手続きの実行および統制のテスト

手続きを実行したり (作業計画ワークフロー)、ウォークスルーとテストを実行したり (内部統制ワークフロー) して、統制が有効に設計、運用されているかどうかを判断します。

メモ

  • インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。ご利用の Diligent One インスタンスでは、一部の用語、フィールド、およびタブが異なる可能性があります。
  • 必須フィールドが空白のままの場合、「このフィールドは必須です」という警告メッセージが表示されます。一部のカスタムフィールドにはデフォルト値が設定されている場合があります。

機能の仕組み

実行した手続きの結果を記録し、ウォークスルーを実行して統制の設計を評価し、またテストを実行して統制の有効性を評価できます。テスト計画を更新し、テスト方法や入手した証拠の種類の特定、合計サンプル サイズの指定(テスト ラウンドでの分割)、またはテストのステップや属性の記録を行うこともできます。

統制がフレームワークで作成され、プロジェクトにインポートされた場合は、プロジェクトでこれを編集し、フレームワークに同期してアクセスしたユーザーは、フレームワーク、およびこれを使用するプロジェクトに戻ってこれらの変更を同期化できます。

テスト ラウンドを何回実行する必要があるかの指定

内部統制ワークフローに関連するプロジェクトを作成またはロールフォワードするときは、統制の効果をテストする必要があるテストラウンド数を構成できます:

メモ

最初にプロジェクトを作成またはロールフォワードするときは、選択するテストラウンド数は固定されます。プロジェクトを保存した後はテストラウンド数を変更できません。

実地調査]タブの下にある、テストラウンドのタブは、[テスト計画]タブの右側にあります。使用可能なタブの名前は、プロジェクトのテスト ラウンド数によって決まります。

テスト ラウンド タブ ラベル
単一 テスト
2 暫定、最終
4 Q1、Q2、Q3、Q4

テスト計画におけるサンプル サイズのロジック

サンプル サイズは、テスト計画が初めて作成されるときに設定されます。これは、統制を定義する際に行われます。以下の表は、頻度種類の 2 つの統制属性フィールドに基づき、サンプル サイズ フィールドを自動的に設定するために使用されるロジックを説明したものです。統制を定義する際に両方のフィールドに値を指定できます。

メモ

テスト計画でサンプル サイズを手動で更新し、統制の頻度種類の値を続けて更新した場合は、テスト計画のサンプル サイズは上書きされません。

もし次の そして、

種類 = アプリケーション/システムによる統制

最大サンプル サイズが 1 に設定されます

種類 <> アプリケーション/システムによる統制

AND

頻度は右に一覧表示されます

サンプル サイズは対応する値に設定されます。

  • 継続 1
  • 毎週 6
  • 隔週 3
  • 毎月 2
  • 四半期ごと 1
  • 半年ごと 1
  • 毎年 1

上記のいずれの条件も満たされていません

最大サンプル サイズ(プロジェクト レベルで定義)([設定])が使用されます

メモ

統制をフレームワークからプロジェクトに、または別のフレームワークにインポートする場合は、最大のサンプル サイズはフレームワークのレベルで定義されます (テスト計画 > 合計サンプル サイズ)。

保証

手続きを実行したり、ウォークスルーおよびテストを実行したりする場合、プロジェクトアプリはテスト結果と問題を自動的に集約し、リアルタイムに保証を計算します。統制が合格すると保証が高くなり、保証が不合格になると保証が低くなります。

詳細については、リスク保証の使用開始方法を参照してください。

メモ

このパネルの例はつながっています。最初のタブはシナリオの開始を表します。

シナリオ

あなたは、IT 一般統制レビュー(IA の文脈)プロジェクト全体を所有する監査部門長です。以前に、プロジェクト テンプレートからプロジェクトを作成しました。ここで、物理的セキュリティ目標で統制の 1 つをテストし、統制の整備状況を評価する必要があります。

プロセス

ウォークスルーを実行し、ウォークスルーの合格を決定します。

結果

次のようにウォークスルーを文書化します。

  • ウォークスルーの結果 2018 年 5 月 24 日に、ポリシーが存在し、従業員に伝えられていることを突き止めるよう Mark Manning(部門長)に尋ねました。問い合わせどおり、ポリシー文書は従業員に配布されており、定期的な物理的セキュリティ トレーニング セッションが半年に 1 度行われ、従業員が責任を認識していることを確かめます。
  • 統制は適切に整備されていますか? 適切に設計されている

シナリオ

ここでウォークスルーを実行したため、リスクの軽減のために統制がどのように整備されているかをよく理解できるようになります。

プロセス

統制の有効性のテストを始める前に、統制を どのようにテストするのかを特定するテスト計画を準備する必要があります。テスト方法、合計サンプル サイズ(テスト ラウンド間の分割)、および統制のテストを実行するために必要なテスト手順を定義します。

結果

次のようにテスト計画を文書化します。

  • テスト方法 検査
  • 合計サンプル サイズ 1

  • テスト手順/テスト属性

    1. 組織の物理的セキュリティ ポリシー ドキュメントのコピーを入手します。
    2. 次のことについてドキュメントを評価します。
      1. 組織の計画と手続きの重要な部分の対象範囲
      2. インシデントのドキュメント

シナリオ

テスト方法、およびテスト計画の手順を記録したため、統制をテストする方法が分かっています。

プロセス

統制の運用有効性を評価するテストを実行し、テストの合格を判断します。

結果

次のようにテストを文書化します。

  • このテスト ラウンドの一環としてこの統制をテストしますか? はい
  • 指定ユーザー あなたの名前
  • テスト結果正式に記録され、通知された物理的セキュリティ ポリシーと、統制の構成が設定されています。
  • この統制は有効に運用されましたか? 運用状況は有効

アクセス許可

Professional 部門長とProfessional ユーザーのみが、手続きの実行、ウォークスルーの実行、およびテスト計画の更新ができます。Contributor テスト担当者は、統制所有者として割り当てられている場合には、統制、ウォークスルー、テストに対する読み取り/書き込み権限を持ちます。Contributor テスト担当者がテストのみを処理するようにしたい場合は、プロジェクトアプリケーションの[設定]で [Contributor テスト担当者がウォークスルーを管理できるようにする]トグルを必ずオフにします。トグルの詳細については、プロジェクト アプリの設定を参照してください。

テスト計画がフレームワークに作成され、プロジェクトにインポートされ、そこで修正された場合は、プロジェクト管理者、プロジェクト作成者、およびフレームワーク内の Professional 部門長または Professional ユーザーロールが割り当てられたユーザーは、他のプロジェクトへの配布のために、これらの変更をフレームワークに戻して同期化できます。

統制 X-Ray または手続き X-Ray で、統制や手続きに関するコンテキストを得る

チームが日常のテストを行う場合に、背景の知識があまりないまま手続きを実行したり、統制をテストしたりする必要があるかもしれません。前のテスト結果や主要な属性などの情報は、作業中の事柄についてより完全に理解できるよう助けます。

次の文脈情報が利用できます:

  • 手続きや統制へのリンク
  • ソースのフレームワークへのリンク (該当する場合)
  • その属性
  • 前のテスト結果およびサンプルサイズ
  • 関連するリスク(この統制や手続きに関連するものがある場合)
  • 以前の問題がある場合に、問題が公開されなかった、または関連する手続きや統制のページで作成されなかった場合は、表示されません
  • 関連する説明文(この統制や手続きにリンクされているものがある場合)
  • 関連するコンプライアンス マップ(この手続きまたは統制が要件にマッピングされている場合)
  • IT リスクマネジメント (旧称 ITRMBond) をサブスクライブしている場合は、関連する資産は、プロジェクトでリスクカテゴリに関連する資産を持っており、そのリスクカテゴリに関連する統制を表示します

プロジェクトの統制と結果を表示し、移動します

プロジェクトの統制タブにおいて、自分に割り当てられた統制の概要、あるいは自分に割り当てられた統制テストまたは目標に関連する統制の概要を見ることができます。これらの統制に関連する手続きやウォークスルーおよびテスト計画に移動し、これらの結果を一目で確認できます。

プロジェクトの種類の設定で統制タブを表示したり非表示にしたりできます。詳細については、[リスクと統制]タブを参照してください。

統制タブは2つの部分から構成されています:

  • 円グラフ 統制に関連する、手続きやウォークスルーおよびテスト計画の内訳を表示します。
  • 統制テーブル 統制を含む、統制に関連する結果を表示するカスタマイズ可能なテーブル。統制または結果にテーブルから直接移動できます。

    メモ

    アーカイブされたプロジェクトでは、統制はテーブルに表示されません。

手続きの実行

作業計画ワークフローのあるプロジェクトで、実行された手続きの結果を記録できます。

  1. プロジェクトアプリを開きます

    プロジェクトホームページが開きます。

  2. プロジェクトを開きます。プロジェクトダッシュボードが開きます。
  3. 実地調査]タブをクリックします。
  4. 処理したい目標の横にある[開く]をクリックし、[手続きの実行]を選択します。
  5. 該当する手続きの横の[表示/編集]をクリックします。
  6. この手続きについてより多くのコンテキストを得るには、[手続き X-Ray]をクリックします。
  7. 関連情報を入力し、[保存]をクリックします:
    フィールド説明

    予定マイルストーン日

    省略可能

    手続きの実行に関連付けられた予定マイルストーン日を指定します

    プロジェクト管理者とプロジェクトの種類管理者は、[プロジェクトの種類の管理]でこのフィールドを有効にしてカスタマイズできます(プロジェクト アプリの設定を参照)。

    実際のマイルストーン日

    省略可能

    手続きの実行に関連付けられた実際のマイルストーン日を指定します

    プロジェクト管理者とプロジェクトの種類管理者は、[プロジェクトの種類の管理]でこのフィールドを有効にしてカスタマイズできます(プロジェクト アプリの設定を参照)。

    属性

    省略可能

    手続きの実行に関連付けられた属性を指定します

    プロジェクト管理者とプロジェクトの種類管理者は、[プロジェクトの種類の管理]でこのフィールドを有効にしてカスタマイズできます(プロジェクト アプリの設定を参照)。

    手続きの結果

    省略可能

    手続きの結果に関する説明

    メモ

    リッチ テキスト フィールドは 524,288 文字を超えることはできません。

    ヒント

    リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

    • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
    • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする

    この手続きを完了したときに問題が特定されましたか?

    省略可能

    • 問題検出は手続きが失敗したことを示します
    • 問題なし 手続きが合格したことを示します

    問題]パネルを使い、問題を記録します。

    ヒント

    リザルトのメトリクスに基づき、このフィールドの値を自動的に入力できます。詳細については、統制評価の自動化を参照してください。

  8. 省略可能。[サポートファイル]で、必要なファイルをアップロードします。詳細については、添付ファイルの操作を参照してください。

    メモ

    セキュリティ上の理由から、Diligent One では、.bat.com.dmg.exe、または.src の拡張子の添付ファイルは受け付けません。

  9. 省略可能。手続きに証拠をリンクします。詳細については、リザルトからの証拠のリンクを参照してください。

ウォークスルーの実施

内部統制ワークフローのあるプロジェクトでは、統制の設計を評価できます。

  1. プロジェクトアプリを開きます

    プロジェクトホームページが開きます。

  2. プロジェクトを開きます。プロジェクトダッシュボードが開きます。
  1. 実地調査]タブをクリックします。
  2. 目的のプロセスの横にある[開く]をクリックし、[ウォークスルー]を選択します。
  3. 該当するウォークスルーの横の[表示/編集]をクリックします。
  4. この統制に関するより多くのコンテキストを得るには、[統制 X-Ray]をクリックします。

  5. 関連する情報を入力し、[保存]をクリックします。

    フィールド 説明

    予定マイルストーン日

    省略可能

    ウォークスルーに関連付けられた予定マイルストーン日を指定します。

    プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] から、このフィールドを有効にし、カスタマイズすることができます。

    実際のマイルストーン日

    省略可能

    ウォークスルーに関連付けられた実際のマイルストーン日を指定します。

    プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] から、このフィールドを有効にし、カスタマイズすることができます。

    属性

    省略可能

    ウォークスルーに関連付けられた属性を指定します。

    プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類を管理]でウォークスルーのカスタム属性を定義できます。

    ウォークスルーの結果

    省略可能

    ウォークスルーの結果に関する説明

    メモ

    リッチ テキスト フィールドは 524,288 文字を超えることはできません。

    ヒント

    リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

    • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
    • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする

    統制は適切に整備されていますか?

    省略可能

    組織が設定した最大 10 個の選択肢の中から 1 つを選択します。各オプションは合格または不合格の状態に対応します。例:

    • 適切に設計されている 設計された統制が合格したことを示します
    • 設計の失敗 統制の設計が失敗したことを示します

    問題]パネルを使用して、問題を記録することができます。

    ヒント

    リザルトのメトリクスに基づき、このフィールドの値を自動的に入力できます。詳細については、統制評価の自動化を参照してください。
  6. 省略可能。[サポートファイル]で、必要なファイルをアップロードします。詳細については、添付ファイルの操作を参照してください。

    メモ

    セキュリティ上の理由から、Diligent One では、.bat.com.dmg.exe、または.src の拡張子の添付ファイルは受け付けません。

  7. 省略可能。ウォークスルーに証拠をリンクします。詳細については、リザルトからの証拠のリンクを参照してください。

テスト計画の更新

内部統制ワークフローのあるプロジェクトでは、テスト方法や入手した証拠の種類の特定、合計サンプル サイズの指定(テスト ラウンドでの分割)、またはテストのステップや属性の記録を行うことができます。

テスト計画がフレームワークで作成され、プロジェクトにインポートされた場合は、プロジェクトでこれを編集し、フレームワークに同期してアクセスしたユーザーは、フレームワーク、およびこれを使用するプロジェクトに戻ってこれらの変更を同期化できます。

  1. プロジェクトアプリを開きます

    プロジェクトホームページが開きます。

  2. プロジェクトを開きます。プロジェクトダッシュボードが開きます。
  3. 実地調査]タブをクリックするかフレームワーク内をクリックして、[セクション]タブをクリックします。
  4. 目的のプロセスの横にある[開く]をクリックし、[テスト計画]を選択します。
  5. 該当するテスト計画の横で[計画の編集]をクリックします。
  6. この統制に関するより多くのコンテキストを得るには、[統制 X-Ray]をクリックします。
  7. 関連情報を入力し、[保存]をクリックします。
    フィールド説明

    テスト方法

    オプション

    エビデンスの入手方法を指定します。

    合計サンプルサイズ

    オプション

    合計サンプルサイズ (テストラウンド間で分割) を定義する数値を指定します。詳細については、テスト計画におけるサンプル サイズのロジックを参照してください。

    テスト手順/テスト属性

    。省略可能

    テスト計画に関連付けられているステップまたは属性を指定します。

    メモ

    リッチ テキスト フィールドは 524,288 文字を超えることはできません。

    ヒント

    リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

    • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
    • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする

テストの実行

内部統制ワークフローのあるプロジェクトでは、統制の運用効率を評価できます。

  1. プロジェクトアプリを開きます

    プロジェクトホームページが開きます。

  2. プロジェクトを開きます。

    プロジェクトダッシュボードが開きます。

  3. 実地調査]タブをクリックします。
  4. 目的のプロセスの横にある[移動]をクリックし、目的のテストオプションとして[暫定テスト]または[最終テスト]のいずれかを選択します。
  5. 実行したいテストラウンドのタブが選択されていることを確認します。
  6. 適切なテストの横にある[テストの更新]をクリックします。
  7. この統制に関するより多くのコンテキストを得るには、[統制 X-Ray]をクリックします。
  8. 関連情報を入力し、[保存]をクリックします。
    フィールド説明

    このキー統制をこのテスト ラウンドの一環としてテストしていますか?

    • はい テスト結果がテストラウンドに適用可能であることを示します
    • いいえ テスト結果がテストラウンドに適用可能でないことを示します

    割り当て済みユーザー

    省略可能

    統制をテストする責任を負うチーム メンバーを特定します

    割り当ての更新]をクリックすると、特定のチーム メンバーに電子メールの通知が送信されます。

    メモ

    Professional 部門長、Professional ユーザー、および Contributor テスト担当者のみが統制テストの割り当てができ、また Professional 部門長、 Professional ユーザー、および Contribuor テスト担当者のみがこのフィールドから選択できます。

    予定マイルストーン日

    (省略可能)

    テストに関連付けられた予定マイルストーン日を指定します(プロジェクトの種類で構成されている場合)

    プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理]からこのフィールドを有効にし、カスタマイズできます。

    実際のマイルストーン日

    (省略可能)

    テストに関連付けられた実際のマイルストーン日を指定します(プロジェクトの種類で構成されている場合)

    プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理]からこのフィールドを有効にし、カスタマイズできます。

    属性

    (省略可能)

    テストに関連付けられた属性を指定します(プロジェクトの種類で構成されている場合)

    プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類を管理]の下でテストのカスタム属性を定義できます。

    テストのサンプル サイズはいくつですか?すべてのテストラウンドの合計サンプル サイズは 0 です。テストラウンドで分割された合計サンプル サイズを追加します。

    テスト結果

    省略可能

    テスト結果に関する詳細を指定します

    メモ

    リッチ テキスト フィールドは 524,288 文字を超えることはできません。

    ヒント

    リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

    • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
    • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする

    この統制は有効に運用されましたか?

    テストの結論

    (省略可能)

    値を選択してください。

    問題]パネルを使用して、問題を記録することができます。

    ヒント

    リザルトのメトリクスに基づき、このフィールドの値を自動的に入力できます。詳細については、統制評価の自動化を参照してください。

  9. 省略可能。[サポートファイル]で、必要なファイルをアップロードします。詳細については、添付ファイルの操作を参照してください。

    メモ

    セキュリティ上の理由から、Diligent One では、.bat.com.dmg.exe、または.src の拡張子の添付ファイルは受け付けません。

  10. 省略可能。証拠をテストにリンクします。詳細については、リザルトからの証拠のリンクを参照してください。