リリース11i
B25733-01
目次
戻る
次へ
| Oracle Internal Controls Managerインプリメンテーション・ガイド リリース11i B25733-01 | 目次 | 戻る | 次へ |
通常、企業管理システムとは、管理目的を実現するために採用されたプロセスの存在を意味します。これらの管理システムを有効にするには、それをサポートするビジネス・プロセスが信頼できるとみなされることが重要です。
また、米国における企業改革法のような法規を遵守すると、ビジネス・プロセスの実行における内部統制の妥当性を判断するための機動力が加わります。監査対象のビジネス・プロセスは、企業全体のモニタリング方式における重要なファクタです。認証の発行により、プロセスまたは組織、あるいはその両方が準拠対象法規の要求どおり標準に準拠していることが証明されます。
この章では、Oracle Internal Controls Managerを使用したビジネス・プロセスおよび組織の認証に必要なすべての情報について説明します。
COSO本体は、内部統制自体をプロセスとして定義しています。プロセス・ベースという内部統制の性質を認識し、統制システムの監査に取り込む必要があります。したがって、会社はビジネス・プロセスの継続的なモニタリングを確立しながら、その有効性を評価して改善する必要があります。
この目標を達成する方法の1つは、定期的に企業内のプロセスおよび組織の認証を実行することです。認証では、プロセス・オーナーは自組織のプロセスが自社の管理システムの基礎として利用されている標準を遵守していることを保証する必要があります。これには、組織の管理システムが適切で有効であることを保証するための、一連の堅実な監査およびその他の活動が含まれます。
監査、および必要となる可能性のある関連フォローアップ活動が正常に完了すると、プロセスは認証済になります。認証は、プロセスが適用可能な標準の要件を満たしていることを証明します。
外部監査人は、財務諸表が正確であることを証明する前に、確立され、有効に実装されているシステムなどの客観的な証拠を求めます。CFO、CEOおよび監査委員会にとっては、認証済ビジネス・プロセスも内部統制の妥当性と財務結果の正確さを証明する際の判断材料になります。
認証は特定の時間枠に対して有効とみなされるため、プロセスが継続的に有効であることを保証するために定期的に監査する必要があります。この要件は継続的な再認証をもたらし、その結果、企業の管理および統制システム全体の信頼性が向上します。通常、再認証は、要件に応じて重要なプロセスの場合は3か月間隔、重要度の低いプロセスの場合はそれ以上の間隔で実施されます。
一部のプロセスは監査の頻度が低いか、またはまったく監査されませんが、エンティティ内の重要なビジネス・プロセスの大多数は定期監査の対象となります。前章で説明したように、監査関与はエンティティに対する監査割当ての集合であり、通常はプロセスの監査に関連付けられています。監査関与では、プロセスが完全に機能し、該当する標準の要件を満たしているかどうかを示す証拠が収集されます。
大多数の非遵守項目は監査中に識別できますが、その場合、非遵守項目が効果的に対処されて改善されないかぎり、認証を発行できません。少なくとも、これらの調査結果は認証前に考慮する必要があります。実際の認証中に発生する監査後の懸案も記録する必要があります。監査人は、識別されたすべての非遵守項目(調査結果と懸案など)のクローズ時に、認証のための勧告を行うことができます。
注意: 詳細は、「認証中の懸案の作成と解決」を参照してください。
プロセスの(監査関与を介した)監査結果はプロセス・オーナーに独自の視点を提供し、認証の判断材料となります。
プロセス・オーナーは、プロセスに関する日常的な実務知識を利用して認証するとも予想されます。そのため、プロセス・オーナーは組織の内部統制体系と遵守に関してプロセスおよび組織のアセスメントを行う場合があります。
アセスメント結果は、プロセスが該当する標準の要件を満たしていて認証可能であるかどうかを示すさらなる証拠を提供します。
Oracle Internal Controls Managerにおけるプロセス認証は、財務諸表の明細項目に関する署名役員のビューに送られます。署名役員は、特定の財務明細項目をサポートするプロセスにドリルダウンできます。プロセス認証と監査評価は、これらのプロセスに関する2つの個別ビューを提供し、財務諸表の認証を支援します。
Oracle Internal Controls Managerでは、会社の組織(監査可能単位)で実行されるプロセスのみでなく、会社プロセスも作成できます。
会社プロセスはグローバルな方向性を持ち、社内の全組織にまたがる中央の管理部門で実行されるとみなすことができます。会社プロセスとは異なり、通常の組織(ローカル)プロセスは会社の特定の組織内で実行されるプロセスです。ローカル・プロセスには、標準プロセスのみでなく、組織内でのバリアント・プロセスが含まれます。
注意: バリアント・プロセスの詳細は、「プロセス・バリエーション管理」を参照してください。
会社プロセスには、次の両方が含まれます。
企業レベルのマネージャが担当する「受注-入金」など、各種組織のコア・プロセスの連結。
Oracle Internal Controls Managerにおける会社プロセスの前述のような機能を理解しやすいように、次の例を考えてみます。会社で「受注-入金」という会社プロセスが作成されているとします。前述のように、このプロセスは会社の各種組織の「受注-入金」プロセスを連結したものとみなされます。
このプロセスにドリルインすると、全組織のすべてのローカル・プロセス(名称は会社プロセスと同じ)の詳細リストが表示されます。すべての標準「受注-入金」プロセスとそのバリアントが含まれることに注意してください。
そのため、このプロセスについて会社全体での包括的な連結ビューを取得し、その入力を会社プロセスの認証に使用できます。
特定の組織ではなく企業の利益のためにのみ実行されるプロセス。Oracle Internal Controls Managerでは、このタイプの会社プロセス用の特定の機能は用意されておらず、通常のプロセスの機能が表示されます。
会社プロセスをアプリケーションで有効化するには、そのプロセスを実行する会社を表す組織を作成します。つまり、会社プロセスを作成するには、最初に会社の組織を作成する必要があります。
Oracle Internal Controls Managerでは、会社の組織はプロファイル・オプション「AMW: 本部」にシードされる組織(監査可能単位)です。このグローバル組織は組織階層のルート組織でもある必要があります。
注意: Oracle Internal Controls Managerにおける組織の作成の詳細は、「Oracle Internal Controls Managerにおける組織」を参照してください。
会社の組織に添付されるプロセスは、定義上、会社プロセスとなります。会社プロセスは、指定オーナーなど、通常のプロセスの属性をすべて持ちます。したがって、会社プロセスが存在し、会社で実行される場合は、プロセス認証の範囲にも自動的に含まれます。会社プロセスは、指定プロセス・オーナーに属している他のプロセスとともに「認証」ウィンドウに表示されます。
注意: Oracle Internal Controls Managerの「認証」ウィンドウでは、会社プロセスを球状アイコンで容易に区別できます。
Oracle Internal Controls Managerでは、プロセス認証の実装に使用する2つの職責「グローバル業務管理者」および「ビジネス・プロセス・オーナー」が事前シード済です。
Oracle Internal Controls Managerでは、この2つの職責を次のように区別します。
「グローバル業務管理者」は、プロセス認証要求を作成します。これらの要求は、プロセス・オーナーに対してビジネス・プロセスの認証に必要な作業を実行するように求める通知の形式で送信されます。この職責はプロセス・スーパーユーザーに類似しており、社内の全プロセスの認証ステータスを表示し、更新する権限を持ちます。
「ビジネス・プロセス・オーナー」としてログインしたユーザーが表示できるのは、自分が所有しているプロセス(および関連サブプロセス)と、自分が組織オーナーとして表示される組織のプロセスのみです。
注意: 詳細は、Oracle Internal Controls Managerの「ロールと権限」および「機能セキュリティ」を参照してください。
プロセス・オーナーは、これらのプロセスを認証することで、内部統制の妥当性と有効性に問題がないことを表明できます。認証には「認証済」および「懸案ありで認証済」という形式があります。この名称は、所見フレームワークを使用して変更できます。
注意: 所見フレームワークの詳細は、「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。
前述のように、プロセスを監査した関与からの監査評価は、プロセス・オーナーがそのプロセスの評価に使用する入力の1つとして機能します。
グローバル業務管理者とプロセス・オーナーは、どちらもプロセスの監査評価へのアクセス権を持ちます。ビジネス・プロセス・オーナーは、次の監査関与結果を使用できます。
非軽減リスク
無効な統制
調査結果
次のダイアグラムに、グローバル業務管理者が会社のビジネス・プロセスを認証するために実行するタスクの概要を示します。
「グローバル業務管理者」職責には、会社の全プロセスおよび全組織での認証作業の高レベル・ビューが用意されています。新しく検討を開始する前に、次に示すプロセスの現在の遵守ステータスを検討してください。
| トピック | ナビゲータ・パス | Oracle Internal Controls Managerのウィンドウ |
|---|---|---|
| プロセス認証の「グローバル業務管理者」ビュー | 「グローバル業務管理者」職責を使用して「ビジネス・プロセス」タブをクリックし、「認証」サブタブをクリックします。 | 認証 |
このウィンドウには、社内で開始された認証がすべてリスト表示されます。認証は業務に似たコンテナであり、認証中のプロセスの集合を表します。認証に(「認証」ハイパーリンクをクリックして)ドリルインし、認証中のプロセスを表示できます。
プロセス認証には、その範囲によって決定されるプロセス・セットが含まれます。ただし、グローバル業務管理者以外のユーザーが表示できるのは、次のプロセス(および関連サブプロセス)のみです。
自分が指定プロセス・オーナーとして表示されるプロセス
自分が組織オーナーとして表示される組織内のプロセス
「プロセス認証保留の組織」列には、実行中の第1レベルのプロセスの1つ以上が未認証となっている社内の組織の数が反映されます。第1レベルのプロセスとは、「全プロセス」ノードのすぐ下にあるプロセスです。
次の例では、P1、P2およびP3が第1レベルのプロセスです。たとえば、プロセスP1とプロセスP2が組織AおよびBで実行され、プロセス3が組織Cで実行されているとします。また、P1およびP2は組織Aで認証済だが、P2は組織Bで未認証であるとします。組織CのP3も未認証です。
| 組織 | 組織のプロセス | 認証済 |
|---|---|---|
| A | P1、P2 | P1、P2 |
| B | P1、P2 | P1 |
| C | P3 | なし |
前述の使用例では、組織BおよびCの両方に未認証の第1レベルのプロセスが1つ以上あるため、「プロセス認証保留の組織」列には2/3と表示されます。
「認証保留の組織」列には、未認証となっている社内の組織の数が反映されます。たとえば、この場合の1/3は、範囲内の3つの組織のうち1つの組織が未認証となっていることを反映しています。
注意: プロファイル・オプション「AMW: 評価および認証番号の表示オプション」は、「プロセス認証保留の組織」および「認証保留の組織」の2列では有効ではありません。
このプロファイル・オプションの詳細は、この章の「認証に関する注意」を参照してください。
「認証」ハイパーリンクをクリックすると次のタブが表示されます。
「ダッシュボード」タブのビューは「グローバル業務管理者」職責でのログイン専用であり、社内の全組織にまたがる監査評価結果および認証の要約ビューを提供します。
「ダッシュボード」には次の7つのセクションがあります。
組織認証
組織認証結果別の認証懸案
組織認証結果別の統制評価
認証なし組織別の統制評価
懸案ありで認証済の組織別の統制評価
オープン調査結果: 上位5組織
オープン改善: 上位5組織
このウィンドウには、グローバル業務管理者に対する認証の状態を示す包括ビューが次の3つのセクションに表示されます。
範囲内のプロセスへの変更(認証期間の開始以降)
認証期間の開始以降に社内で作成された(範囲内のプロセスに対する)リスクまたは軽減統制の追加を示す要約ビューが表示されます。
会社プロセスおよび組織プロセス
社内で未認証であるか、認証済だが懸案があるプロセスの数が表示されます。
注意: 詳細は、「会社プロセスと組織(ローカル)プロセスの比較」を参照してください。
監査評価
「無効な統制」および「非軽減リスク」として評価されたプロセス数が表示されます。この2つの数は、監査関与にまたがる個々のプロセスの最新評価から取り込まれます。
現在の認証の範囲に含まれるすべてのエンティティのリストが表示されます。ここで、階層フィルタを使用して認証範囲を表示できます。3つの階層ビューが使用可能です。
カスタム階層。これはOracle HRモジュールで定義されたとおりの組織階層であり、「AMW: 組織セキュリティ階層」プロファイル・オプションに入力されます。
法的階層。これは子会社値セット内の子会社(会社)の階層です。値セット名を「AMW: 監査単位の子会社値セット」プロファイル・オプションに入力する必要があります。
管理階層。これはLOB値セット内のLOBの階層です。値セット名を「AMW: 監査単位のLOB値セット」プロファイル・オプションに入力する必要があります。
注意: 認証範囲の作成の詳細は、「認証の範囲の設定」を参照してください。
このウィンドウは、社内の全組織と関連評価および認証の包括的なダッシュボード・ビューを提供します。前述のように、グローバル業務管理者には社内の全組織が表示されますが、他のユーザーには各自のロールおよび権限に応じた組織およびLOBのみが表示されます。
注意: アプリケーションにおけるアクセス権の詳細は、Oracle Internal Controls Managerの「ロールと権限」および「機能セキュリティ」を参照してください。
組織にドリルインして、その組織で実行中のプロセス(および関連するリスクと統制)の詳細ビューを表示できます。
ここでは、このウィンドウの各列の詳細を説明します。
注意: 各列に関連付けられたアイコンの詳細は、「認証に関する注意」および「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。
認証結果: Oracle Internal Controls Managerの所見フレームワークに連結されています。次の値が事前シード済です。
認証済
懸案ありで認証済。「懸案ありで認証済」はメインの認証サブタブ・ビューにある「認証保留の組織」列の比率を計算する際に認証済エントリとしてカウントされることに注意してください。
注意: 認証値のシードの詳細は、「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。この場合の関連オブジェクトは、認証である「組織」オブジェクトです。
グローバル業務管理者は、「認証」アイコンをクリックして認証結果を入力することで任意の認証を上書きできます。
監査評価: 認証では、次の列の値が重要です。
最終評価結果
無効プロセス
非軽減リスク
無効な統制
上記の列は、監査関与を介して実施された、この組織の最新評価から取り込まれます。通常、この評価は会社の内部監査スタッフにより実行され、組織オーナーが行う認証に信頼性のあるサポートを提供します。
「最終評価結果」アイコンをクリックすると、その評価の詳細が表示されます。
「無効プロセス」は、「有効」所見に結合された評価以外に評価された、組織内の全プロセスの合計に対応します。
「非軽減リスク」と「無効な統制」の数は、認証におけるプロセスおよび組織の最新評価から取り込まれます。「非軽減リスク」は、それらのプロセスおよび組織に関連するリスクのうち、「軽減」以外の所見に結合されたリスクを伴うものと評価された、全リスクの合計に対応します。「無効な統制」は、それらのプロセスおよび組織に関連する統制のうち、「有効」所見に結合された関連した統制以外を持つものと評価された、全統制の合計に対応します。
これらの値のいずれかをクリックすると、そのプロセス、リスクまたは統制の詳細にドリルダウンできます。
注意: 軽減所見と有効所見の詳細は、「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。
オープン調査結果: この組織と、組織内のプロセス(および関連するリスクと統制)に関連付けられている調査結果。この組織を含む監査関与中に記録された調査結果がすべて表示されます。
注意: 詳細は、「Oracle Internal Controls Managerにおける調査結果」を参照してください。
オープン懸案: このプロセスに関連付けられている懸案。懸案は調査結果に類似しており、プロセスの認証コンテキスト内で作成されます。これらは、プロセス・オーナーがプロセス認証中に記録します。未処理の懸案があるプロセスは、その性質と範囲に基づいて「懸案ありで認証済」として認証できます。
グローバル業務管理者は、「認証」アイコンをクリックして認証結果を入力することで任意の認証を上書きできます。
注意: 「認証に関する注意」も参照してください。
このウィンドウは、認証範囲内の全プロセスと関連評価および認証の包括的なダッシュボード・ビューを提供します。前述のように、グローバル業務管理者には全組織の全プロセスが表示されますが、他のユーザーには各自が所有するプロセスまたは各自が組織オーナーとして表示される組織内のプロセスのみが表示されます。
プロセスが会社プロセス(球状アイコンで区別)の場合は、このウィンドウでドリルインできます。この場合、Oracle Internal Controls Managerでは、全組織の全ローカル・プロセス(名称は会社プロセスと同じ)の詳細リストが表示されます。
ここでは、このウィンドウの各列の詳細を説明します。
サブプロセス: 親プロセスに対して有効。この親プロセスの下位プロセス数合計に対する認証済サブプロセス数の比率。ハイパーリンクをクリックすると、サブプロセスの評価と認証の詳細にドリルダウンできます。
組織プロセス: 親組織に対して有効。プロセス(またはバリアント)を実行中の子組織合計数に対する、その親プロセスの下にある組織合計数の比率。
認証結果: Oracle Internal Controls Managerの所見フレームワークに連結されています。次の値が事前シード済です。
認証済
懸案ありで認証済
注意: 認証値のシードの詳細は、「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。この場合の関連オブジェクトは、認証である「組織プロセス」オブジェクトです(評価であるオブジェクトではありません)。
「懸案ありで認証済」は「サブプロセス」列の比率を計算する際に認証済エントリとしてカウントされますが、認証結果のないプロセスは「非認証」としてカウントされることに注意してください。
監査評価: 認証では、次の3列が重要です。
最終評価結果
非軽減リスク
無効な統制
この3列は、監査関与を介して実施された、このプロセスの最新評価から取り込まれます。通常、この評価は会社の内部監査スタッフにより実行され、プロセス・オーナーが行う認証に信頼性のあるサポートを提供します。
「最終評価結果」アイコンをクリックすると、評価の詳細が表示されます。「最終評価結果」の隣の「履歴」アイコンをクリックすると「プロセス評価履歴」ウィンドウが表示され、このプロセスが過去に評価された全監査関与の履歴と結果を参照できます。
「非軽減リスク」と「無効な統制」の数は、プロセスの最新評価から取り込まれます。「非軽減リスク」は、このプロセスに関連するリスクのうち、「軽減」以外の所見に結合されたリスクを伴うものと評価された、全リスクの合計に対応します。「無効な統制」は、このプロセスに関連する統制のうち、「有効」所見に結合された関連した統制以外を持つものと評価された、全統制の合計に対応します。
どちらかの列をクリックすると、それぞれリスクまたは統制の詳細にドリルダウンできます。
注意: 軽減所見と有効所見の詳細は、「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。
認証と評価結果にはアイコンを添付できます。評価列と認証列にイメージを使用するか、テキストを使用するか、または両方を使用するかは、「AMW: 評価および認証の表示オプション」プロファイル・オプションで指定します。
オープン調査結果: このプロセスに関連付けられている調査結果。このプロセスを含む監査関与中に記録された調査結果がすべて表示されます。
注意: 詳細は、「Oracle Internal Controls Managerにおける調査結果」を参照してください。
オープン懸案: このプロセスに関連付けられている懸案。懸案は調査結果に類似しており、プロセスの認証コンテキスト内で作成されます。これらは、プロセス・オーナーがプロセス認証中に記録します。未処理の懸案があるプロセスは、その性質と範囲に基づいて「懸案ありで認証済」として認証できます。
グローバル業務管理者は、「認証」アイコンをクリックして認証結果を入力することで任意の認証を上書きできます。
アセスメント: プロセスの統制体系および遵守に関してプロセスのアセスメントを作成できます。このアセスメントは認証中のプロセスにリンクできます。
注意: この項の末尾にある「認証に関する注意」も参照してください。
認証はコンテナであり、認証中のプロセスの集合を表します。この認証は会社の全プロセスが属している上位レベル・ノードとみなすことができます。
| トピック | ナビゲータ・パス |
|---|---|
| プロセス認証の「グローバル業務管理者」ビュー | 「グローバル業務管理者」職責を使用して「ビジネス・プロセス」タブをクリックします。 「認証」サブタブ・ウィンドウで「作成」ボタンをクリックします。 |
次の表に、「認証の作成」ウィンドウの各選択フィールドの詳細を示します。
| フィールド | 詳細 | シード値 | 参照タイプ | アクセシビリティ・レベル |
|---|---|---|---|---|
| 自動リマインダ (日数) | 入力した日数ごとに、未認証のプロセスがある全プロセス・オーナーに自動通知を送信します。 アプリケーションの初期ウィンドウとEメールの両方で、通知には未認証プロセスのリストが表示されます(Eメールが通知を受け取るように構成されている場合)。 | N/A | N/A | N/A |
| 認証オーナー | この認証の担当者。 通常、認証オーナーは認証保留組織をたどるための「グローバル業務管理者」アクセス権を持ちます。 | N/A | N/A | N/A |
| タイプ | 302または404遵守に向けたプロセス認証。 | SOX 302 SOX 404 | N/A | システム |
| 認証期間 | 値リストには、Oracle General Ledgerからの会計期間が表示されます。 これらの期間の取込み元であるカレンダは、プロファイル・オプション「AMW: カレンダ - Q」に基づきます。Oracle Internal Controls Managerで認証に使用する期間は、このプロファイル設定に入力したカレンダに基づきます。 | Oracle General Ledgerのカレンダに従う | N/A | N/A |
すべての認証は「草案」ステータスで作成されます。プロセス・オーナーが通知を受け取ったり、プロセスを認証するには、認証のステータスを「有効」に変更しておく必要があります。そのためには、「認証詳細」ウィンドウ(「ビジネス・プロセス」)タブ->「認証」)サブタブ->認証の詳細にドリルイン)で「更新」ボタンをクリックします。
次の表に、「認証ステータスの更新」ウィンドウのステータス値の詳細を示します。
| ステータス | 詳細 |
|---|---|
| 草案 | すべての認証は「草案」ステータスで作成されます。 |
| 有効 | プロセスを認証して通知を送信するには、認証が「有効」ステータスである必要があります。 また、認証データを要約および更新するコンカレント・プログラムでは、「有効」ステータスの認証に含まれるプロセスのみが処理されます。 |
| 完了 | 認証は完了とみなされます。コンカレント・プログラムでは、「完了」ステータスの認証に含まれるプロセスは処理されません。 |
| 否認済 | ユーザーがプロセス認証を終了しました。 |
| 保管済 | 認証を保管できます。 |
プロセス認証の作成後に、その範囲を定義します。範囲により、認証に含まれるエンティティとプロセスが決定され、したがって認証コンテキストの範囲が定義されます。これが解決された後、 グローバル業務管理者はプロセス・オーナーへのプロセス認証通知の送信を開始できます。
注意: 認証範囲の設定は監査関与の範囲の設定とまったく同じです。詳細は、「監査関与範囲の設定」を参照してください。
「認証の作成」ウィンドウでは、すべてのプロセスおよび組織を認証の範囲に含めるオプションが使用可能です。
Oracle Internal Controls Managerでは、次の2つの方法でグローバル業務管理者としてプロセスの認証または再認証に関する通知を開始できます。
コンカレント・プログラム「プロセス認証リマインダ」を実行します。このプログラムは、全組織のプロセス・オーナー全員に、各自が所有していて現行の認証期間中に未認証のプロセスに関する通知を送信します。この通知は、認証の作成時に入力する「自動リマインダ (日数)」フィールドの設定に基づいて送信されます。
「自分のプロセス」ビューで、プロセス・オーナーにリマインダを個別に送信するように選択できます。プロセスを個別に選択し、「催促の送信」ボタンをクリックして該当するプロセス・オーナーに通知を送信します。
認証に関連するプロセスにオーナーがいない場合は、プロセス認証通知を送信できません。グローバル業務管理者は、この種のプロセスを必要に応じて認証できます。その結果、「懸案ありで認証済」はアプリケーションで認証とみなされ、このラベルが付いたプロセスを持つプロセス・オーナーにはそれ以上通知されません。
最終ステップでは、プロセス・オーナーによる認証が完了した後、グローバル業務管理者が全般的なレビューを実行してから、そのステータスを「完了」に更新して認証(前述のステップ2で作成)を完了します。認証が「完了」として表示される場合、そのプロセスは以降の通知および計算から除外されます。
次のダイアグラムに、企業のビジネス・プロセスおよび組織の認証に向けてプロセス・オーナーが実行するタスクの概要を示します。サブプロセスへのドリルダウン機能を持った関連プロセスの連結ビューを提供することで、認証情報に基づく決定を下すために必要な情報が得られます。
前述のタスクを次に示します。
前述のように、ビジネス・プロセス・オーナーが表示できるのは、自分が所有するプロセス(および関連サブプロセス)と、自分が組織オーナーとして表示される組織内のプロセスの詳細のみです。Oracle Internal Controls Managerでは、これらのプロセスと認証ステータスの連結ダッシュボード・ビューが提供されます。上位レベル・プロセスのプロセス・オーナーは、ドリルダウンして関連サブプロセスの詳細および認証ステータスを検討できます。
認証に関するこの通知は、必要に応じて実行します。通知先は、自分が所有するプロセスの下位にあるサブプロセスのオーナーのみです。
| トピック | ナビゲータ・パス |
|---|---|
| プロセス認証におけるアセスメントの使用 | 「ビジネス・プロセス・オーナー」(またはそれに相当する)職責を使用して「ビジネス・プロセス」タブをクリックし、「認証」サブタブをクリックします。 「認証」にドリルインして「自分のプロセス」サブタブ(「アセスメント」列)にアクセスします。 |
ビジネス・プロセス・オーナーは、認証を支援するために、プロセス・アセスメントの結果を結合して表示できます。アセスメント結果を、非軽減リスク、無効な統制、オープン調査結果およびオープン懸案に関するデータとともに使用して、そのプロセスが認証可能かどうか判別できます。
プロセス・オーナーは、「アセスメント」リンクをクリックして次のいずれかを実行できます。
以前に完了したアセスメントのリンク
新しいアセスメントの作成およびリンク
注意: アセスメントの設定および実装の詳細は、「Oracle Internal Controls Managerでのアセスメント」を参照してください。
アセスメントは認証とは別個に行われることに注意してください。ただし、アセスメントの結果を使用して、認証を実証し、信頼性を持たせることができます。特定の認証において、1プロセスにつき1つのアセスメントのみを関連付けることができます。
監査評価結果、アセスメント、調査結果およびその他の入力を使用してプロセスおよび組織を評価します。必要な場合は、解決を必要とする懸案を記録できます。最新の監査評価の結果は、「認証」ウィンドウの「自分のプロセス」タブで表示できます。
評価の完了後に、「認証」アイコンをクリックしてプロセスを認証します(「自分のプロセス」サブタブ)。そのプロセスを含む認証のステータスが「有効」である必要があります。組織の認証を入力する(「自分の組織」サブタブ)には、「ビジネス単位認証者」職責または「グローバル業務管理者」職責を使用してログインする必要があります。
プロセス・オーナーは、すべてのサブプロセスを認証したり認証を上書きできることに注意してください。プロセスを認証するかわりに、「オープン懸案」アイコンをクリックして付加的な懸案を記録できます。
次の表に、「プロセスの認証」ウィンドウおよび「組織の認証」ウィンドウの各選択フィールドの詳細を示します。
| フィールド | シード値 | ソース | アクセシビリティ・レベル |
|---|---|---|---|
| (認証結果)結論 | 認証済 懸案ありで認証済 | 「組織 - プロセス」オブジェクトの所見フレームワーク・コンポーネント(認証結果コンポーネント) | 「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。 |
| (認証結果)結論 | 認証済 懸案ありで認証済 | 組織の所見フレームワーク・コンポーネント(認証結果コンポーネント) | 「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。 |
注意: 認証値のシードの詳細は、「Oracle Internal Controls Managerの所見フレームワーク」を参照してください。
前述のタスクの詳細は「プロセス/組織認証: グローバル業務管理者」で説明した内容と同じですが、次の例外があります。
認証にドリルインすると、プロセス・オーナーが所有するプロセス、またはプロセス・オーナーが組織オーナーとして表示される組織内のプロセスのみが表示されます。
プロセス・オーナーは自分のプロセスを認証可能であり、認証する必要がありますが、認証全体(認証中の全プロセスの集合を表すコンテナ)のステータスを更新する権限はありません。
ビジネス・プロセス・オーナーは「ダッシュボード」タブおよび「スコアカード」タブを表示できず、社内の全組織にまたがる監査ステータスと認証ステータスの要約ビューを取得できません。
各ウィンドウ(無効な組織、プロセスなど)の数値は、プロファイル・オプション「AMW: 評価および認証番号の表示オプション」に従って表示されます。次のシード済プロファイル・オプション値から選択します。
無効(非軽減)
無効(非軽減)/評価済合計
無効(非軽減)/合計
無効(非軽減)/評価済合計/合計
合計に占める無効の比率(デフォルト値)
(無効は組織、プロセスおよび統制を参照し、非軽減はリスクを参照します)
このプロファイル・オプションでは、評価列と認証列にイメージを使用するか、テキストを使用するか、またはその両方を使用するかを指定できます。
Oracle Internal Controls Managerで評価、認証および例外のデータが作成または更新されるたびに、そのエントリによってビジネス・イベントが発生します。背後では、複数のイベント・サブスクライバが変更を監視し、アプリケーションの業務ビューおよび認証ビューのソース値を更新します。したがって、数値にはモジュールの最新のデータおよび状態が反映されます。
イベント処理に関して問題が発生した場合は、コンカレント・プログラム「プロセス認証要約の作成」を実行して数値を更新できます。このプログラムはプロセス・データと監査評価結果を要約し、アプリケーションの関連表を更新します。
アプリケーションの各ページは切断HTTPモードで表示されることに注意してください。したがって、データベース表内の数値はイベント処理によってほぼ瞬時に更新されるものの、変更を表示するには画面をリフレッシュするか、再度そのページを開く必要があります。
「サブプロセス」列や「組織プロセス」列などの比率値には、アイコンが添付されています。このアイコンは、次に示す制限に基づいています。
| しきい値 | イメージ |
|---|---|
| 0 - 10 11 - 30 31 - 80 81 - 100 | チェックマーク・アイコン(緑) 警告アイコン1 警告アイコン2 重要標識アイコン(赤) |
たとえば、「サブプロセス」列の比率が99/100であるとします。これは、この親プロセスのサブプロセス合計数に対する認証済サブプロセス数の比率です。この値は未認証値1/100(1%に相当)に変換され、制限0から10の範囲に該当します。したがって、この比率の隣のアイコンは緑のチェックマークです。このようなカラー標識を監査評価に提供することで、社内のプロセス評価と認証の結果について読み取りやすいダッシュボード・ビューが提供されます。
調査結果などの懸案は、認証プロセスのコンテキスト内で作成されます。これらの懸案は、プロセスの実行中に確立された標準に対する非遵守項目として定義できます。通常、非遵守項目は、手順やアカウンタビリティなどに違反する重大な懸案項目です。
懸案は、プロセス・オーナーまたは組織オーナーによるプロセス認証または組織認証中に記録されます。Oracle Internal Controls Managerでの実装は次のとおりです。
懸案の設定
Oracle Internal Controls Managerにおける懸案の記録
懸案クローズ時の改善の使用
注意: 前述のステップは、調査結果に対して実行する手順と同様です。詳細は、「Oracle Internal Controls Managerにおける調査結果」を参照してください。
