Oracle Internal Controls Managerインプリメンテーション・ガイド リリース11i B25733-01 | ![]() 目次 | ![]() 戻る | ![]() 次へ |
この章では、アプリケーション統制モニタリングのドメインと、Oracle Internal Controls Managerによって提供されるソリューションの概要を示します。
会社のビジネス・プロセスおよび財務レポートの正確さと信頼性は、そのITシステムおよび統制環境の信頼性と機能に大いに依存します。米国企業改革法(Sarbanes-Oxley Act)施行後の世界では、会社は法規制および企業ポリシーを確実に遵守するために、自動アプリケーション統制への依存をますます強めています。ITには今、会社の目標を効果的にサポートするアプリケーション統制を確保するというタスクが課せられています。
IT部門は、IT統制環境のアセスメントを行うという継続的な需要を満たし、遵守のコストを最小限に抑えるために、IT統制をモニタリングおよびテストする自動化された手法を必要としています。この新しい責務を果たすため、IT関連のリスクおよび統制を管理するためのControl Objectives for Information and related Technology(CobiT)フレームワークを多くのIT組織が採用しています。
注意: COSOとCobiTはどちらも会社内の統制に対応しますが、CobiTはIT統制に主眼を置いています。この差異は、各統制フレームワークの範囲の違いということになります。
そのため、COSOの統制目的は信頼できる財務レポートおよび法規の遵守であるのに対し、CobiTの役割は品質およびセキュリティの要件を目標としています。
CobiTフレームワークでは、本質的に、ITリソースの配置および管理におけるプロセス基準が認識されます。このプロセス中心の認識によって、IT監査が相応に処理されます。
CobiTでは、4つのドメインにグループ化された34の情報テクノロジ・プロセスが識別されています。
計画および組織
調達および実装
デリバリおよびサポート
モニタリング
この分類は、管理可能な論理構造内で、会社のITアクティビティを表します。
すべてのプロセスはリスクを伴います。ITには、ほとんどの組織で広範囲に及ぶという性質があるため、IT関連プロセスおよびリスクの管理は会社のリスク管理における重要な一部分となっています。したがってIT監査人は、それらのプロセスに関連するリスクと、会社に対する潜在的影響を識別します。
IT統制(特定のITアクティビティ内での統制手順)は、IT関連プロセスの実行によるリスクを軽減するよう設計されます。したがってCobiTフレームワークでは、ITプロセスごとに1つ、合計34の高レベルな統制目的のセットが維持されています。また、ITプロセスのアセスメントを行うための詳細な統制目的および監査ガイドラインが提供されています。これらの統制目的に対応することで、会社は十分な統制システムによってIT環境を確実に監視できます。
アプリケーション統制モニタリング機能では、Oracle E-Business Suite内でIT統制をモニタリングすることで、会社がIT環境を効果的かつ効率的に管理できます。このアプリケーションは、アプリケーション・ソフトウェアの保守、変更の管理、システム・セキュリティの確保、構成の管理など、CobiTフレームワーク内の高レベルな統制目的をサポートします。
アプリケーション統制モニタリング機能は、Oracle Internal Controls Manager(OICM)製品に組み込まれています。.
Oracle E-Business Suiteは、設定パラメータという形で、自動化された包括的なアプリケーション統制を提供します。これらのアプリケーション統制は統制環境全体に対して重要です。これらを変更すると、財務レポートの信頼性および整合性に影響を与えるプロセスを含めた組織のプロセスに悪影響が生じることがあるためです。
勘定科目の設定はこれらのパラメータの好例です。一部のアプリケーションでは、アプリケーションの実装の一部として特定の勘定科目をシードする必要があります。
Oracle Payablesにおける実現差益勘定と実現差損勘定を考えてみます。このアプリケーションを使用して買掛金取引の損益を取得するためには、事前にこれらの勘定科目を識別する必要があります。これらの勘定科目を誤って変更すると、誤った分類が行われ、財務諸表で損益が大幅に過小または過大に報告されるというリスクが生じることがあります。
もう1つの例として、Purchasingの設定オプション「価格変更許容範囲パーセント」を考えてみます。このパーセンテージを変更すると、義務づけられている購買ガイドラインに影響する可能性があるため、この変更はプロセス・オーナーが参照できる必要があります。
設定パラメータの変更は、会社のビジネス・プロセスを含む統制環境に影響を及ぼすため、組織に重大なリスクをもたらします。また、アプリケーション変更アクティビティの監査証跡は、法的要件の観点からますます重要となっています。
したがって、設定変更のモニタリングとレポートが不可欠です。Oracle E-Business Suite内では、Payables、Receivables、Purchasing、Inventoryなど(これに限定されません)のアプリケーションにおける不可欠なアプリケーション統制の追跡がこれに含まれます。アプリケーション統制モニタリングでは、これらのアプリケーションによって、調達-支払や受注-入金などのビジネス・フローにおけるアプリケーション統制も追跡できます。
アプリケーション統制モニタリングでは、ITマネージャおよびIT監査人が、Oracle E-Business Suite内のいくつかのモジュールでアプリケーション統制の変更を追跡できます。
注意: 変更の有無を監査できる特定のアプリケーションおよび設定パラメータの詳細は、「シード済設定グループおよびパラメータ」を参照してください。
アプリケーション統制モニタリングでは、次のような機能および利点を提供する直観的なワークベンチを採用しています。
アプリケーション統制の変更をモニタリングおよびレポートできるようになりました。アプリケーション統制モニタリングでは、変更者、変更日時、設定データの現在値および以前の値などの関連情報も取得およびレポートできます。アプリケーション統制の詳細な変更履歴を表示することもできます。
ITマネージャは、アプリケーション、組織、データ範囲またはユーザーなどの異なる基準を使用して、アプリケーション統制内での変更を検索できます。この場合は、特定のエンティティまたは特定期間のみの変更がアプリケーション統制モニタリングによって表示されます。
また、検索基準を精密にして特定のレポート・グループ内の変更を検索することもできます。レポート・グループとは、設定パラメータのユーザー定義グループです。たとえば、「調達-支払」プロセスのオーナーが「調達-支払RG」というレポート・グループを設定し、この「調達-支払」プロセスに対して重要なすべての設定パラメータを追跡することができます。この場合、それらのパラメータは1つのグループとして継続的に追跡および分析されます。
同様に、日付範囲またはGL期間別に変更を検索することもできます。会計四半期や会計年度などの特定の期間内に行われたアプリケーション統制の変更を追跡できるため、非常に役に立ちます。米国のSOXルールは、レポート期間内に行われた内部統制の重要な変更を開示することを企業に義務づけています。
最後に、アプリケーションの設定に不正の疑いがある場合、または誤った変更が行われた場合、アプリケーション統制モニタリングではITマネージャが特定のユーザーによって行われたすべての変更を識別することもできます。アプリケーション統制のすべての変更で、変更を実行したユーザーと変更が行われた日時が識別されることに注意してください。
ITマネージャはアプリケーション統制モニタリングにより、複数のアプリケーション・インスタンスにわたってアプリケーション統制の変更を継続的にモニタリングできます。このアプリケーションでは、インスタンス間だけでなくユーザー定義の基準(次の「推奨統制設定」を参照)に照らして統制を比較することもできるため、この機能は構成の問題のトラブルシューティングを行う場合に特に有用です。
アプリケーション統制モニタリングでは推奨値を設定できます。この内容は一般に、業界および会社の規模に基づく推奨統制設定値のリポジトリを備えた監査会社およびリスク管理会社から取得されます。
この場合は、設定データの実績値と推奨値の比較を表示およびレポートできます。この情報は、意図したとおりのアプリケーション統制が実施されていること、あるいはアプリケーション統制についてさらに調査が必要かどうかを示す証拠となります。
アプリケーション統制モニタリングは、Oracle E-Business Suite内のすべての主要財務モジュールの設定パラメータを備えているため、そのままでそれらのアプリケーション統制をモニタリングできます。
IT監査ドメインでは、IT監査を実施する場合のITマネージャおよび監査人の役割が認識されます。両者の役割はある程度重なっているため、ITマネージャが率直かつ効果的に作業を行えば、一般的なIT監査のコストが大幅に削減される可能性があります。
次の各項では、一般的なIT監査タスクの高水準な概要を示します。
会社のITシステムの複雑度と、事前のITシステムの理解度は、IT監査人が実行する必要がある作業の範囲に影響します。今日の企業ではコンピュータ・テクノロジが広く採用されているため、ITシステムの評価においてシステムの信頼度のアセスメントを行う必要があります。
前述のように、CobiTフレームワークではITリソースのアーキテクチャに対するプロセス基準が認識されます。このフレームワークでは、ビジネス・プロセスのコンテキスト内にあるほとんどのIT統制が参照されます。
ITプロジェクトの範囲によって、プロジェクトに含まれるエンティティおよびプロセスが決定され、したがって監査手順が実行されるコンテキストが定義されます。この範囲によってIT監査の実行の境界が定まります。この範囲が解決されると、監査人は監査プロジェクトを構成する監査手順を確定できます。
範囲設定タスクは、監査に含めるエンティティの選択を伴います。一般にこのエンティティには、会社、その会社内でのライン・オブ・ビジネス、そして選択した会社およびライン・オブ・ビジネスに属する組織からのプロセスが含まれます。
IT監査は一般にリスク統制フレームワークに基づきます。監査人は各ビジネス・プロセスに関連するリスクと、会社に対するその潜在的影響を識別します。リスクに関連する情報は一般に次のように分類されます。
ビジネス・リスク: 新しいハードウェアおよびソフトウェアの調達に関連する全体的なリスクなど
監査リスク: 不正な監査所見が作成されるリスク
セキュリティ・リスク: データ・アクセスおよび整合性に関連するリスク.
継続性リスク: システムの可用性、バックアップおよび正常なリカバリに関連するリスク
これらのリスクを軽減するために、統制が識別され、実装されます。監査手順によってIT統制がテストされ、会社のITシステムに関して信頼性の度合いが示されます。つまり、統制評価に基づいてリスクのアセスメントが行われます。
その後、それらのリスクおよび軽減統制のアセスメントに基づいてITプロセスが評価されます。CobiTフレームワークは、推奨される詳細な統制目的に照らしてITプロセスを検討できる監査ガイドラインを提供します。IT監査人は、財務監査における十分なデータ・テストへの関与も深めつつあります。
最後に、組織エンティティ内でのプロセスの評価に基づいて組織エンティティが評価され、ITシステムに関する所見が作成されます。
IT監査人は、リスク・ベースの監査を実施して、ITプロセスに対する統制の有効性をテストします。監査結果は、内部統制が意図したとおりに機能していることを監査人が立証するための根拠となります。IT監査はプロジェクトとして管理するのが最適です。IT監査プロジェクトはITシステムの監査割当ての集合であり、監査に関する情報の中央リポジトリとなります。
アプリケーション統制モニタリングは、社内におけるITプロセスの実際のフローまたは監査を追跡するためのツールではありません。IT監査プロジェクトの計画と実行は、Oracle Internal Controls Managerアプリケーションによって設定された環境内で行うのが最適です。Oracle Internal Controls Manager内でのIT監査実行のモデリングは、リスク・ベースのすべての監査の実行方法と同様です。
注意: Oracle Internal Controls Managerにおけるプロジェクト(ITまたは任意の監査プロジェクト)の設定、範囲設定および実行の詳細は、「監査関与」を参照してください。
アプリケーション統制モニタリングは、このより広いコンテキスト内で、CobiTフレームワークの4つのドメインすべてでITプロセスのリスクに対応できます。アプリケーション統制管理機能では、アプリケーション・ソフトウェアの変更を管理し、システムのセキュリティを確保し、構成を管理することで、このプロセス・リスクを直接軽減できます。
ITマネージャは設定変更に関する統制の実装にアプリケーション統制モニタリングを使用でき、IT監査人はITリスクのアセスメントにこのモジュールを使用できます。