リスクと手続きの定義

運用リスクは手続きによって軽減されることを実証し、確実にします。リスク、統制の順に定義するか、統制、リスクの順に定義することができます。

メモ

作業計画ワークフローを使って、リスクと手続きを定義できます。このワークフローは、保証チームが実行する一連の手順や手続き、およびそれらの手順の結果のドキュメントから構成されています。

より複雑な種類のプロジェクトを実行する場合は、 内部統制ワークフローを使ってリスクと統制を定義します。

リスクと手続きとは

リスクとは、目標に関する不確実性の影響であり、その影響には、期待値からの正または負の偏差があります。

手続きとは、リスクを管理するため、また、設定した目標が達成される可能性を増大させるために実行する一連のアクションのことです。

「リスク」や「手続き」を表す用語は、組織の構成によって変更できます。たとえば、リスクを要件と呼んだり、手続きを統制と呼んだり、といった具合です。

作業を開始する前に

リスクと手続きを定義するには、次のことを行っておく必要があります。

  1. プロジェクトまたはフレームワークを作成する
  2. 目標を定義する
メモ

組織のプロジェクトまたはフレームワークの構成に応じて、「目標」を「セクション」、「プロセス」、「サイクル」、「機能分野」、「アプリケーション システム」、または別のカスタマイズされた用語で言い表すこともできます。

機能の仕組み

リスクを手続きと関連付けるとは、リスクの軽減方法に関する対策や一連の行動を指定することです。特定されたリスクとそれらに対応する手続きの組み合わせは、プロジェクト計画と呼ばれます。

リスクは多くの手続きと関連付けることができ、また手続きは多くのリスクと関連付けることができます。定義する各手続きでは、テストが自動的に作成されます。

手続きとテスト間の複雑な関係の定義

プロジェクト計画は、各手続きとそれに関連するテストの間に 1 対 1 の関係を作ります。手続きとテストの間にもっと複雑な関係を定義する必要がある場合は、以下の 2 つのオプションがあります。

関連 説明 この実行方法は?
一対多

1 回のテストと多数回のテストの結果間にある関係

複数の項目に対してテストを適用し(例:企業向けアプリケーション システム)、同じテストのすべての項目からのテスト結果を記録します。

多対一

1 回のテスト結果と多数回のテスト間にある関係

1 回目のテストでテスト結果を実行、記録し、他のテストからのテスト結果と結び付けます。

メモ

ブラウザーのアドレス バーから URL をコピーし、結果を適用する他のテストの[手続きの結果]フィールドにこれを貼り付けることができます。

制限

各目標には最大 1000 のリスクと 1000 の手続きを含めることができます。

リスクと手続きの定義

シナリオ

あなたは、FCPA コンプライアンス調査プロジェクト全体を所有する管理職です。特定された手続きのギャップの 1 つは、不適切な会社の経費に関係しており、HR が所有するものです。取締役会は、改善の所有者を知りたいと考えています。

プロセス

以下の表は、組織のプロジェクト計画の一部として定義したリスクと手続きを説明したものです。手続きのギャップ(T&E-01)を徹底して追及するために、適切な HR スタッフを手続きの所有者として割り当てます。

リスク 関連する手続き
T&E-A: 会社の経費の不正利用を部下を使って隠し続けています。 T&E-01: 従業員の役職を含め、法人クレジット カードを持つ従業員一覧を入手します。一覧をスキャンして、通常は法人カードが発行されない従業員を特定します。事務員や運営管理のスタッフがその一例です。
T&E-B: 従業員は、外国の役人の支払いを行い、その経費を彼らの旅費払い戻し申請を使って隠蔽しています。
  • T&E-02: 政府/第三者代理人と交流する従業員を含む対象組織を決定します。また、政府の顧客に責任を負う営業担当者は誰かを決定します。
  • T&E-03: 金額を含むすべての出張費と接待費従業員報告書の一覧と、調査で処理された、Analytics 腐敗防止キーワード検索を通して実行されたコード化された GL 勘定を入手します。
  • T&E-04: 出席者またはその他として経費報告書に記載されているすべての名前を、Analytics を使用した制限一覧で調べる必要があります。すべての例外は調査すべきです。
  • T&E-05: 経費の種類のしきい値を通してすべての経費報告書を実行します。サンプルを選び、妥当性をテストします。

結果

  • HR スタッフは、電子メール通知を受信し、手続きの定義の更新を支援することができます。
  • T&E-01 の改善を所有する取締役会に報告することができます。

アクセス許可

Professional 部門長と Professional ユーザーは、リスクと手続きを定義、および関連付けることができます。

リスクと手続きを定義する

メモ

  • インターフェイス用語はカスタマイズ可能であり、フィールドとタブも設定可能です。ご利用の Diligent One インスタンスでは、一部の用語、フィールド、およびタブが異なる可能性があります。
  • 必須フィールドが空白のままの場合、「このフィールドは必須です」という警告メッセージが表示されます。一部のカスタムフィールドにはデフォルト値が設定されている場合があります。
  1. 次のいずれかを実行します。
    • プロジェクトでリスクと手続きを定義するには:
      1. Launchpad ホームページ(www.highbond.com)から、プロジェクト アプリを選択して開きます。

        すでに Diligent One を使用している場合は、左側のナビゲーション メニューを使用してプロジェクト アプリに切り替えることができます。

      2. プロジェクトを開き、[実地調査]タブをクリックします。
    • フレームワークでリスクと手続きを定義するには:
      1. フレームワークを開きます
      2. フレームワークを開き、[セクション]タブをクリックします。
  2. 該当する目標を探し、[開く]をクリックし、[プロジェクト計画]を選択します。
  3. 次のいずれかを実行します。
    • リスクを定義するには、[リスクの追加]をクリックし、必要な情報を入力して、[保存]をクリックします。
    • 手続きを定義するには、[表示方法]ラベルの横にある[手続き]、[手続きの追加]の順にクリックし、必要な情報を入力して、[保存]をクリックします。
  4. リスクと手続きを関連付けるには、次のことを実行します。
    1. 1 つ以上のリスクと 1 つの手続きを作成したことを確認します。
    2. リスクまたは手続きの横で、[リスクの関連付け]または[手続きの関連付け]をクリックし、該当する関連付けを定義し、[保存]をクリックします。

リスク フィールド

メモ

リッチ テキスト フィールドは 524,288 文字を超えることはできません。

ヒント

リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

  • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
  • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする
フィールド 説明

タイトル

省略可能

リスクにわかりやすいタイトル

255 文字を上限とします。

説明

リスクに関する記述

リスク ID

省略可能

リスクを識別する番号

255 文字を上限とします。

影響度

省略可能

リスクが発生した際の結果の評価

発生可能性

省略可能

リスクが発生する確率の評価

カスタム リスク スコアリング係数

省略可能

リスクに関連付けられたカスタムのリスク スコアリング係数を指定します

プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] でリスクのカスタムの属性を定義できます。

ヒント

影響度、発生可能性、およびカスタム リスク スコアリング係数のリスク評価を自動化できます。詳細については、「運用リスク評価の自動化」を参照してください。

属性

省略可能

リスクに関連付けられた属性を指定します

プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] でリスクのカスタムの属性を定義できます。

補強証拠

省略可能

リザルト データをプロジェクト内のご利用のドキュメントにリンクさせ、改善が完了したときに容易に承認し、評価を通知することができます。

メモ

組織でリザルトを使用している場合にのみこのオプションを利用できます。

このリスクに関連付けられた手続き

省略可能

手続きをリスクに関連付けることができます

エンティティ対象範囲

省略可能

レポート目的で、リスクを 1 つまたは複数のエンティティにタグ付けすることができます

メモ

Professional 部門長および Professional ユーザーのみが、[コンテンツの表示]をクリック、および手続きに関連付けするために各エンティティを選択して、手続きをエンティティとタグ付けできます。変更は自動的に保存されます。

履歴

このリスクに実施されたフィールドレベルの全変更履歴を表示します。

手続きフィールド

メモ

リッチ テキスト フィールドは 524,288 文字を超えることはできません。

ヒント

リッチ テキスト フィールドでスペル チェックを有効にするには、次のいずれかを実行します。

  • Chrome、Firefox、または Safari Windows のフィールド内で "CTRL + 右クリック" または Mac で "コマンド + 右クリック"
  • Internet Explorer または Microsoft Edge ブラウザの設定を開き、"スペル チェック/スペルの誤った単語の強調表示" をオンにする
フィールド 説明

タイトル

省略可能

手続きにわかりやすいタイトル

255 文字を上限とします。

説明

手続きに関する記述

手続き参照番号

手続きを識別する番号

255 文字を上限とします。

メモ

番号は目標の接頭辞の最後に追加されます。

所有者

省略可能

追跡およびレポート目的で、手続きの所有者として、ライセンスされた、またはライセンスされていないユーザー ユーザーを割り当てることができます

Contributor テスト担当者または Contributor ユーザー ロールが割り当てられたユーザーは、一般的に手続きの所有者として割り当てられます。

地域、事業単位、またはプロジェクトに関係するフレームワークに基づいて、所有者を割り当てることができます。ユーザーが手続きの所有者として割り当てられると、手続きへのリンクが記載された電子メール通知を受信し、割り当てられた手続きへの書き込みアクセス権と、目標とリスクへの読み取りアクセス権が付与されます。プロジェクトから送信される電子メール通知により、Diligent One ユーザーは評価アプリにリダイレクトされます。評価内の各カードには、プロジェクトに戻るためのリンクがあります。Diligent One に登録されていないユーザーは、公開 URL を受け取ります。

メモ

手続きを一括アップロードして、所有者フィールドに人物を指定した場合は、これらの名前はプロジェクトに表示されますが、手続きの割り当てや電子メールでの通知は自動的に行われません。

カスタム手続き属性

省略可能

手続きに関連付けられた属性を指定します

プロジェクト管理者およびプロジェクトの種類管理者は、[プロジェクトの種類の管理] で手続きのカスタム属性を定義できます。

関連する監査要点

省略可能

1 つまたは複数の関連する監査要点に手続きをタグ付けできます

COSO 原則

省略可能

1 つまたは複数の COSO 原則に手続きをタグ付けできます

メモ

プロジェクトアプリでは、17 個の COSO 原則が含まれる 2013 COSO フレームワークがサポートされています。

この手続きに関連付けられたリスク

省略可能

リスクを手続きに関連付けることができます

手続きの重要度

省略可能

手続きによるリスク軽減率(%)を表します

手続きの重要度のデフォルトの設定は 100% です。手続きの重要度には 0% から 100% までの値を入力できます。手続きの重要度の合計には上限はありません。

詳細については、「保証コンポーネント」を参照してください。

エンティティ対象範囲

省略可能

レポート目的で、手続きを 1 つまたは複数のエンティティにタグ付けすることができます

メモ

Professional 部門長および Professional ユーザーのみが、[コンテンツの表示]をクリック、および手続きに関連付けするために各エンティティを選択して、手続きをエンティティとタグ付けできます。変更は自動的に保存されます。

履歴

この手続きに実施されたフィールドレベルの全変更履歴を表示します。