リスクと統制の定義

運用リスクは統制によって軽減されることを実証し、確実にします。リスク、統制の順に定義するか、統制、リスクの順に定義することができます。

メモ

内部統制ワークフローには、リスクと統制を定義できます。内部統制ワークフローを使用する、より複雑なプロジェクトの種類は、説明文を定義したり、統制の設計を検証するためにウォークスルーを実行したり、また、統制の運用の有効性を検証するためにテストを実行したりするものです。

手続きを含むシンプルなプロジェクトを実行したい場合は、作業計画ワークフローリスクと手続きを定義します。

リスクと統制とは

リスクとは、目標に関する不確実性の影響であり、その影響には、期待値からの正または負の偏差があります。

統制とは、リスクを管理するため、また、設定した目標が達成される可能性を増大させるために実行する一連のアクションのことです。

「リスク」や「統制」を表す用語は、組織の構成によって変更できます。たとえば、リスクを要件と呼んだり、統制を手続きと呼んだり、といった具合です。

作業を開始する前に

リスクと統制を定義するには、次のことを行っておく必要があります。

  1. プロジェクトまたはフレームワークを作成する
  2. 目標を定義する
メモ

組織のプロジェクトまたはフレームワークの構成に応じて、「目標」を「セクション」、「プロセス」、「サイクル」、「機能分野」、「アプリケーション システム」、または別のカスタマイズされた用語で言い表すこともできます。

機能の仕組み

リスクを統制と関連付けるとは、リスクの軽減方法に関する対策や一連の行動を指定することです。特定されたリスクとそれに対応する統制の組み合わせは、リスク コントロール マトリクスと呼ばれます。

1 つのリスクを多数の統制と関連付けることができると同時に、1 つの統制を多数のリスクと関連付けることができます。

定義したすべての統制には、その統制の整備状況が適切であるかどうかを検証するための、対応するウォークスルーが設定されます。プロジェクトを作成またはロールフォワードするときは、統制が有効に運用されているかどうかを検証するために、1 回、2 回、または 4 回のテストラウンドを持つよう選択することができます。

統制とテスト間の複雑な関係の定義

リスク コントロール マトリクスは、各統制とそれに関連するテストの間に 1 対 1 の関係を作ります。統制とテストの間にもっと複雑な関係を定義する必要がある場合は、以下の 2 つのオプションがあります。

関連 説明 この実行方法は?
一対多

1 回のテストと多数回のテストの結果間にある関係

複数の項目に対してテストを適用し(例:企業向けアプリケーション システム)、同じテストのすべての項目からのテスト結果を記録します。

多対一

1 回のテスト結果と多数回のテスト間にある関係

1 回目のテストでテスト結果を実行、記録し、他のテストからのテスト結果と結び付けます。

メモ

ブラウザーのアドレス バーから URL をコピーし、結果を適用する他のテストの[テスト結果]フィールドにこれを貼り付けることができます。

制限

各目標には最大 1000 のリスクと 1000 の統制を含めることができます。

リスクと統制の定義

シナリオ

あなたは、IT 一般統制レビュー プロジェクト全体を所有する CFO です。特定された統制のギャップの 1 つはネットワーク セキュリティに関連しており、IT 部門がこの件を所有しています。取締役会は、改善の所有者を知りたいと考えています。

プロセス

以下の表は、組織のリスク コントロール マトリクスの一部として定義したリスクと統制を説明したものです。統制のギャップ(NS-002)を徹底して追及するために、適切な IT スタッフを統制の所有者として割り当てます。

リスク 関連する統制
NS-A: ネットワークを検出し、未承認の脆弱性評価ツールからネットワーク守るテクノロジーを実装していません。
  • NS-001: 実稼働ネットワークは、機密性の高いシステムを行き来する非認証、そうでない場合は未承認のトラフィックを防ぐために設計されます。
  • NS-002: 特別に要求または承認されていないインターネット トラフィックを防ぐために構成されたファイアウォールが実装されます。
NS-B: ネットワーク セキュリティ デバイスの構成に対し、不適切またはリスクのある変更が行われます。
  • NS-003: 該当するネットワーク管理担当者のみが、ネットワーク ファイアウォール デバイスの構成に変更を加えるアクセス権があります。
NS-C: ネットワークまたはシステム セキュリティの脆弱性は、監査プロセスが実装されていないため、検出されないまま存在しています。
  • NS-004: 月に 1 度の脆弱性スキャンは、外装 IP アドレスとアプリケーションに対して実施され、潜在的な脆弱性を検出します。検出された脆弱性はすべて徹底的に追及され、適時解決されます。
NS-D: システムとネットワーク デバイスは、古くなった潜在的に脆弱性のある、システム ソフトウェアを利用します。
  • NS-005: 実証される手続きが実装され、月に 1 度、システム ソフトウェアのパッチ、およびサーバー システムとネットワーク デバイスへのアップグレードを探して適用するよう従います。
NS-E: ネットワークを行き来して転送されるデータは、未承認の個人によって妨害されます。
  • NS-006: ネットワークまたは外装アプリケーションを行き来する機密性の高い情報の伝送は、適切に暗号化された接続上で強制的に行われます。

結果

  • IT スタッフは、電子メール通知を受信し、統制の定義の更新を支援することができます。
  • NS-002 の改善を所有する取締役会にレポートすることができます。

アクセス許可

Professional 部門長と Professional ユーザーは、リスクと統制を定義、および関連付けることができます。

リスクと統制を定義する

メモ

  • インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。ご利用の Diligent One インスタンスでは、一部の用語、フィールド、およびタブが異なる可能性があります。
  • 必須フィールドが空白のままの場合、「このフィールドは必須です」という警告メッセージが表示されます。一部のカスタムフィールドにはデフォルト値が設定されている場合があります。
  1. 次のいずれかを実行します。
    • プロジェクトでリスクと手続きを定義するには:
      1. Launchpad ホームページ(www.highbond.com)から、プロジェクト アプリを選択して開きます。

        すでに Diligent One を使用している場合は、左側のナビゲーション メニューを使用してプロジェクト アプリに切り替えることができます。

      2. プロジェクトを開き、[実地調査]タブをクリックします。
    • フレームワークでリスクと手続きを定義するには:
      1. フレームワークを開きます
      2. フレームワークを開き、[セクション]タブをクリックします。
  2. 該当する目標を探し、[開く]をクリックし、[リスク コントロール マトリクス]を選択します。
  3. 次のいずれかを実行します。
    • リスクを定義するには、[リスクの追加]をクリックし、必要な情報を入力して、[保存]をクリックします。
    • 統制を定義するには、[表示方法]ラベルの横にある[統制]、[統制の追加]の順にクリックし、必要な情報を入力して、[保存]をクリックします。
  4. リスクと統制を関連付けるには、次のことを実行します。
    1. 1 つ以上のリスクと 1 つの統制を作成したことを確認します。
    2. リスクまたは統制の横で、[リスクの関連付け]または[統制の関連付け]をクリックし、該当する関連付けを定義し、[保存]をクリックします。

リスク フィールド

メモ

リッチ テキスト フィールドは 524,288 文字を超えることはできません。

ヒント

リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

  • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
  • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする
フィールド 説明

タイトル

省略可能

リスクにわかりやすいタイトル

255 文字を上限とします。

説明

リスクに関する記述

リスク ID

省略可能

リスクを識別する番号

255 文字を上限とします。

影響度

省略可能

リスクが発生した際の結果の評価

発生可能性

省略可能

リスクが発生する確率の評価

カスタム リスク スコアリング係数

省略可能

リスクに関連付けられたカスタムのリスク スコアリング係数を指定します。

プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] でリスクのカスタムの属性を定義できます。

ヒント

影響度、発生可能性、およびカスタム リスク スコアリング係数のリスク評価を自動化できます。詳細については、「運用リスク評価の自動化」を参照してください。

カスタムリスク属性

省略可能

リスクに関連付けられた属性を指定します。

プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] でリスクのカスタムの属性を定義できます。

補強証拠

省略可能

リザルト データをプロジェクト内のご利用のドキュメントにリンクさせ、改善が完了したときに容易に承認し、評価を通知することができます。

メモ

組織でリザルトを使用している場合にのみこのオプションを利用できます。

このリスクに関連付けられた統制

省略可能

統制をリスクに関連付けることができます

エンティティ対象範囲

省略可能

レポート目的で、リスクを 1 つまたは複数のエンティティにタグ付けすることができます

メモ

Professional 部門長および Professional ユーザーのみが、[コンテンツの表示]をクリック、および統制に関連付けするために各エンティティを選択して、統制をエンティティとタグ付けできます。変更は自動的に保存されます。

履歴

このリスクに実施されたフィールドレベルの全変更履歴を表示します。

統制フィールド

メモ

リッチ テキスト フィールドは 524,288 文字を超えることはできません。

ヒント

リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

  • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
  • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする
フィールド 説明

タイトル

省略可能

統制にわかりやすいタイトル

255 文字を上限とします。

説明

統制に関する記述

統制 ID

統制を識別する番号

255 文字を上限とします。

メモ

番号は目標の接頭辞の最後に追加されます。

所有者

省略可能

追跡およびレポート目的で、統制の所有者として、ライセンスされた、またはライセンスされていないユーザー ユーザーを割り当てることができます

Contributor テスト担当者または Contributor ユーザー ロールが割り当てられたユーザーは、一般的に統制の所有者として割り当てられます。

地域、事業単位、またはプロジェクトに関係するフレームワークに基づいて、所有者を割り当てることができます。ユーザーが統制の所有者として割り当てられると、統制へのリンクが記載された電子メール通知を受信し、割り当てられた統制への書き込みアクセス権と、目標とリスクへの読み取りアクセス権が付与されます。

メモ

統制を一括アップロードして、所有者]フィールドに人物を指定した場合は、これらの名前はプロジェクトに表示されますが、統制の割り当てや電子メールでの通知は自動的に行われません。

頻度

テスト計画]タブのデフォルトのテスト方法とサンプル サイズを決定します

たとえば、プロジェクトのテスト計画は、指定した頻度(継続、毎週、毎月など)で、または必要に応じて、設定することができます。

詳細については、「手続きの実行および統制のテスト」を参照してください。

タイプ

テスト計画]タブのデフォルトのテスト方法とサンプル サイズを決定します

テスト計画の例には、手動による統制、 アプリケーション/システムによる統制、IT 全般統制、または IT に依存した手動による統制があります。

詳細については、「手続きの実行および統制のテスト」を参照してください。

防止または発見? 統制がリスクの防止、または発見を目的としているか、あるいは統制が該当しないかどうかを指定します

方法

省略可能

統制をいかにテストまたは実施するかを指定します

進捗状況

省略可能

統制の現在の状態を指定します

カスタム統制属性

省略可能

統制に関連付けられた属性を指定します

プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] で統制のカスタム属性を定義できます。

関連する監査要点

省略可能

1 つまたは複数の関連する監査要点に統制をタグ付けできます

COSO 原則

省略可能

1 つまたは複数の COSO 原則に統制をタグ付けできます

メモ

プロジェクトアプリでは、17 個の COSO 原則が含まれる 2013 COSO フレームワークがサポートされています。

この統制に関連付けられたリスク

省略可能

リスクを統制に関連付けることができます

統制の重み

省略可能

統制によるリスク軽減率(%)を表します

統制の重みのデフォルト設定は 100% です。統制の重みには 0% から 100% までの値を入力できます。統制の重みの合計には上限はありません。

詳細については、「保証コンポーネント」を参照してください。

エンティティ対象範囲

省略可能

レポート目的で、統制を 1 つまたは複数のエンティティにタグ付けすることができます

メモ

Professional 部門長および Professional ユーザーのみが、[コンテンツの表示]をクリック、および統制に関連付けするために各エンティティを選択して、統制をエンティティとタグ付けできます。変更は自動的に保存されます。

履歴

この統制に実施されたフィールドレベルの全変更履歴を表示します

複数のリスクと統制を追加

複数のリスクと統制を直ちに追加することの詳細については、それぞれリスクの一括インポート統制の一括インポートを参照してください。