクリックして新しい目的を定義し、「追加」ボタンをクリックして以前に定義済の目的にリンクします。 |
監査目的タイプ
監査目的のタイプを宣言できます。シード値は次のとおりです。
- 締切日
- 承認
- 完全性
- 精度
- 適時
これらの値は参照タイプAMW_AUDIT_OBJECTIVEに基づいており、必要に応じてリストを追加または更新できます。
統制コンポーネント
これらは、組織の監査環境に影響する事前定義済のコンポーネントです。シード済コンポーネントはCOSOフレームワークに属しており、監査関与の目的は、それらのいずれかに関連付けるものとして分類できます。
パフォーマンス測定
監査目的は、プロセス定義と併用すると、監査人に担当監査のパフォーマンス評価に関して有効なベンチマークを提供することもできます。そのため、アプリケーションではキー・パフォーマンス・インディケータを目的に関連付けることができます。
オプションで任意の監査関与に対してサインオフの実装を選択できます。実装されると、承認用に関与を発行することでサインオフ・プロセスが開始されます。1人以上の指定された承認者は、関与の完了を承認してそのステータスを「サインオフ」または「完了」に変更する必要があります。サインオフの承認により、機密性の高い関与に関して高いレベルのセキュリティが可能になります。
注意: デフォルトでは監査関与にはサインオフは不要です。
サインオフは、無制限の拡張可能属性を備えたテンプレートの形式をとります。この拡張可能属性は、サインオフ・タイプに基づいて定義できます。この属性は、関与が承認のために発行されたときに(特定のサインオフ・タイプを使用して作成されたすべての関与について)、承認者に表示されます。該当する承認者へのサインオフの経路もまた、サインオフ・タイプにより決定されます。
次のステップを実行して、関与のサインオフ機能を設定します。
ステップ1: 監査関与のサインオフ・タイプの定義
| トピック | ナビゲータ・パス |
|---|---|
| 関与のサインオフ・タイプの設定 | 「内部監査人」(またはそれに相当する)職責を使用して「設定」タブ、「関与」サブタブにナビゲートし、「関与」の「サインオフ・タイプ」にアクセスします。 このサインオフ・タイプ用にすべての必要な拡張可能属性と承認テンプレートを設定します。 承認テンプレートのすべてのユーザーが、「関与承認者」ロールを与えられていなくても関与についてサインオフできます。 |
注意: サインオフ・タイプに関連付けされた拡張可能属性の設定と使用の詳細は、Oracle Internal Controls Managerにおける「拡張可能属性」を参照してください。
ステップ2: サインオフ承認要件の開始
| トピック | ナビゲータ・パス |
|---|---|
| 関与サインオフの要件 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブ、「関与」サブタブにナビゲートします。該当する関与の詳細にドリルインします。 「更新」ボタンをクリックしてサインオフ承認が必要かどうかを設定します。 |
注意: サインオフ用の承認オブジェクト発行プロセスの詳細は、「監査関与の実行」を参照してください。
サインオフをアクティブにするためには、ビジネス・イベント処理を有効化する必要があります。
Oracle Internal Controls ManagerはOracle Projectsと完全に統合されているため、他のプロジェクトと同じ方法でリスク・ベースの監査関与を作成して管理できます。プロジェクトの管理はOracle Projectsで行われますが、プロジェクト範囲および実地評価の管理はOracle Internal Controls Managerアプリケーションを介して行われます。
監査関与をOracle Projectsでプロジェクトとして作成すると、Oracle Projectsスイート・アプリケーションの多数の機能を利用できます。Oracle ProjectアプリケーションはOracle E-Business Suiteのコンポーネントであり、ビジネス・プロジェクトの合理化を可能にすることで前述のメリットを提供します。そのため、より有効かつ効率的な方法で監査関与を実行できます。
プロジェクトが統合された関与には、Oracle Internal Controls Managerとともに次のプロジェクト・モジュールが使用されます。
Oracle Project Management: Oracle Project Managementは、計画、実行、完了というプロジェクトのライフ・サイクルを通じて、監査マネージャに監査関与の管理機能を提供します。このモジュールはOracle Projectsファミリ内で完全に統合されたモジュールであるため、監査マネージャはすべてのニーズに対応する1つの企業プロジェクト情報ソースとみなすことができます。
このアプリケーションには、監査作業計画、リソース割当て、財務予測、文書管理、プロジェクト会計、利害関係者への情報伝達、組織内外におけるプロジェクト作業の協同実施などの機能が用意されています。
Oracle Project Resource Management: 監査関与の作成後に、ソースを設定する必要があります。マネージャは、作業を割り当てる前に、監査部門の作業量と能力を検討する必要があります。監査マネージャはOracle Project Resource Managementを使用して、適格なリソースを検索して配置し、社内のプロジェクトにスタッフを割り当てることができます。
このアプリケーションでは、使用可能なリソースや超過既決リソースなど、リソースとその可用性のスナップショットをポータル経由で入手できます。ワークフロー・テクノロジにより、候補の指名や割当ての承認など、処理を必要とするイベントが監査マネージャに通知されます。
Oracle Project Costing: Oracle Project Costingは、すべての監査関与に対して完全で統合されたコスト管理ソリューションを提供します。複数の通貨や組織にまたがる場合にも、これらのプロジェクトを効率的に管理できます。Oracle Project Costingでは、内部監査マネージャは詳細なコスト情報にタイムリにアクセスして、財務マネージャがプロジェクトの実行コスト合計を追跡する間に監査手順をモニタリングできます。
Project Costingモジュールでは、監査関与を基本タスク(作業分岐体系)に分割できます。これにより、タスク完了に必要なリソースの見積に基づいて予算を作成できます。従業員は監査関与のタスクに従事するため、発生したプロジェクト・コストを反映する支出を作成します。コストが発生するたびに、それを予算と比較して監査関与の進行状況を追跡できます。
Oracle Project Costingはプロジェクト取引の中央リポジトリとして機能し、プロジェクト・コストを処理し、会計基準に基づいて社内会計部門のために対応する仕訳を作成します。
Oracle Project Intelligence: Oracle Project Intelligenceは、プロジェクトとして設定されたすべての監査に対する包括的な分析/レポート・ソリューションとして機能します。このモジュールは、重要なプロジェクト・ベースの業務および財務メトリックを監査マネージャやその他の利害関係者に直接提供します。
監査マネージャは、ロール・ベースのポータルを介して、各種のパフォーマンス測定に関連する担当プロジェクトの状態についての情報にアクセスします。このリアルタイム・ビューにより、監査関与の利害関係者は常に情報を受け取り、状況を把握して処理を実行できます。
Oracle Project Intelligenceのプロジェクトを使用すると、マイルストンを基準にして監査関与の進行状況をモニタリングできます。プロジェクトの大規模なポートフォリオについては、フェーズ別または特定のマイルストンを基準にして完了率をモニタリングできます。
次のダイアグラムに、監査関与を設定するための必須ステップの概要を示します。
注意: 前述のうち、複数のステップをOracle Projectsで実行します。詳細は、該当するOracle Projectsのマニュアルを参照してください。
最初のタスクは、Oracle Projectsで「監査」プロジェクト・タイプ(関与タイプ)を作成することです。このプロジェクト・タイプを、次のようにOracle Internal Controls Managerアプリケーション内でシードする必要があります。
| トピック | ナビゲータ・パス |
|---|---|
| Oracle Internal Controls Managerにおける関与タイプの作成 | 「内部監査人」(またはそれに相当する)職責を使用して「設定」タブにナビゲートし、次に「関与」サブタブに移動し、「タイプ」ハイパーリンクをクリックします。 |
次の表に、「タイプの作成」ウィンドウの各選択フィールドの詳細を示します。
| フィールド | シード値 | 説明 |
|---|---|---|
| プロジェクト・タイプ | Oracle Projectsからのすべてのプロジェクト・タイプ | プロジェクト・タイプに対してこの値のいずれかを選択すると、その値がOracle Projectsへの「ブリッジ」として機能します。すなわち、Oracle Projectsで作成されたOracle Projectsの関与の1つになります。 |
詳細は、「Oracle Internal Controls Manager内での監査関与の設定」の対応するステップを参照してください。
Oracle Projectsで、この監査関与タイプを使用してプロジェクト(関与)・テンプレートを作成します。Oracle Projectsでは、すべてのプロジェクトがテンプレートから作成(または、テンプレートを使用して作成された他のプロジェクトからコピー)されます。ただし、Oracle Internal Controls Managerに関与として表示されるのは、監査プロジェクト・タイプのテンプレートから作成されたプロジェクトのみです。
ビジネス・プロセスのリスクおよび統制の評価に使用される監査タスクのほとんどは、プロジェクト・テンプレートから開始されますが、監査関与内で作成することもできます。
Oracle Internal Controls Managerでは、リスク統制ライブラリの設定の一部として監査手順を作成または改訂します。
注意: 監査手順および監査手順のステップの作成の詳細は、「Oracle Internal Controls Managerでの監査手順の設定」を参照してください。
リスク統制ライブラリ内の監査手順を、監査関与テンプレート内のタスクにリンクします(Oracle Projectsで作成された場合でも、テンプレートもOracle Internal Controls Managerに表示されます)。関連付けた監査手順は、監査関与テンプレートから作成された全プロジェクトに関連タスクとともに表示されます。
詳細は、「Oracle Internal Controls Manager内での監査関与の設定」の対応するステップを参照してください。
Oracle ProjectsまたはOracle Internal Controls Managerで、適切な監査関与テンプレートから監査関与を作成します。テンプレートからプロジェクトを作成するかわりに、既存の監査関与(監査関与タイプを持つプロジェクト)からコピーできます。
OICM内での関与の作成の詳細は、「Oracle Internal Controls Manager内での監査関与の設定」の対応するステップを参照してください。
監査関与のセキュリティ・ロールを設定します。
詳細は、「Oracle Internal Controls Manager内での監査関与の設定」の対応するステップを参照してください。
監査関与の目的を定義します(オプション)。
詳細は、「Oracle Internal Controls Manager内での監査関与の設定」の対応するステップを参照してください。
サインオフ・プロセスを設定します(オプション)。
詳細は、「Oracle Internal Controls Manager内での監査関与の設定」の対応するステップを参照してください。
最後に、Oracle Projectsでプロジェクト設定を完了します。これには、プロジェクトの次のパラメータの設定などが含まれます。
リソースと主要メンバー
コスト計算情報と配分ルール
組織
プロジェクト・ステータス
プロジェクト・ステータスがOracle Internal Controls Manager関連でない場合、Oracle Projectsモジュールの重要な機能はプロジェクトのステータスに依存します。
注意: 詳細は、該当するOracle Projectsのマニュアルを参照してください。
監査関与の作成後に、その範囲を定義します。Oracle Internal Controls Managerでは、範囲によりプロジェクトに含まれるエンティティとプロセスが決定され、したがって監査手順の実行コンテキストが定義されます。監査関与範囲は、監査の実行範囲を提供します。範囲が解決された後、監査人は監査関与を構成する監査手順を確定できます。
Oracle Internal Controls Managerで監査関与の範囲を定義するには、次の2つの方法があります。
会社、ライン・オブ・ビジネス、組織およびプロセスを使用する方法
組織およびプロセスのみを使用する方法
| トピック | ナビゲータ・パス |
|---|---|
| 監査関与範囲 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブ、「関与」サブタブにナビゲートします。該当する関与の詳細にドリルインして、「範囲」サブタブに移動します。 「範囲への追加」ボタンをクリックして範囲ウィザードをアクティブ化します。 |
ウィザードを使用して監査関与範囲を定義する手順は、次のとおりです。
プロジェクト範囲に追加する会社を選択します。
手順1で選択した会社内のライン・オブ・ビジネス(LOB)を選択します。
選択した会社内のライン・オブ・ビジネスをすべてアクティブ化できます。ライン・オブ・ビジネスの選択時には、親のライン・オブ・ビジネスのみを含めるか、または親と子のライン・オブ・ビジネスを含めるように選択できます。Oracle Internal Controls Managerには、選択した会社にLOB割当のない監査可能単位を含めるチェック・ボックスが用意されています。
注意: 会社およびライン・オブ・ビジネスは、「HR組織」ウィンドウで監査可能単位にリンクします。詳細は、「Oracle Internal Controls Managerにおける組織」を参照してください。
プロジェクト範囲にその他の組織(監査可能単位)を追加します。「範囲: 組織を含む」ウィンドウに、組織の先頭リストと末尾リストが表示されます。デフォルトでは、先頭リストは空で、末尾リストには選択した会社およびライン・オブ・ビジネスに属している組織が表示されます。先頭リストには組織名のフィルタが組み込まれており、範囲に追加する他の組織を検索できます。
注意: セキュリティが有効になっている場合は、監査組織権限が付与されている組織のみを範囲に追加できます。
詳細は、「Oracle Internal Controls Managerにおけるロールと権限」を参照してください。
また、選択した会社とライン・オブ・ビジネスに基づいて含まれている組織を、監査関与範囲から削除することもできます。
関連プロセスを含めます。
Oracle Internal Controls Managerでは、会社、ライン・オブ・ビジネスおよび組織の組合せを使用して、プロセスを選択できる監査可能単位のサブセットが表示されます。選択した子会社、ライン・オブ・ビジネスおよび組織の組合せ内の監査可能単位に属している、第1レベルの親プロセスがすべて表示されます。
注意: 後から親プロセスの特定の子プロセスを除外するように選択できます。そのためには、「範囲詳細」ウィンドウで特定の監査可能単位に関連付けられている「含まれたプロセスの管理」アイコンをクリックします。
含める親プロセスを選択した後、ウィザードで「発行」ボタンをクリックして監査関与範囲を作成します。
| トピック | ナビゲータ・パス |
|---|---|
| 監査関与範囲 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブ、「関与」サブタブにナビゲートします。該当する関与の詳細にドリルインして、「範囲」サブタブに移動します。 「組織の追加」ボタンをクリックして範囲ウィザードをアクティブ化します。 |
「会社」および「ライン・オブ・ビジネス」フィールドに入力して組織の範囲を限定できますが、通常、この範囲設定の方法は該当する組織(監査可能単位)をプロジェクト範囲に直接入力する場合に使用します。「範囲の追加: 組織を含む」ウィンドウに、組織の先頭リストと末尾リストが表示されます。先頭リストには組織名のフィルタが組み込まれており、範囲に追加する他の組織を検索できます。
注意: セキュリティが有効になっている場合は、監査組織権限が付与されている組織のみを範囲に追加できます。
詳細は、「Oracle Internal Controls Managerにおけるロールと権限」を参照してください。
関連プロセスを含めます。
選択した組織(監査可能単位)に属している、第1レベルの親プロセスがすべて表示されます。
注意: 後から親プロセスの特定の子プロセスを除外するように選択できます。そのためには、「範囲詳細」ウィンドウで特定の監査可能単位に関連付けられている「含まれたプロセスの管理」アイコンをクリックします。
含める親プロセスを選択した後、ウィザードで「発行」ボタンをクリックして監査関与範囲を作成します。
「範囲詳細」ウィンドウに、監査関与範囲内のエンティティ(会社、ライン・オブ・ビジネス、組織)およびプロセスが表示されます。選択した会社内の監査可能単位(およびプロセス)のうち、ライン・オブ・ビジネスに関連付けられていないものが「LOB割当なしでの監査可能単位」ノードの下に表示されます。
階層フィルタを介して関与範囲を表示できます。次の3つの階層表示が可能です。
カスタム階層。Oracle HRモジュールで定義され、「AMW: 組織セキュリティ階層」プロファイル・オプションに入力された組織の階層です。
法的階層。子会社値セットの子会社(会社)の階層です。値セット名は、「AMW: 監査単位の子会社値セット」プロファイル・オプションに入力する必要があります。
管理階層。LOB値セットのLOBの階層です。値セット名は、「AMW: 監査単位のLOB値セット」プロファイル・オプションに入力する必要があります。
| トピック | ナビゲータ・パス |
|---|---|
| 監査タスク詳細 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与の詳細にドリルインして、監査タスク・ハイパーリンクをクリックします。 |
タスクは関与テンプレート内で作成され、通常は再利用可能です。これらのタスクは、関連手順へのリンク付きで「監査タスク詳細」ウィンドウに表示されます。
ただし、拡張範囲に含まれたエンティティ内のプロセスには関連付けられているが、プロジェクト・タスクに関連付けられていない監査手順が存在する場合があります。この種の手順は、ダミー・ノード「タスク割当なしでの監査手順」の下位に表示されます。
このウィンドウで次の操作を実行して、タスク・リストを変更できます。
タスクに監査手順を追加します。この関与に一意の新しい監査手順を作成することもできます(「監査手順の作成および追加」機能を使用)。
注意: 詳細は、「監査関与での監査手順の作成」を参照してください。
他のタスクへの既存の監査手順のコピー。
タスク間での監査手順の移動。
タスクへの監査手順の関連付けの解除。解除後の手順は、監査関与範囲から除外されます。
関与テンプレートからタスクを削除すると、その関連監査手順が「タスク割当なしでの監査手順」ノードに移動します。これらの手順を代替タスクに関連付けるには、「移動」アイコンを使用します。
注意: 監査手順のステータスを更新するには、監査手順に関連付けした「ステータス」ハイパーリンクをクリックします。
リスク・ライブラリでの一般的な監査手順の作成またはインポート方法以外にも、監査関与の過程で監査手順を作成できます。通常、これらの手順を実行するための要件は関与の過程で発生します。
注意: 監査手順の詳細は、「Oracle Internal Controls Managerにおける監査手順」を参照してください。
このため、アプリケーションによって、関与に手順を臨時に作成できます。このような手順はすべて、手順が作成される関与に固有のものです。これらの手順はアプリケーションのリスク・ライブラリには表示されません。また、他の監査関与の処理中にも表示されません。
| トピック | ナビゲータ・パス |
|---|---|
| 監査タスク詳細 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与の詳細にドリルダウンして監査タスク・ハイパーリンクをクリックします。 最後に「監査手順の作成および追加」アイコンをクリックします。 |
これらの手順の定義を完了する際に、監査手順の標準機能をすべて使用できます。たとえば、その手順で使用できる拡張可能属性を無制限に定義できます。
注意: 監査手順の分類と拡張可能属性の設定および使用の詳細は、Oracle Internal Controls Managerにおける「拡張可能属性」を参照してください。
「タスク」ウィンドウの「監査手順」アイコンをクリックして、範囲に追加する監査関与手順を検索します。
監査人は、完了した監査タスク、手順およびステップに基づいて実地作業の結果を文書化します。監査関与範囲に含まれる統制、リスク、プロセスおよび組織の監査評価を文書化できます。
通常、これらの評価は監査関与の結果を記録するために入力可能な所見に対して行われます。アプリケーションでは、評価対象オブジェクト(監査手順統制、組織統制、プロセス・リスク、プロセス、組織)ごとの監査所見値が事前シードされています。
注意: 監査所見のユーザー定義値を設定するように選択することもできます。詳細は、「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。
監査の実行中に、設定された標準に対する非遵守事項が「調査結果」として記録されます。これらの検索に有効に対処して改善するまで、プロセス認証は発行できません。
注意: 検索の作成の詳細は、「Oracle Internal Controls Managerにおける調査結果」を参照してください。
監査手順の実行
| トピック | ナビゲータ・パス |
|---|---|
| 監査手順の詳細 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与の詳細にドリルダウンして監査タスク・ハイパーリンクをクリックします。次に、タスクとそのタスクにリンクされた監査手順にドリルダウンし、表示されたステップに従って監査手順を実行します。 |
個々の統制の評価
| トピック | ナビゲータ・パス |
|---|---|
| 監査結果の記録 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与にドリルダウンして「統制」ハイパーリンクをクリックします。次に、「統制」にドリルダウンして「統制」にリンクされた監査手順を表示して評価します。 |
プロジェクトで実行される監査手順により、特定の統制の有効性がテストされます。個々の監査手順に関連した「統制評価」アイコンをクリックし、これらの統制の評価を入力します。監査手順に関連した統制が次の基準で評価されます。
設計有効性
業務有効性
最後に、実行した監査手順に基づいて、(個々の監査手順に関連した)統制に関する全体的な結論を入力します。
| フィールド | シード値 | ソース | アクセシビリティ・レベル |
|---|---|---|---|
| (監査所見)結論 | 有効 不足 かなり不足 重大な欠陥あり | 「組織 - 監査手順 - 統制」オブジェクトに関する所見フレームワークのコンポーネント: * 監査所見 * 設計有効性 * 業務有効性 | 「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。 |
個々の監査手順に関連する調査結果も作成できます。
注意: 実行後は、手順のステータスを「未開始」から「処理中」、さらに「懸案ありで完了」または「完了」に変更できます。
監査手順のステータスの更新
監査手順に関連した「ステータス」ハイパーリンクをクリックすると、必要に応じて監査手順のステータスを更新できます。
「ダウンロード」および「アップロード」機能による結果の入力
「タスク」ウィンドウの「ダウンロード」ボタンをクリックしてその監査手順とともにタスク構造全体をダウンロードします。
MS Excelでその構造を評価してからWeb ADIの「Oracle」->「アップロード」機能を使用して、その結果を関与へアップロードして戻します。評価結果のみであることに注意してください(設計有効性、業務有効性および監査所見がアップロードされ、スプレッドシートのそれ以外の部分への変更は無視されます)。
| トピック | ナビゲータ・パス |
|---|---|
| 監査結果の記録 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与にドリルダウンして「統制」ハイパーリンクをクリックします。 |
このウィンドウには、監査関与範囲内のリスクとプロセスに関連した統制がすべて表示されます。通常は、1つの統制に複数の監査手順が関連付けられています。「詳細の表示」アイコンをクリックすると、その統制に関連付けられている評価対象の全監査手順の結果が個別に表示されます。
「評価」アイコンをクリックし、実行した個々の監査手順(ステップ1を参照)に基づいて統制の連結評価を記録します。
次の「統制の評価」ウィンドウで、「軽減リスク」ハイパーリンクをクリックして評価対象の統制に関連したリスクを表示します。このビューには、統制により軽減される全リスクのコンテキストが表示され、統制の最終監査所見に役立ちます。
「統制評価」ハイパーリンクをクリックして統制の連結評価を入力します。この評価にも、次の基準を使用します。
設計有効性
業務有効性
Oracle Internal Controls Managerでは、実行した監査手順に基づいて、特定の統制に関する監査所見全体を入力する必要があります。
| フィールド | シード値 | ソース | アクセシビリティ・レベル |
|---|---|---|---|
| (監査所見)結論 | 有効 不足 かなり不足 重大な欠陥あり | 「組織 - 統制」オブジェクトに関する所見フレームワークのコンポーネント: * 監査所見 * 設計有効性 * 業務有効性 | 「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。 |
注意: この評価は統制評価の要約であり、ステップ1で監査手順の結果を入力する間に行った個々の統制評価を連結したものであることに注意してください。
| トピック | ナビゲータ・パス |
|---|---|
| リスクの評価 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与にドリルダウンして「リスク」ハイパーリンクをクリックします。 |
このウィンドウには、監査関与範囲内のプロセスに関連したリスクがすべて表示されます。
このリスクを軽減するため、リスクに関連付けられている統制が複数存在する場合があります。「詳細の表示」アイコンをクリックすると、リスクに関連付けられている、リスク軽減のために実行された個々の統制すべての詳細が表示されます。
「評価」アイコンをクリックし、リスクを軽減する統制の評価(ステップ2を参照)に基づいてリスクの評価を記録します。
次の「リスクの評価」ウィンドウで「リスク・プロセス」ハイパーリンクをクリックし、評価対象のリスクを伴う全プロセスを表示します。このビューにはプロセス・コンテキストが表示され、リスクの最終監査所見に役立ちます。
「リスク評価」ハイパーリンクをクリックして、特定のリスクに関する全体の監査所見を入力します。
| フィールド | シード値 | ソース | アクセシビリティ・レベル |
|---|---|---|---|
| (監査所見)結論 | 軽減 やや軽減 やや表示 完全に表示 | 「組織 - プロセス - リスク」オブジェクトに関する所見フレームワークの「監査所見」コンポーネント | 「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。 |
| トピック | ナビゲータ・パス |
|---|---|
| プロセスの評価 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与にドリルダウンして「プロセス」ハイパーリンクをクリックします。 |
監査関与範囲内のすべてのプロセスとエンティティ(会社、ライン・オブ・ビジネスおよび監査可能単位)が使用可能で、次のいずれでも表示できます。
プロセス・リスト
組織プロセス階層に基づくプロセス
関連プロセスの「評価」アイコンをクリックし、次の評価に基づいてプロセスの評価を記録します。
プロセスに伴うリスク(ステップ3を参照)
そのプロセス・リスクを軽減する統制(ステップ2を参照)
「プロセスの評価」ウィンドウで、プロセスの全体的な監査所見を入力します。
| フィールド | シード値 | ソース | アクセシビリティ・レベル |
|---|---|---|---|
| (監査所見)結論 | 有効 不足 かなり不足 重大な欠陥あり | 「組織 - プロセス」オブジェクトに関する所見フレームワークの「監査所見」コンポーネント | 「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。 |
| トピック | ナビゲータ・パス |
|---|---|
| 組織の評価 | 「内部監査人」(またはそれに相当する)職責を使用して「監査業務」タブをクリックし、「関与」サブタブをクリックします。 該当する関与にドリルダウンして「組織」ハイパーリンクをクリックします。 |
前述の階層フィルタによって組織を表示できます。
該当する監査可能単位の「評価」アイコンをクリックします。組織の評価は、その組織で実行されているプロセスの評価に基づきます。この評価は、COSO標準に従って次の5つのCOSOコンポーネントに関して行います。
統制環境
リスク・アセスメント
統制活動
情報および伝達
モニタリング
前述の評価に基づいて、組織の全体的な監査所見を入力できます。
| フィールド | シード値 | ソース | アクセシビリティ・レベル |
|---|---|---|---|
| (監査所見)結論 | 有効 不足 かなり不足 重大な欠陥あり | 「組織」オブジェクトに関する所見フレームワークのコンポーネント: * 監査所見 * 統制環境 * リスク・アセスメント * 統制活動 * 情報および伝達 * モニタリング | 「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。 |
サインオフが必要な場合は、監査が完了すると思われる前に、関与を発行して承認する必要があります。この場合ユーザーは、ステータスを「有効」から「完了」に変更することはできません。
サインオフが不要な場合は、関与のステータスを「完了」に更新できます。サインオフのステータスは「未発行」のままになります。
注意: サインオフの設定の詳細は、「サインオフ・プロセスの設定」を参照してください。
関与ステータス:
このステータスは次のように更新されます。
| ステータス | 説明 |
|---|---|
| 有効 | すべての関与はこのステータスで作成されます。 |
| サインオフ | 関与が完了すると(また、すべての定義目的が達成されると)、「関与承認者」により関与がこのステータスに更新されます。 |
| 完了 | 「サインオフ」ステータスは、「完了」に更新できます。 |
| 取消済 | 関与が取り消された場合にこのステータスを更新します。 |
「サインオフ」ステータス:
| ステータス | 説明 |
|---|---|
| 未発行 | 未発行 |
| 承認保留 | 関与が、サインオフのために承認前あるいは否認前に発行された場合です。 |
| 承認済 | 承認済 |
| 否認済 | 否認済 |
| 未完了 | ワークフロー経路に問題がある場合に表示されます。 |
オブジェクトの複数のインスタンスに加えて各種のオブジェクト(リスク、統制、プロセスなど)を同じ調査結果に関連付けることができます。たとえば、監査関与の過程で同じ非遵守を複数のリスクに適用できます。
注意: 検索の作成の詳細は、「Oracle Internal Controls Managerにおける調査結果」を参照してください。
監査関与の実行時に、必要な事務処理をすべて関与エンティティに添付することは有益です。事務処理は契約文書などとともに、実地作業の一部として収集された証拠という形式をとることができます。
E-Business Suite(Oracle Files)内または外部の文書管理システムに文書を保管するように選択できます。
注意: アプリケーションでの関与への文書の添付の詳細は、Oracle Internal Controls Managerでの「その他の添付」を参照してください。
Oracle Internal Controls Managerで評価、認証および例外データを作成または更新した場合は常に、そのエントリによってビジネス・イベントが発生します。裏側では複数のイベント・サブスクライバが変更を記録し、すべてのアプリケーションにおける関与および認証ビューの値を更新します。このため、その数字はこのモジュールの最新のデータと状態を反映しています。
アプリケーションのページは、オフラインのhttpモードで表示されます。このため、イベント処理を通じてデータベース・テーブルの数字は即時に更新されますが、変更内容を表示するには画面をリフレッシュするかページを再表示する必要があります。
ウィンドウの番号(無効な組織、プロセスなど)は、プロファイル・オプション「AMW: 評価および認証番号の表示オプション」に基づいて表示されます。プロファイル・オプション値は次のようにシードされています。
無効(非軽減)
無効(非軽減)/評価済合計
無効(非軽減)/合計
無効(非軽減)/評価済合計/合計
合計に占める無効の比率(デフォルト)
(無効は組織、プロセスおよび統制を参照し、非軽減はリスクを参照します)
Oracle Internal Controls Managerを使用して実施する監査中には、数種類の監査評価と認証を入力する必要があります。たとえば、プロセス、リスク、統制および監査手順の各オブジェクトに対して定期評価を行います。認証対象のオブジェクトには、財務項目と財務諸表が含まれます。
監査評価と認証は、通常はシード済の所見に対して行います。評価対象のオブジェクトに基づく数タイプの所見があります。たとえば、統制オブジェクトの評価を記録するために特定タイプの所見を入力し、組織オブジェクトの評価を記録するために別のタイプの所見を入力できます。
監査オブジェクトには様々なコンポーネント・ディメンションがあり、コンポーネントごとに評価を入力できます。たとえば、特定のプロセスにおける統制を評価する際には、次の基準で評価できます。
設計有効性
業務有効性
統制の全体的な監査所見
Oracle Internal Controls Managerの所見フレームワークでは、次を提供します。
フレームワークに属している全オブジェクトの全コンポーネントのシード済所見値。これらの値はOracle定義済コードに対応します。
次の表に、「組織 - 統制」オブジェクトの「設計有効性」コンポーネントのシード済所見値および対応するコードの例を示します。
| 値(ユーザー定義) | コード(Oracle定義) |
|---|---|
| 不足 | SOMEWHAT_EFFECTIVE |
| 有効 | EFFECTIVE |
| 重大な欠陥あり | INEFFECTIVE |
| かなり不足 | NEARLY_INEFFECTIVE |
評価および認証時に選択可能な所見のユーザー定義値を作成する機能。ただし、入力するユーザー定義値は、関連オブジェクトおよび所見に使用できる、Oracle定義済コードに対応する必要があります。
注意: この対応関係が必要となるのは、ダッシュボードへのイメージ表示など、アプリケーションの他の複数の機能がこれらのコード値に基づいているためです。
次の表に、Oracle Internal Controls Managerの所見フレームワークの一部として評価される各種オブジェクトの詳細を示します。
| オブジェクト | 所見タイプ | コンポーネント | シード値(各コンポーネント) | 注意 |
|---|---|---|---|---|
| 組織 - 監査手順 - 統制 | 評価 | 監査所見 設計有効性 業務有効性 | 有効 不足 かなり不足 重大な欠陥あり | この章で説明 |
| 組織 - 統制 | 評価 | 監査所見 設計有効性 業務有効性 | 有効 不足 かなり不足 重大な欠陥あり | この章で説明 |
| 組織 - プロセス - リスク | 評価 | 監査所見 | 軽減 やや軽減 やや表示 完全に表示 | この章で説明 |
| 組織 - プロセス | 評価 | 監査所見 | 有効 不足 かなり不足 重大な欠陥あり | この章で説明 |
| 組織 | 評価 | 監査所見 統制環境 リスク・アセスメント 統制活動 情報および伝達 モニタリング | 有効 不足 かなり不足 重大な欠陥あり | この章で説明 |
| キー勘定項目 | 評価 | 監査所見 | 有効 不足 かなり不足 重大な欠陥あり | 「2. 財務項目の評価および認証」を参照 |
| 財務項目 | 評価 | 監査所見 | 有効 不足 かなり不足 重大な欠陥あり | 「2. 財務項目の評価および認証」を参照 |
| 財務諸表 | 認証 | 認証結果 | 認証済 懸案ありで認証済 | 「3. 財務諸表の認証」を参照 |
| 組織 - プロセス | 認証 | 認証結果 | 認証済 懸案ありで認証済 | 「プロセス認証: ビジネス・プロセス・オーナー」を参照 |
| 組織 | 認証 | 認証結果 | 認証済 懸案ありで認証済 | 「プロセス認証と組織認証」の「自分の組織」サブタブを参照 |
| トピック | ナビゲータ・パス | Oracle Internal Controls Managerのウィンドウ |
|---|---|---|
| 所見フレームワークの各オブジェクトのユーザー定義値の作成 | 「内部監査人」(またはそれに相当する)職責を使用して「設定」タブをクリックし、「所見」サブタブをクリックします。 「コンポーネント」アイコンをクリックして関連オブジェクトにドリルインします。 「値」アイコンをクリックして該当するコンポーネントにドリルインします。 | 所見の構成 構成部品の構成 値の構成 |
「値の構成」ウィンドウで、該当するアイコンをクリックしてシード値を追加または編集できます。どちらの場合も、作成または編集する値は、関連オブジェクト、所見タイプおよびコンポーネントに使用可能なOracle Internal Controls Managerコード値の1つに対応する必要があります。
注意: 「Oracle Internal Controls Managerにおける調査結果」を参照してください。
