JP2008090759A - 情報処理システムおよび情報処理プログラム - Google Patents
情報処理システムおよび情報処理プログラム Download PDFInfo
- Publication number
- JP2008090759A JP2008090759A JP2006273489A JP2006273489A JP2008090759A JP 2008090759 A JP2008090759 A JP 2008090759A JP 2006273489 A JP2006273489 A JP 2006273489A JP 2006273489 A JP2006273489 A JP 2006273489A JP 2008090759 A JP2008090759 A JP 2008090759A
- Authority
- JP
- Japan
- Prior art keywords
- information
- sampling
- target
- test
- storage means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
【課題】内部統制における運用評価にあたって、検査対象のサンプリングを行うようにした情報処理システムを提供する。
【解決手段】情報処理システムのコントロール記憶手段は想定されるリスクに対応するコントロールに関する情報を記憶し、知識情報記憶手段は証跡に関する知識情報を記憶すると、サンプリング対象定義手段は財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義し、テスト定義記憶手段は前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶し、テスト実行手段は前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行する。
【選択図】図1
【解決手段】情報処理システムのコントロール記憶手段は想定されるリスクに対応するコントロールに関する情報を記憶し、知識情報記憶手段は証跡に関する知識情報を記憶すると、サンプリング対象定義手段は財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義し、テスト定義記憶手段は前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶し、テスト実行手段は前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行する。
【選択図】図1
Description
本発明は、情報処理システムおよび情報処理プログラムに関する。
近年、財務内部統制が求められている。その財務内部統制とは、1992年にCOSO(トレッドウェイ委員会組織委員会)が発表した「内部統制−統合的枠組み」が、事実上の標準となっており、「(1)業務の有効性・効率性、(2)財務諸表の信頼性、(3)関連法規の遵守の3つの目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者およびその他の職員によって遂行される一つのプロセス」と定義されている。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化し、その文書を活用するための仕組みを構築することを人手により運用管理するには多大な労力がかかっていた。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化し、その文書を活用するための仕組みを構築することを人手により運用管理するには多大な労力がかかっていた。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
また、財務内部統制の有効性評価では、業務プロセスにおいて設計された統制が実際に有効に運用されているかどうかをテストによって確認する作業が必要である。
特に運用の評価(以下、運用評価または運用テストともいう。)では、業務プロセスに設定されたコントロールの有効性について、実際の運用における取引で発生する証跡を検査し、実際に設定したコントロール(統制)が有効に機能しているかどうかを確認するものである。
上記、証跡の検査では、全ての取引で発生した全ての証跡について検査する必要はなく、統計的に妥当な数の証跡をサンプリングして、そのサンプルに対して検査する。
また、コントロールによっては、関連する証跡が複数あり、その複数の証跡間でそれら証跡に含まれる項目の数値等を照合する検査も必要である。
このような検査では、ある証跡について、適切なサンプリングを実行したあと、個々のサンプルについて対応する照合先となる各証跡を取得し、検査する処理が必要である。
従来のサンプリングでは、検査対象の証跡を手動でサンプリングしていた。さらに、照合が必要であれば、各サンプル毎に照合先の証跡を手動で検索、取得していた。
特に運用の評価(以下、運用評価または運用テストともいう。)では、業務プロセスに設定されたコントロールの有効性について、実際の運用における取引で発生する証跡を検査し、実際に設定したコントロール(統制)が有効に機能しているかどうかを確認するものである。
上記、証跡の検査では、全ての取引で発生した全ての証跡について検査する必要はなく、統計的に妥当な数の証跡をサンプリングして、そのサンプルに対して検査する。
また、コントロールによっては、関連する証跡が複数あり、その複数の証跡間でそれら証跡に含まれる項目の数値等を照合する検査も必要である。
このような検査では、ある証跡について、適切なサンプリングを実行したあと、個々のサンプルについて対応する照合先となる各証跡を取得し、検査する処理が必要である。
従来のサンプリングでは、検査対象の証跡を手動でサンプリングしていた。さらに、照合が必要であれば、各サンプル毎に照合先の証跡を手動で検索、取得していた。
これらに関する技術として、例えば、特許文献1には、システム監査の迅速化および被監査部門の負担軽減を図ることができるシステム監査支援システムおよび支援方法、並びにチェックシートおよび証跡台帳を提供することを課題とし、チェックシートおよびこの内容を記憶するチェックシートデータベースにおいて、チェックポイント配列情報および証跡配列情報を用いて、チェックポイントと証跡とを明確に関連付けて対応させ、そして、チェックシートデータベースに基づき、データの配列変換を経て証跡台帳を自動的に作成するようにしたことが開示されている。
特開2003−44658号公報
従来の方法では、膨大な量の証跡からサンプルおよび照合対象を手動で取得しなければならず、この作業に多くの時間がかかり、テストの作業効率を下げる要因となっていた。また、サンプリングの方法、サンプリング数はテスト手続きを定義(設計)するユーザの判断に任されており、統一的に管理されていない。
本発明は、このような背景技術の状況の中でなされたもので、内部統制における運用評価にあたって、検査対象のサンプリングを行うようにした情報処理システムおよび情報処理プログラムを提供することを目的としている。
本発明は、このような背景技術の状況の中でなされたもので、内部統制における運用評価にあたって、検査対象のサンプリングを行うようにした情報処理システムおよび情報処理プログラムを提供することを目的としている。
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
[1] 想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
証跡に関する知識情報を記憶する知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
を具備することを特徴とする情報処理システム。
[1] 想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
証跡に関する知識情報を記憶する知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
を具備することを特徴とする情報処理システム。
[2] 想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
サンプリング対象の証跡に関する知識情報を記憶するサンプリング対象知識情報記憶手段と、
照合対象の証跡に関する知識情報を記憶する照合対象知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記サンプリング対象知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記運用評価を行うために照合対象である証跡に関する情報を、前記照合対象知識情報記憶手段に記憶されている知識情報に応じて定義する照合対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報と照合対象定義手段によって定義された照合対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
を具備することを特徴とする情報処理システム。
サンプリング対象の証跡に関する知識情報を記憶するサンプリング対象知識情報記憶手段と、
照合対象の証跡に関する知識情報を記憶する照合対象知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記サンプリング対象知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記運用評価を行うために照合対象である証跡に関する情報を、前記照合対象知識情報記憶手段に記憶されている知識情報に応じて定義する照合対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報と照合対象定義手段によって定義された照合対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
を具備することを特徴とする情報処理システム。
[3] 少なくとも検査対象の知識・情報に基づいてサンプリング数を決定するサンプリング数決定手段
を具備し、
前記テスト定義記憶手段は、前記サンプリング数決定手段によって決定されたサンプリング数に応じて前記運用評価を定義した情報を記憶する
ことを特徴とする[1]または[2]に記載の情報処理システム。
を具備し、
前記テスト定義記憶手段は、前記サンプリング数決定手段によって決定されたサンプリング数に応じて前記運用評価を定義した情報を記憶する
ことを特徴とする[1]または[2]に記載の情報処理システム。
[4] 前記テスト実行手段によって実行される運用評価に必要なサンプリング対象または照合対象を、前記テスト実行手段からの指示に基づいて外部にある証跡記憶部から抽出する対象抽出手段
を具備することを特徴とする[1]、[2]または[3]に記載の情報処理システム。
を具備することを特徴とする[1]、[2]または[3]に記載の情報処理システム。
[5] コンピュータを、
想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
証跡に関する知識情報を記憶する知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
として機能させることを特徴とする情報処理プログラム。
想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
証跡に関する知識情報を記憶する知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
として機能させることを特徴とする情報処理プログラム。
[6] コンピュータを、
想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
サンプリング対象の証跡に関する知識情報を記憶するサンプリング対象知識情報記憶手段と、
照合対象の証跡に関する知識情報を記憶する照合対象知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記サンプリング対象知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記運用評価を行うために照合対象である証跡に関する情報を、前記照合対象知識情報記憶手段に記憶されている知識情報に応じて定義する照合対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報と照合対象定義手段によって定義された照合対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
として機能させることを特徴とする情報処理プログラム。
想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
サンプリング対象の証跡に関する知識情報を記憶するサンプリング対象知識情報記憶手段と、
照合対象の証跡に関する知識情報を記憶する照合対象知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記サンプリング対象知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記運用評価を行うために照合対象である証跡に関する情報を、前記照合対象知識情報記憶手段に記憶されている知識情報に応じて定義する照合対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報と照合対象定義手段によって定義された照合対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
として機能させることを特徴とする情報処理プログラム。
請求項1記載の情報処理システムによれば、本構成を有していない場合に比較して、内部統制における運用評価にあたって、検査対象のサンプリングを行うことができ、検査対象のサンプリングが容易かつ公正にできるようになる。
請求項2記載の情報処理システムによれば、本構成を有していない場合に比較して、内部統制における運用評価にあたって、検査対象のサンプリングおよびそれに対応する照合対象の抽出を行うことができ、検査対象のサンプリングおよび照合対象の抽出が容易かつ公正にできるようになる。
請求項3記載の情報処理システムによれば、本構成を有していない場合に比較して、請求項1または2記載の情報処理システムによる効果に加えて、より的確な検査対象のサンプリングまたは照合対象の抽出を行うことができるようになる。
請求項4記載の情報処理システムによれば、本構成を有していない場合に比較して、請求項1、2または3記載の情報処理システムによる効果に加えて、外部にある証跡記憶部から統一的に検査対象のサンプリングまたは照合対象の抽出を行うことができるようになる。
請求項5記載の情報処理プログラムによれば、本構成を有していない場合に比較して、内部統制における運用評価にあたって、検査対象のサンプリングを行うことができ、検査対象のサンプリングが容易かつ公正にできるようになる。
請求項6記載の情報処理プログラムによれば、本構成を有していない場合に比較して、内部統制における運用評価にあたって、検査対象のサンプリングおよびそれに対応する照合対象の抽出を行うことができ、検査対象のサンプリングおよび照合対象の抽出が容易かつ公正にできるようになる。
まず、内部統制の「基本4文書」について説明する。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書は、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂により影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、評価、権利と義務、期間/配分、表示の6項目が一般的には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書は、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂により影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、評価、権利と義務、期間/配分、表示の6項目が一般的には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
以下、図面に基づき本発明の好適な一実施の形態を説明する。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化し、その文書を活用するためのシステムを構築している。このシステムは会社単位で構築されているが、関連会社(子会社、親会社等を含む)の間でも1つのシステムが利用されるようにしてもよい。
図10を用いて、本実施の形態を実現するための財務内部統制の運用評価のためのシステム全体の構成例を説明する。
システム全体は、クライアント2110、内部統制処理サーバー2120から構成されている。なお、それぞれの構成は複数であってもよい。クライアント2110と内部統制処理サーバー2120の間は、バス2130を介して接続されている。そして、クライアント2110と内部統制処理サーバー2120との間は、XML(eXtensible Markup Language)等を用いてデータを記述し、HTTP(Hyper Text Transfer Protocol)等の通信プロトコルを用いて接続されている。
クライアント2110は、操作者が、内部統制処理サーバー2120を用いるためのユーザインタフェースの機能を有している。
内部統制における運用評価をするために、内部統制処理サーバー2120では評価の計画等を入力するための画面をクライアント2110に表示する。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化し、その文書を活用するためのシステムを構築している。このシステムは会社単位で構築されているが、関連会社(子会社、親会社等を含む)の間でも1つのシステムが利用されるようにしてもよい。
図10を用いて、本実施の形態を実現するための財務内部統制の運用評価のためのシステム全体の構成例を説明する。
システム全体は、クライアント2110、内部統制処理サーバー2120から構成されている。なお、それぞれの構成は複数であってもよい。クライアント2110と内部統制処理サーバー2120の間は、バス2130を介して接続されている。そして、クライアント2110と内部統制処理サーバー2120との間は、XML(eXtensible Markup Language)等を用いてデータを記述し、HTTP(Hyper Text Transfer Protocol)等の通信プロトコルを用いて接続されている。
クライアント2110は、操作者が、内部統制処理サーバー2120を用いるためのユーザインタフェースの機能を有している。
内部統制における運用評価をするために、内部統制処理サーバー2120では評価の計画等を入力するための画面をクライアント2110に表示する。
図1を用いて、本実施の形態内のモジュールの構成例を説明する。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはプログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、プログラム、システムおよび方法の説明をも兼ねている。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散または並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続を含む。例えば、データとデータが接続されているとは、データの一部が同一のデータであること、ポインタまたはリンク等で一方が他方を指していること等を表す。
また、システムとは、複数のコンピュータ、ハードウェア、装置等がネットワーク等で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。
なお、入力という用語は、クライアント2110または内部統制処理サーバー2120に対する操作者の操作によってデータを受け付けること、各モジュールが他のモジュールからデータを受け付けること等に用いる。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはプログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、プログラム、システムおよび方法の説明をも兼ねている。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散または並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続を含む。例えば、データとデータが接続されているとは、データの一部が同一のデータであること、ポインタまたはリンク等で一方が他方を指していること等を表す。
また、システムとは、複数のコンピュータ、ハードウェア、装置等がネットワーク等で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。
なお、入力という用語は、クライアント2110または内部統制処理サーバー2120に対する操作者の操作によってデータを受け付けること、各モジュールが他のモジュールからデータを受け付けること等に用いる。
本実施の形態は、運用テスト処理システム110とリポジトリ150を有している。運用テスト処理システム110とリポジトリ150とは一つのシステム内に構成してもよいし、別々のシステムにそれぞれ構成されていてもよい。
運用テスト処理システム110内には、コントロール定義記憶モジュール111、テスト定義モジュール112、知識/情報定義記憶モジュール113、サンプリング定義記憶モジュール114、知識/情報定義記憶モジュール115、照合・検索定義記憶モジュール116、サンプリング対象定義モジュール117、照合対象定義モジュール118、サンプリング数決定モジュール119、評価基準決定モジュール120、テスト実行モジュール121、サンプラー122を有している。
コントロール定義記憶モジュール111は、図1に示すように、知識/情報定義記憶モジュール113、知識/情報定義記憶モジュール115、テスト定義モジュール112と接続されており、リスクを回避/軽減するコントロールの定義を記憶する。
運用テスト処理システム110内には、コントロール定義記憶モジュール111、テスト定義モジュール112、知識/情報定義記憶モジュール113、サンプリング定義記憶モジュール114、知識/情報定義記憶モジュール115、照合・検索定義記憶モジュール116、サンプリング対象定義モジュール117、照合対象定義モジュール118、サンプリング数決定モジュール119、評価基準決定モジュール120、テスト実行モジュール121、サンプラー122を有している。
コントロール定義記憶モジュール111は、図1に示すように、知識/情報定義記憶モジュール113、知識/情報定義記憶モジュール115、テスト定義モジュール112と接続されており、リスクを回避/軽減するコントロールの定義を記憶する。
テスト定義モジュール112は、図1に示すように、コントロール定義記憶モジュール111、サンプリング対象定義モジュール117、照合対象定義モジュール118、サンプリング数決定モジュール119、評価基準決定モジュール120、テスト実行モジュール121と接続されており、コントロールの運用評価方法(テスト手順)に関する定義情報を記憶している。定義情報としては、以下に示す(1)〜(8)のようなものがある。
(1)閲覧/照合テストの対象となる証跡(知識情報への参照)
(2)サンプリング方法(例えば、ランダムによる抽出、請求額等の額の大きい順から抽出、毎月4件ずつ抽出等)
(3)サンプリング数
(4)サンプリングのキー属性
(5)サンプリング時に同時に取得する属性
(6)照合対象
(7)照合対象の検索属性
(8)照合対象の照合属性
(1)閲覧/照合テストの対象となる証跡(知識情報への参照)
(2)サンプリング方法(例えば、ランダムによる抽出、請求額等の額の大きい順から抽出、毎月4件ずつ抽出等)
(3)サンプリング数
(4)サンプリングのキー属性
(5)サンプリング時に同時に取得する属性
(6)照合対象
(7)照合対象の検索属性
(8)照合対象の照合属性
知識/情報定義記憶モジュール113は、図1に示すように、コントロール定義記憶モジュール111、サンプリング対象定義モジュール117、サンプリング定義記憶モジュール114、サンプリング対象DB151と接続されており、コントロールに関連する証跡に関する知識・情報の定義(または知識・情報の定義への参照)を記憶する。
サンプリング定義記憶モジュール114は、図1に示すように、知識/情報定義記憶モジュール113、サンプリング対象定義モジュール117、コネクタ152と接続されており、サンプルに関するキーとなる属性(サンプリングの方法/数/キー属性/検査属性)、その他の属性、実際のデータが保存されるデータソースに関する定義情報を記憶する。
サンプリング定義記憶モジュール114は、図1に示すように、知識/情報定義記憶モジュール113、サンプリング対象定義モジュール117、コネクタ152と接続されており、サンプルに関するキーとなる属性(サンプリングの方法/数/キー属性/検査属性)、その他の属性、実際のデータが保存されるデータソースに関する定義情報を記憶する。
知識/情報定義記憶モジュール115は、図1に示すように、コントロール定義記憶モジュール111、照合対象定義モジュール118、照合・検索定義記憶モジュール116、照合対象DB153と接続されており、照合に関するキーとなる属性、その他の属性、実際のデータが保存されるデータソースに関する定義情報を記憶する。
照合・検索定義記憶モジュール116は、図1に示すように、知識/情報定義記憶モジュール115、照合対象定義モジュール118、コネクタ154と接続されており、照合対象を検索する際のキーとなる属性/照合属性を定義する定義情報を記憶する。
照合・検索定義記憶モジュール116は、図1に示すように、知識/情報定義記憶モジュール115、照合対象定義モジュール118、コネクタ154と接続されており、照合対象を検索する際のキーとなる属性/照合属性を定義する定義情報を記憶する。
サンプリング対象定義モジュール117は、図1に示すように、知識/情報定義記憶モジュール113、サンプリング定義記憶モジュール114、テスト定義モジュール112と接続されており、テストにおいてサンプリングする証跡に関する情報を、知識/情報定義記憶モジュール113、サンプリング定義記憶モジュール114に記憶されている情報を用いて定義する。その際、知識/情報定義記憶モジュール113に記憶されている証跡に関する知識・情報の定義を用いる。
照合対象定義モジュール118は、図1に示すように、知識/情報定義記憶モジュール115、照合・検索定義記憶モジュール116、テスト定義モジュール112と接続されており、照合対象の証跡に関する情報を、知識/情報定義記憶モジュール115、照合・検索定義記憶モジュール116に記憶されている情報を用いて定義する。その際、知識/情報定義記憶モジュール115に記憶されている証跡に関する知識・情報の定義を用いる。
照合対象定義モジュール118は、図1に示すように、知識/情報定義記憶モジュール115、照合・検索定義記憶モジュール116、テスト定義モジュール112と接続されており、照合対象の証跡に関する情報を、知識/情報定義記憶モジュール115、照合・検索定義記憶モジュール116に記憶されている情報を用いて定義する。その際、知識/情報定義記憶モジュール115に記憶されている証跡に関する知識・情報の定義を用いる。
サンプリング数決定モジュール119は、図1に示すように、テスト定義モジュール112と接続されており、以下に示す(1)〜(3)のようなパラメタを用いて、適切なサンプリング数/サンプリング方法を決定する。
(1)検査対象の知識・情報(証跡の性質)
(2)母集団の数
(3)統制頻度
評価基準決定モジュール120は、図1に示すように、テスト定義モジュール112と接続されており、運用の最終的な評価を決定する際に、適合・不適合の閾値を定める。これは予め定めておいてもよいし、権限のあるユーザーによって定めるようにしてもよい。
(1)検査対象の知識・情報(証跡の性質)
(2)母集団の数
(3)統制頻度
評価基準決定モジュール120は、図1に示すように、テスト定義モジュール112と接続されており、運用の最終的な評価を決定する際に、適合・不適合の閾値を定める。これは予め定めておいてもよいし、権限のあるユーザーによって定めるようにしてもよい。
テスト実行モジュール121は、図1に示すように、テスト定義モジュール112、サンプラー122と接続されており、テスト定義モジュール112に記憶されているテスト手順の定義情報に従って、サンプラー122を用いてサンプル、照合を取得して、テストを実行する。
サンプラー122は、図1に示すように、テスト実行モジュール121、共通インタフェース155と接続されており、テスト定義モジュール112に基づいて、テスト実行モジュール121によるテスト実行に必要となる証跡のサンプル、照合対象を共通インタフェース155経由でサンプリング対象DB151、照合対象DB153から取得する。つまり、テスト手順定義に基づいて関連する証跡データをコネクタ152、コネクタ154を使ってサンプリングし、そのデータをサンプリング結果の集合として取得する。また、共通インタフェース155を備えている外部のリポジトリ150であれば、複数分散している場合であっても、サンプラー122が証跡のサンプル、照合対象を抽出できる。
サンプラー122は、図1に示すように、テスト実行モジュール121、共通インタフェース155と接続されており、テスト定義モジュール112に基づいて、テスト実行モジュール121によるテスト実行に必要となる証跡のサンプル、照合対象を共通インタフェース155経由でサンプリング対象DB151、照合対象DB153から取得する。つまり、テスト手順定義に基づいて関連する証跡データをコネクタ152、コネクタ154を使ってサンプリングし、そのデータをサンプリング結果の集合として取得する。また、共通インタフェース155を備えている外部のリポジトリ150であれば、複数分散している場合であっても、サンプラー122が証跡のサンプル、照合対象を抽出できる。
リポジトリ150内には、サンプリング対象DB151、コネクタ152、照合対象DB153、コネクタ154、共通インタフェース155を有している。
サンプリング対象DB151は、図1に示すように、コネクタ152、知識/情報定義モジュール113と接続されており、サンプリング対象のデータを記憶している。サンプリング対象としては、例えば、受注伝票、商品出荷伝票、請求書等がある。
コネクタ152は、図1に示すように、サンプリング対象DB151、共通インタフェース155、サンプリング定義記憶モジュール114と接続されており、内部統制、業務プロセス運用評価を行う運用テスト処理システム110と証跡を記録しているサンプリング対象DB151とを接続をするためのオブジェクトである。
サンプリング対象DB151は、図1に示すように、コネクタ152、知識/情報定義モジュール113と接続されており、サンプリング対象のデータを記憶している。サンプリング対象としては、例えば、受注伝票、商品出荷伝票、請求書等がある。
コネクタ152は、図1に示すように、サンプリング対象DB151、共通インタフェース155、サンプリング定義記憶モジュール114と接続されており、内部統制、業務プロセス運用評価を行う運用テスト処理システム110と証跡を記録しているサンプリング対象DB151とを接続をするためのオブジェクトである。
照合対象DB153は、図1に示すように、コネクタ154、知識/情報定義モジュール115と接続されており、照合対象のデータを記憶している。照合対象としては、例えば、領収書に対する請求書等がある。
コネクタ154は、図1に示すように、照合対象DB153、共通インタフェース155、照合・検索定義記憶モジュール116と接続されており、内部統制、業務プロセス運用評価を行う運用テスト処理システム110と証跡を記録している照合対象DB153とを接続をするためのオブジェクトであり、共通インタフェース155に基づいてデータをサンプリング、取得する
共通インタフェース155は、図1に示すように、コネクタ152、コネクタ154、サンプラー122と接続されており、運用テスト処理システム110とリポジトリ150との外部連携(証跡データをサンプリング、取得)のためのインタフェースであり、一般的な外部連携に加えて、テストのサンプリングを目的としたメソッド、パラメタ(データソース、キー属性、取得属性、サンプリング方法、サンプリング数等)を有している。
コネクタ154は、図1に示すように、照合対象DB153、共通インタフェース155、照合・検索定義記憶モジュール116と接続されており、内部統制、業務プロセス運用評価を行う運用テスト処理システム110と証跡を記録している照合対象DB153とを接続をするためのオブジェクトであり、共通インタフェース155に基づいてデータをサンプリング、取得する
共通インタフェース155は、図1に示すように、コネクタ152、コネクタ154、サンプラー122と接続されており、運用テスト処理システム110とリポジトリ150との外部連携(証跡データをサンプリング、取得)のためのインタフェースであり、一般的な外部連携に加えて、テストのサンプリングを目的としたメソッド、パラメタ(データソース、キー属性、取得属性、サンプリング方法、サンプリング数等)を有している。
図2を用いて、運用評価フェーズでの基本フローの例を説明する。
ステップS1302では、財務内部統制の担当者が財務内部統制の全体計画を作成する。
ステップS1304では、担当者が本実施の形態を用いて、運用評価の個別計画を作成する。この際に用いられるものは、計画調書、テスト詳細シート(計画)である。
ステップS1306では、担当者が本実施の形態を用いて、運用評価であるテストを実施する。この際に用いられるものは、手続調書、テスト詳細シート(実施)である。
ステップS1308では、担当者が本実施の形態を用いて、運用評価の結果から評価を行う。この際に用いられるものは、評価調書である。担当者によって改善が必要であると判断された場合はステップS1312へ進み、追加テストが必要であると判断された場合は別のテスト項目での運用評価を行うためにステップS1304へ進み、代替コントロールテストが必要であると判断された場合は別のコントロールにおける運用評価を行うためにステップS1304へ進み、それ以外の場合はステップS1310へ進む。
ステップS1312では、改善活動として、担当者が本実施の形態を用いて、文書の修正・改版等を行う。その後、ステップS1304へ戻る、またはステップS1310へ進む。
ステップS1310では、担当者が、運用評価活動、対策の済んだ財務内部統制用の文書等に対して、総合的な評価を行う。
ステップS1302では、財務内部統制の担当者が財務内部統制の全体計画を作成する。
ステップS1304では、担当者が本実施の形態を用いて、運用評価の個別計画を作成する。この際に用いられるものは、計画調書、テスト詳細シート(計画)である。
ステップS1306では、担当者が本実施の形態を用いて、運用評価であるテストを実施する。この際に用いられるものは、手続調書、テスト詳細シート(実施)である。
ステップS1308では、担当者が本実施の形態を用いて、運用評価の結果から評価を行う。この際に用いられるものは、評価調書である。担当者によって改善が必要であると判断された場合はステップS1312へ進み、追加テストが必要であると判断された場合は別のテスト項目での運用評価を行うためにステップS1304へ進み、代替コントロールテストが必要であると判断された場合は別のコントロールにおける運用評価を行うためにステップS1304へ進み、それ以外の場合はステップS1310へ進む。
ステップS1312では、改善活動として、担当者が本実施の形態を用いて、文書の修正・改版等を行う。その後、ステップS1304へ戻る、またはステップS1310へ進む。
ステップS1310では、担当者が、運用評価活動、対策の済んだ財務内部統制用の文書等に対して、総合的な評価を行う。
図3を用いて、運用評価を行う際の主に入力、出力に関する本実施の形態の概念的なモジュール構成例を説明する。
データベース1400内には、図3に示すように、運用テストデータ1401、活動データ1402、運用テスト結果1403、RCMデータ1404、資源データ1405、知識・情報データ1406が記憶されている。これらは、それぞれ別々のデータベースによって管理されていてもよいし、1つのデータベースによって管理されていてもよい。
データベース1400内には、図3に示すように、運用テストデータ1401、活動データ1402、運用テスト結果1403、RCMデータ1404、資源データ1405、知識・情報データ1406が記憶されている。これらは、それぞれ別々のデータベースによって管理されていてもよいし、1つのデータベースによって管理されていてもよい。
運用テストデータ1401は、運用計画調書出力モジュール1421、運用詳細シート(計画)出力モジュール1422、運用計画調書入力モジュール1431、運用詳細シート(計画)入力モジュール1432と接続されている。活動データ1402は、運用詳細シート(計画)出力モジュール1422、運用詳細シート(実施)出力モジュール1424、RCMデータ1404、資源データ1405、知識・情報データ1406と接続されている。運用テスト結果1403は、運用手続き調書出力モジュール1423、運用詳細シート(実施)出力モジュール1424、運用評価調書出力モジュール1425、運用手続き調書入力モジュール1433、運用詳細シート(実施)入力モジュール1434、運用評価調書入力モジュール1435と接続されている。RCMデータ1404は、運用計画調書出力モジュール1421、運用詳細シート(計画)出力モジュール1422、運用手続き調書出力モジュール1423、運用詳細シート(実施)出力モジュール1424、運用評価調書出力モジュール1425、活動データ1402と接続されている。資源データ1405は、活動データ1402と接続されている。知識・情報データ1406は、運用詳細シート(計画)出力モジュール1422、運用詳細シート(実施)出力モジュール1424、活動データ1402と接続されている。
データベース1400へデータを入力するモジュールとして、運用計画調書入力モジュール1431、運用詳細シート(計画)入力モジュール1432、運用手続き調書入力モジュール1433、運用詳細シート(実施)入力モジュール1434、運用評価調書入力モジュール1435がある。運用計画調書入力モジュール1431は、運用テストデータ1401と接続されている。運用詳細シート(計画)入力モジュール1432は、運用テストデータ1401と接続されている。運用手続き調書入力モジュール1433は、運用テスト結果1403と接続されている。運用詳細シート(実施)入力モジュール1434は、運用テスト結果1403と接続されている。運用評価調書入力モジュール1435は、運用テスト結果1403と接続されている。
データベース1400からデータを出力するモジュールとして、運用計画調書出力モジュール1421、運用詳細シート(計画)出力モジュール1422、運用手続き調書出力モジュール1423、運用詳細シート(実施)出力モジュール1424、運用評価調書出力モジュール1425がある。運用計画調書出力モジュール1421は、運用テストデータ1401、RCMデータ1404と接続されており、運用計画調書1411を出力する。運用詳細シート(計画)出力モジュール1422は、運用テストデータ1401、活動データ1402、RCMデータ1404、知識・情報データ1406と接続されており、運用詳細シート1412を出力する。運用手続き調書出力モジュール1423は、運用テスト結果1403、RCMデータ1404と接続されており、運用手続き調書1413を出力する。運用詳細シート(実施)出力モジュール1424は、活動データ1402、運用テスト結果1403、RCMデータ1404、知識・情報データ1406と接続されており、運用詳細シート1414を出力する。運用評価調書出力モジュール1425は、運用テスト結果1403、RCMデータ1404と接続されており、運用評価調書1415を出力する。
図4を用いて、データベース1400内のデータ間の関係例について詳細に説明する。
図4は、活動表1500、運用テストデータ表1510、サンプリング対象表1520、照合対象1530、運用テスト結果表1540、運用テスト評価1550、不備リスト表1560、残存リスクリスト表1570、運用テストレビュー表1580、RCM1590、リスク表15A0、コントロール表15B0、知識・情報表15C0の関係を示している。なお、各表の欄は一例を表すものであり、更に、他の情報を格納できるように欄を付加させてもよい。
図4は、活動表1500、運用テストデータ表1510、サンプリング対象表1520、照合対象1530、運用テスト結果表1540、運用テスト評価1550、不備リスト表1560、残存リスクリスト表1570、運用テストレビュー表1580、RCM1590、リスク表15A0、コントロール表15B0、知識・情報表15C0の関係を示している。なお、各表の欄は一例を表すものであり、更に、他の情報を格納できるように欄を付加させてもよい。
活動表1500は、図3の活動データ1402に該当する。活動表1500は、活動ID欄1501、活動名欄1502、活動タイプ欄1503、システム名欄1504、業務区分欄1505、活動区分欄1506、担当組織欄1507、担当者欄1508、実務内容欄1509を有している。活動ID欄1501が格納する活動IDは、操作者によって入力される活動を一意に識別できる識別子である。また、この活動IDは、リスク表15A0の活動ID欄15A4、コントロール表15B0の活動ID欄15B4、知識・情報表15C0の活動ID欄15C4でも用いられ、これらの表が活動表1500と関係付けられる。
RCM1590、リスク表15A0、コントロール表15B0の3つは、図3のRCMデータ1404に該当する。
リスク表15A0は、リスクID欄15A1、リスク名欄15A2、リスク内容欄15A3、活動ID欄15A4を有している。リスク表15A0のリスクID欄15A1に格納されるリスクIDは、リスクを一意に識別するための識別子である。このリスクIDは、RCM1590のリスクID欄1591、残存リスクリスト表1570のリスクID欄1573でも用いられ、リスク表15A0がRCM1590、残存リスクリスト表1570と関係付けられる。
コントロール表15B0は、コントロールID欄15B1、コントロール名欄15B2、コントロール内容欄15B3、活動ID欄15B4、証跡用知識ID欄15B5を有している。コントロール表15B0のコントロールID欄15B1に格納されるコントロールIDは、コントロールを一意に識別するための識別子である。このコントロールIDは、RCM1590のコントロールID欄1592、不備リスト表1560のコントロールID欄1563、不備リスト表1560の代替コントロール欄1564、運用テストデータ表1510のコントロールID欄1514、運用テスト評価1550のコントロールID欄1553でも用いられ、コントロール表15B0がRCM1590、運用テストデータ表1510、運用テスト評価1550、不備リスト表1560と関係付けられる。
RCM1590は、リスクID欄1591、コントロールID欄1592を有している。この表によって、リスクIDとコントロールIDとが対応付けられる。
リスク表15A0は、リスクID欄15A1、リスク名欄15A2、リスク内容欄15A3、活動ID欄15A4を有している。リスク表15A0のリスクID欄15A1に格納されるリスクIDは、リスクを一意に識別するための識別子である。このリスクIDは、RCM1590のリスクID欄1591、残存リスクリスト表1570のリスクID欄1573でも用いられ、リスク表15A0がRCM1590、残存リスクリスト表1570と関係付けられる。
コントロール表15B0は、コントロールID欄15B1、コントロール名欄15B2、コントロール内容欄15B3、活動ID欄15B4、証跡用知識ID欄15B5を有している。コントロール表15B0のコントロールID欄15B1に格納されるコントロールIDは、コントロールを一意に識別するための識別子である。このコントロールIDは、RCM1590のコントロールID欄1592、不備リスト表1560のコントロールID欄1563、不備リスト表1560の代替コントロール欄1564、運用テストデータ表1510のコントロールID欄1514、運用テスト評価1550のコントロールID欄1553でも用いられ、コントロール表15B0がRCM1590、運用テストデータ表1510、運用テスト評価1550、不備リスト表1560と関係付けられる。
RCM1590は、リスクID欄1591、コントロールID欄1592を有している。この表によって、リスクIDとコントロールIDとが対応付けられる。
知識・情報表15C0は、図3の知識・情報データ1406に該当する。
知識・情報表15C0は、知識ID欄15C1、知識名欄15C2、知識タイプ欄15C3、活動ID欄15C4を有している。知識・情報表15C0の知識ID欄15C1に格納される知識IDは、知識を一意に識別するための識別子である。この知識IDは、サンプリング対象表1520の証跡用知識ID欄1522、照合対象1530の検索方法欄1533、コントロール表15B0の証跡用知識ID欄15B5でも用いられ、知識・情報表15C0がサンプリング対象表1520、照合対象1530、コントロール表15B0と関係付けられる。
知識・情報表15C0は、知識ID欄15C1、知識名欄15C2、知識タイプ欄15C3、活動ID欄15C4を有している。知識・情報表15C0の知識ID欄15C1に格納される知識IDは、知識を一意に識別するための識別子である。この知識IDは、サンプリング対象表1520の証跡用知識ID欄1522、照合対象1530の検索方法欄1533、コントロール表15B0の証跡用知識ID欄15B5でも用いられ、知識・情報表15C0がサンプリング対象表1520、照合対象1530、コントロール表15B0と関係付けられる。
運用テストデータ表1510は、図3の運用テストデータ1401に該当する。
運用テストデータ表1510は、テストID欄1511、プロセスID欄1512、プロセス名欄1513、コントロールID欄1514、テスト種別欄1515、テスト実施内容欄1516、サンプリング数欄1517、逸脱率欄1518、信頼度欄1519、サンプリング対象ID欄151A、照合対象ID欄151Bを有している。
運用テストデータ表1510は、テストID欄1511、プロセスID欄1512、プロセス名欄1513、コントロールID欄1514、テスト種別欄1515、テスト実施内容欄1516、サンプリング数欄1517、逸脱率欄1518、信頼度欄1519、サンプリング対象ID欄151A、照合対象ID欄151Bを有している。
サンプリング対象表1520は、図3の運用テストデータ1401に含まれる。
サンプリング対象表1520は、サンプリング対象ID欄1521、証跡用知識ID欄1522、サンプリング方法欄1523、サンプリング属性欄1524、テスト対象属性欄1525を有している。サンプリング対象表1520のサンプリング対象ID欄1521に格納されるサンプリング対象IDは、サンプリング対象を一意に識別するための識別子である。このサンプリング対象IDは、運用テストデータ表1510のサンプリング対象ID欄151A、運用テスト結果表1540のサンプリング対象ID欄1542でも用いられ、サンプリング対象表1520が運用テストデータ表1510、運用テスト結果表1540と関係付けられる。また、サンプリング対象表1520のテスト対象属性欄1525に格納されるテスト対象属性IDは、テスト対象属性を一意に識別するための識別子である。このテスト対象属性IDは、運用テスト結果表1540のテスト対象属性欄1543でも用いられ、サンプリング対象表1520が運用テスト結果表1540と関係付けられる。
サンプリング対象表1520は、サンプリング対象ID欄1521、証跡用知識ID欄1522、サンプリング方法欄1523、サンプリング属性欄1524、テスト対象属性欄1525を有している。サンプリング対象表1520のサンプリング対象ID欄1521に格納されるサンプリング対象IDは、サンプリング対象を一意に識別するための識別子である。このサンプリング対象IDは、運用テストデータ表1510のサンプリング対象ID欄151A、運用テスト結果表1540のサンプリング対象ID欄1542でも用いられ、サンプリング対象表1520が運用テストデータ表1510、運用テスト結果表1540と関係付けられる。また、サンプリング対象表1520のテスト対象属性欄1525に格納されるテスト対象属性IDは、テスト対象属性を一意に識別するための識別子である。このテスト対象属性IDは、運用テスト結果表1540のテスト対象属性欄1543でも用いられ、サンプリング対象表1520が運用テスト結果表1540と関係付けられる。
照合対象1530は、図3の運用テストデータ1401に含まれる。
照合対象1530は、照合対象ID欄1531、証跡用知識ID欄1532、検索方法欄1533、検索属性欄1534、照合属性欄1535を有している。照合対象1530の照合対象ID欄1531に格納される照合対象IDは、照合対象を一意に識別するための識別子である。この照合対象IDは、運用テストデータ表1510の照合対象ID欄151Bでも用いられ、照合対象1530が運用テストデータ表1510と関係付けられる。
照合対象1530は、照合対象ID欄1531、証跡用知識ID欄1532、検索方法欄1533、検索属性欄1534、照合属性欄1535を有している。照合対象1530の照合対象ID欄1531に格納される照合対象IDは、照合対象を一意に識別するための識別子である。この照合対象IDは、運用テストデータ表1510の照合対象ID欄151Bでも用いられ、照合対象1530が運用テストデータ表1510と関係付けられる。
運用テスト結果表1540は、図3の運用テスト結果1403に該当する。
運用テスト結果表1540は、テストID欄1541、サンプリング対象ID欄1542、テスト対象属性欄1543、照合結果欄1544、コメント欄1545を有している。運用テスト結果表1540のテストID欄1541に格納されるテストIDは、運用評価であるテストを一意に識別するための識別子である。このテストIDは、運用テストデータ表1510のテストID欄1511でも用いられ、運用テスト結果表1540が運用テストデータ表1510と関係付けられる。
運用テスト結果表1540は、テストID欄1541、サンプリング対象ID欄1542、テスト対象属性欄1543、照合結果欄1544、コメント欄1545を有している。運用テスト結果表1540のテストID欄1541に格納されるテストIDは、運用評価であるテストを一意に識別するための識別子である。このテストIDは、運用テストデータ表1510のテストID欄1511でも用いられ、運用テスト結果表1540が運用テストデータ表1510と関係付けられる。
運用テスト評価1550は、図3の運用テスト結果1403に含まれる。
運用テスト評価1550は、プロセスID欄1551、プロセス名欄1552、コントロールID欄1553、1次評価への対応欄1554、テスト継続欄1555、コメント欄1556、実施者欄1557、実施日欄1558、最終評価欄1559、不備の内容欄155A、評価者欄155B、評価日欄155Cを有している。
不備リスト表1560は、図3の運用テスト結果1403に含まれる。
不備リスト表1560は、プロセスID欄1561、プロセス名欄1562、コントロールID欄1563、代替コントロール欄1564、対応策欄1565、改善計画欄1566を有している。
残存リスクリスト表1570は、図3の運用テスト結果1403に含まれる。
残存リスクリスト表1570は、プロセスID欄1571、プロセス名欄1572、リスクID欄1573、補完統制欄1574、対応の要否欄1575、改善計画欄1576、補完統制欄1577、対応の要否欄1578、改善計画欄1579を有している。
運用テストレビュー表1580は、図3の運用テスト結果1403に含まれる。
運用テストレビュー表1580は、帳票名欄1581、レビュー結果欄1582、レビューコメント欄1583、レビュー日欄1584、レビュアー欄1585を有している。
運用テスト評価1550は、プロセスID欄1551、プロセス名欄1552、コントロールID欄1553、1次評価への対応欄1554、テスト継続欄1555、コメント欄1556、実施者欄1557、実施日欄1558、最終評価欄1559、不備の内容欄155A、評価者欄155B、評価日欄155Cを有している。
不備リスト表1560は、図3の運用テスト結果1403に含まれる。
不備リスト表1560は、プロセスID欄1561、プロセス名欄1562、コントロールID欄1563、代替コントロール欄1564、対応策欄1565、改善計画欄1566を有している。
残存リスクリスト表1570は、図3の運用テスト結果1403に含まれる。
残存リスクリスト表1570は、プロセスID欄1571、プロセス名欄1572、リスクID欄1573、補完統制欄1574、対応の要否欄1575、改善計画欄1576、補完統制欄1577、対応の要否欄1578、改善計画欄1579を有している。
運用テストレビュー表1580は、図3の運用テスト結果1403に含まれる。
運用テストレビュー表1580は、帳票名欄1581、レビュー結果欄1582、レビューコメント欄1583、レビュー日欄1584、レビュアー欄1585を有している。
図5を用いて、テスト実施手順定義の処理例を説明する。
ユーザ501は、GUI(Graphical User Interface)502を介して、テスト定義モジュール112、コントロール定義記憶モジュール111、知識/情報定義記憶モジュール113、知識/情報定義記憶モジュール115、サンプリング数決定モジュール119、評価基準決定モジュール120にアクセスする。
ステップS511では、ユーザ501の操作によって、テスト定義モジュール112にアクセスし、テスト定義の画面を表示し、テストの定義を開始する。
ステップS512では、ユーザ501の操作によって、テスト定義モジュール112にアクセスし、業務プロセス一覧からテスト対象を選択し、コントロール一覧からテスト対象を選択する。また、運用評価テスト作成を指示する。
ステップS513では、テスト定義モジュール112はコントロール定義記憶モジュール111と連携して、テスト対象となるコントロールを選択する。
ステップS514では、運用評価テスト作成の指示に基づいて、テスト定義モジュール112がテスト定義のオブジェクトを生成する。
ユーザ501は、GUI(Graphical User Interface)502を介して、テスト定義モジュール112、コントロール定義記憶モジュール111、知識/情報定義記憶モジュール113、知識/情報定義記憶モジュール115、サンプリング数決定モジュール119、評価基準決定モジュール120にアクセスする。
ステップS511では、ユーザ501の操作によって、テスト定義モジュール112にアクセスし、テスト定義の画面を表示し、テストの定義を開始する。
ステップS512では、ユーザ501の操作によって、テスト定義モジュール112にアクセスし、業務プロセス一覧からテスト対象を選択し、コントロール一覧からテスト対象を選択する。また、運用評価テスト作成を指示する。
ステップS513では、テスト定義モジュール112はコントロール定義記憶モジュール111と連携して、テスト対象となるコントロールを選択する。
ステップS514では、運用評価テスト作成の指示に基づいて、テスト定義モジュール112がテスト定義のオブジェクトを生成する。
ステップS515からステップS520までの処理は、サンプリング対象の抽出処理手順定義に関するものである。
ステップS515では、ステップS513でテスト定義モジュール112が選択したコントロールに関連付けられた知識・情報一覧から、ユーザ501の操作に応じて、サンプリング対象を1個選択する。
ステップS516では、テスト定義モジュール112はステップS515で選択されたサンプリング対象である知識・情報を知識/情報定義記憶モジュール113から抽出する。
ステップS517では、ユーザ501の操作に応じて、テスト定義モジュール112が提供した候補からサンプリングのパラメタを指定する。サンプリングのパラメタとしては、サンプリング方法、サンプリング数、サンプリング・キー属性、抽出属性等がある。これらのサンプリングのパラメタから、母集団の数、統制頻度等を得る。
ステップS518では、テスト定義モジュール112がステップS517で指定されたパラメータ、母集団の数、統制頻度等をサンプリング数決定モジュール119へ渡す。
ステップS519では、サンプリング数決定モジュール119では、渡されたパラメータを基にしてサンプリング数を決定し、そのサンプリング数をテスト定義モジュール112へ渡す。
ステップS520では、テスト定義モジュール112がサンプリング数等に応じてテスト定義のオブジェクトを更新する。
ステップS515では、ステップS513でテスト定義モジュール112が選択したコントロールに関連付けられた知識・情報一覧から、ユーザ501の操作に応じて、サンプリング対象を1個選択する。
ステップS516では、テスト定義モジュール112はステップS515で選択されたサンプリング対象である知識・情報を知識/情報定義記憶モジュール113から抽出する。
ステップS517では、ユーザ501の操作に応じて、テスト定義モジュール112が提供した候補からサンプリングのパラメタを指定する。サンプリングのパラメタとしては、サンプリング方法、サンプリング数、サンプリング・キー属性、抽出属性等がある。これらのサンプリングのパラメタから、母集団の数、統制頻度等を得る。
ステップS518では、テスト定義モジュール112がステップS517で指定されたパラメータ、母集団の数、統制頻度等をサンプリング数決定モジュール119へ渡す。
ステップS519では、サンプリング数決定モジュール119では、渡されたパラメータを基にしてサンプリング数を決定し、そのサンプリング数をテスト定義モジュール112へ渡す。
ステップS520では、テスト定義モジュール112がサンプリング数等に応じてテスト定義のオブジェクトを更新する。
ステップS521からステップS524までの処理は、照合対象の抽出処理手順定義に関するものである。
ステップS521では、ステップS513でテスト定義モジュール112が選択したコントロールに関連付けられた知識・情報一覧から、ユーザ501の操作に応じて、照合対象を1個選択する。
ステップS522では、テスト定義モジュール112はステップS521で選択された照合対象である知識・情報を知識/情報定義記憶モジュール115から抽出する。
ステップS523では、ユーザ501の操作に応じて、テスト定義モジュール112が提供した候補から照合のパラメタを指定する。照合のパラメタとしては、検索キー属性、照合対象属性等がある。
ステップS524では、テスト定義モジュール112が照合のパラメタ等に応じてテスト定義のオブジェクトを更新する。
ステップS521では、ステップS513でテスト定義モジュール112が選択したコントロールに関連付けられた知識・情報一覧から、ユーザ501の操作に応じて、照合対象を1個選択する。
ステップS522では、テスト定義モジュール112はステップS521で選択された照合対象である知識・情報を知識/情報定義記憶モジュール115から抽出する。
ステップS523では、ユーザ501の操作に応じて、テスト定義モジュール112が提供した候補から照合のパラメタを指定する。照合のパラメタとしては、検索キー属性、照合対象属性等がある。
ステップS524では、テスト定義モジュール112が照合のパラメタ等に応じてテスト定義のオブジェクトを更新する。
ステップS525では、ユーザ501の操作に応じて、テスト定義モジュール112に対して評価基準設定指示を行う。
ステップS526では、テスト定義モジュール112はステップS525で受け取った評価基準設定指示に応じて、評価基準決定モジュール120にサンプリング数、信頼度を渡す。
ステップS527では、評価基準決定モジュール120はステップS526で受け取ったサンプリング数、信頼度に応じて、評価基準を決定し、テスト定義モジュール112へ渡す。
ステップS528では、テスト定義モジュール112がステップS527で受け取った評価基準に応じてテスト定義のオブジェクトを更新する。
以上の処理によって、テスト定義オブジェクトが完成する。つまり、テスト定義が終了する(ステップS529)。次にこのテスト定義オブジェクトを用いて、運用テストを実施する。
ステップS526では、テスト定義モジュール112はステップS525で受け取った評価基準設定指示に応じて、評価基準決定モジュール120にサンプリング数、信頼度を渡す。
ステップS527では、評価基準決定モジュール120はステップS526で受け取ったサンプリング数、信頼度に応じて、評価基準を決定し、テスト定義モジュール112へ渡す。
ステップS528では、テスト定義モジュール112がステップS527で受け取った評価基準に応じてテスト定義のオブジェクトを更新する。
以上の処理によって、テスト定義オブジェクトが完成する。つまり、テスト定義が終了する(ステップS529)。次にこのテスト定義オブジェクトを用いて、運用テストを実施する。
図6を用いて、テスト実施の処理例を説明する。
ユーザ601は、GUI602を介して、テスト実行モジュール121、コントロール定義記憶モジュール111、サンプラー122、コネクタ152、サンプリング対象DB151、コネクタ154、照合対象DB153にアクセスする。
ステップS611では、ユーザ601の操作によって、テスト実行モジュール121にアクセスし、テスト実施の画面を表示し、テストを実施する。
ステップS612では、ユーザ601の操作によって、サンプリング自動実行が指示され、テスト実行モジュール121がコントロール定義記憶モジュール111にアクセスし、該当するテスト定義オブジェクトを検索する。
ステップS613では、テスト実行モジュール121はコントロール定義記憶モジュール111と連携して、テスト対象となるコントロールを選択する。
ステップS614では、テスト実行モジュール121はコントロール定義記憶モジュール111と連携して、対象となるテスト定義オブジェクトを抽出する。
ユーザ601は、GUI602を介して、テスト実行モジュール121、コントロール定義記憶モジュール111、サンプラー122、コネクタ152、サンプリング対象DB151、コネクタ154、照合対象DB153にアクセスする。
ステップS611では、ユーザ601の操作によって、テスト実行モジュール121にアクセスし、テスト実施の画面を表示し、テストを実施する。
ステップS612では、ユーザ601の操作によって、サンプリング自動実行が指示され、テスト実行モジュール121がコントロール定義記憶モジュール111にアクセスし、該当するテスト定義オブジェクトを検索する。
ステップS613では、テスト実行モジュール121はコントロール定義記憶モジュール111と連携して、テスト対象となるコントロールを選択する。
ステップS614では、テスト実行モジュール121はコントロール定義記憶モジュール111と連携して、対象となるテスト定義オブジェクトを抽出する。
ステップS615では、ユーザ601の操作によって、テスト実行モジュール121がサンプリングおよびテストの実行指示を受け取る。
ステップS616からステップS622までの処理で、サンプリングデータを取得する。
ステップS616では、テスト実行モジュール121はテスト定義オブジェクトを参照して、サンプリング対象およびパラメタを取得する。サンプリングのパラメタとしては、サンプリング方法、サンプリング数、サンプリング・キー属性、抽出属性等がある。
ステップS617では、テスト実行モジュール121はサンプラー122に対して、サンプリングパラメタを渡し、サンプラー122によるサンプリングの実行を指示する。
ステップS618では、サンプラー122はサンプリング対象から特定されるデータソースに対応するコネクタ152に対して、サンプリング方法、サンプリング数、サンプリング・キー属性をパラメタとして、サンプリングメソッドを呼び出す。
ステップS619、ステップS620では、コネクタ152内のサンプリングメソッドは、ステップS618においてパラメタで指定された方法で、サンプリング対象DB151内のデータソースからサンプリング数個のサンプリングデータを取得する。このとき、「キー属性、サンプリングデータ」の形式でキー属性から対応するサンプリングデータが取得しやすい形式のエントリの集合として返される。
ステップS621、ステップS622では、コネクタ152が取得したサンプリングデータ(エントリの集合)をサンプラー122を介して、テスト実行モジュール121が取得する。
テスト実行モジュール121は、サンプリング結果の個々のエントリに対して検索キー属性のデータを抽出し、「サンプリング・キー属性、検索キー属性」の形式のエントリの集合として一時的に保持する。
ステップS616からステップS622までの処理で、サンプリングデータを取得する。
ステップS616では、テスト実行モジュール121はテスト定義オブジェクトを参照して、サンプリング対象およびパラメタを取得する。サンプリングのパラメタとしては、サンプリング方法、サンプリング数、サンプリング・キー属性、抽出属性等がある。
ステップS617では、テスト実行モジュール121はサンプラー122に対して、サンプリングパラメタを渡し、サンプラー122によるサンプリングの実行を指示する。
ステップS618では、サンプラー122はサンプリング対象から特定されるデータソースに対応するコネクタ152に対して、サンプリング方法、サンプリング数、サンプリング・キー属性をパラメタとして、サンプリングメソッドを呼び出す。
ステップS619、ステップS620では、コネクタ152内のサンプリングメソッドは、ステップS618においてパラメタで指定された方法で、サンプリング対象DB151内のデータソースからサンプリング数個のサンプリングデータを取得する。このとき、「キー属性、サンプリングデータ」の形式でキー属性から対応するサンプリングデータが取得しやすい形式のエントリの集合として返される。
ステップS621、ステップS622では、コネクタ152が取得したサンプリングデータ(エントリの集合)をサンプラー122を介して、テスト実行モジュール121が取得する。
テスト実行モジュール121は、サンプリング結果の個々のエントリに対して検索キー属性のデータを抽出し、「サンプリング・キー属性、検索キー属性」の形式のエントリの集合として一時的に保持する。
ステップS623からステップS628までの処理で、照合データを取得する。
ステップS623では、テスト実行モジュール121はテスト定義オブジェクトを参照し、照合対象を特定する。ステップS616の処理と同様に、照合対象データの取得に必要なパラメタを取得する。
ステップS624では、テスト実行モジュール121はサンプラー122に対してステップS623で得られたパラメタおよびステップS622の処理結果であるエントリの集合とともに、対応する照合対象データを検索するようにコネクタ154に指示する。
ステップS625、ステップS626では、コネクタ154内のサンプリングメソッドは、ステップS624においてパラメタで指定された方法で、照合対象DB153内のデータソースから照合対象データを取得する。このとき、「サンプリング・キー属性、検索キー属性、照合対象データ」の形式のエントリの集合として返される。
ステップS627、ステップS628では、コネクタ154が取得した照合対象データ(エントリの集合)をサンプラー122を介して、テスト実行モジュール121が取得する。
ステップS623では、テスト実行モジュール121はテスト定義オブジェクトを参照し、照合対象を特定する。ステップS616の処理と同様に、照合対象データの取得に必要なパラメタを取得する。
ステップS624では、テスト実行モジュール121はサンプラー122に対してステップS623で得られたパラメタおよびステップS622の処理結果であるエントリの集合とともに、対応する照合対象データを検索するようにコネクタ154に指示する。
ステップS625、ステップS626では、コネクタ154内のサンプリングメソッドは、ステップS624においてパラメタで指定された方法で、照合対象DB153内のデータソースから照合対象データを取得する。このとき、「サンプリング・キー属性、検索キー属性、照合対象データ」の形式のエントリの集合として返される。
ステップS627、ステップS628では、コネクタ154が取得した照合対象データ(エントリの集合)をサンプラー122を介して、テスト実行モジュール121が取得する。
ステップS629では、テスト実行モジュール121はステップS622およびステップS628の処理結果として得られた、サンプリングデータの集合および照合対象データの集合から「サンプリング・キー属性、検索キー属性、サンプリングデータ、照合データ」の組から構成されるデータエントリを生成し、そのエントリを要素とする集合を生成する。
ステップS630では、テスト実行モジュール121はステップS629で生成された集合の各エントリに対して、サンプリングデータから取得した照合属性と照合対象データから取得した照合属性のそれぞれの値を比較する。その比較の結果、一致しないエントリの数がNG許容数以下であれば、運用テスト合格と判断、NG許容数を超えていれば、運用テスト不合格と判断する。
ステップS630では、テスト実行モジュール121はステップS629で生成された集合の各エントリに対して、サンプリングデータから取得した照合属性と照合対象データから取得した照合属性のそれぞれの値を比較する。その比較の結果、一致しないエントリの数がNG許容数以下であれば、運用テスト合格と判断、NG許容数を超えていれば、運用テスト不合格と判断する。
図7〜図9を用いて、財務内部統制の評価の一種である運用評価を行うに際して、内部統制処理サーバー2120が内部統制処理サーバー2120のディスプレイ等の出力装置に表示する画面例を説明する。
なお、運用評価の概要としては次のようなものである。
財務内部統制のために作成した4文書とそのベースとなるデータベース化されたデータ(RCMデータ1404、資源データ1405、知識・情報データ1406などの要素とその中心となる活動データ1402)を使って、運用評価の計画をするための運用評価の計画内容とテスト内容を入力(図7に示した運用テスト計画調書画面1700)し、運用評価の実施をするための運用評価テスト結果を入力(図9に示した運用テスト詳細シート(実施)画面1900)し、運用評価のテスト結果を評価し、運用評価の総合評価として、不備リストと残存リスクリストを出力する。
なお、運用評価の概要としては次のようなものである。
財務内部統制のために作成した4文書とそのベースとなるデータベース化されたデータ(RCMデータ1404、資源データ1405、知識・情報データ1406などの要素とその中心となる活動データ1402)を使って、運用評価の計画をするための運用評価の計画内容とテスト内容を入力(図7に示した運用テスト計画調書画面1700)し、運用評価の実施をするための運用評価テスト結果を入力(図9に示した運用テスト詳細シート(実施)画面1900)し、運用評価のテスト結果を評価し、運用評価の総合評価として、不備リストと残存リスクリストを出力する。
図7、図8は、運用テスト計画調書の画面例の説明図である。
運用テスト計画調書画面1700には、データベース1400内の活動データ1402、RCMデータ1404等のデータを参照して、テスト対象期間欄1701、会社名欄1702、プロセスID欄1703、プロセス名欄1704、コントロール欄1705、手続き種別欄1706、実施内容欄1707、サンプリング数欄1708、修正理由欄1710、評価基準1711の逸脱率欄1712、信頼度欄1713及び許容NG数欄1714、サンプリング対象1715、照合対象1722、レビュー画面1730を表示する。
運用テスト計画調書画面1700には、データベース1400内の活動データ1402、RCMデータ1404等のデータを参照して、テスト対象期間欄1701、会社名欄1702、プロセスID欄1703、プロセス名欄1704、コントロール欄1705、手続き種別欄1706、実施内容欄1707、サンプリング数欄1708、修正理由欄1710、評価基準1711の逸脱率欄1712、信頼度欄1713及び許容NG数欄1714、サンプリング対象1715、照合対象1722、レビュー画面1730を表示する。
テスト対象期間欄1701を表示し、操作者の操作による期間データ(例えば、2008/04/01〜2009/03/31等)の入力を受け付ける。
テスト計画の該当する文書化プロセス名とコントロール情報を、プロセス名欄1704、コントロール欄1705に表示する。
操作者の操作に応じて、テストデータとして、手続き種別(質問/観察/閲覧/照合)を手続き種別欄1706によって選択入力し、テストの実施内容を実施内容欄1707から入力する。
操作者の操作に応じて、テスト用のデータのサンプリング数をサンプリング数欄1708から入力し、その入力後修正ボタン1709の押下によって修正する場合、修正理由を修正理由欄1710から入力する。
評価基準として、逸脱率と信頼度を逸脱率欄1712、信頼度欄1713から入力すると、コントロールの数から許容NG数を自動的に計算して許容NG数欄1714に表示する。
テスト計画の該当する文書化プロセス名とコントロール情報を、プロセス名欄1704、コントロール欄1705に表示する。
操作者の操作に応じて、テストデータとして、手続き種別(質問/観察/閲覧/照合)を手続き種別欄1706によって選択入力し、テストの実施内容を実施内容欄1707から入力する。
操作者の操作に応じて、テスト用のデータのサンプリング数をサンプリング数欄1708から入力し、その入力後修正ボタン1709の押下によって修正する場合、修正理由を修正理由欄1710から入力する。
評価基準として、逸脱率と信頼度を逸脱率欄1712、信頼度欄1713から入力すると、コントロールの数から許容NG数を自動的に計算して許容NG数欄1714に表示する。
サンプリング対象1715は知識・情報(証跡)欄1716、サンプリング属性欄1717、テスト対象属性欄1718を有している。
操作者の操作によって追加ボタン1719が押下されると、図8(A)に示すサンプリング対象追加画面1750を表示する。
このサンプリング対象追加画面1750では、知識・情報(証跡)欄1752とサンプリング方法欄1753を有しているサンプリング対象1751、サンプリング方法欄1754、サンプリング属性欄1755、テスト対象属性欄1756を表示する。そして、テスト用のデータのサンプリング対象として、証跡情報(関連ドキュメント)とそのサンプリング方法(指定した条件下のデータを自動抽出、ランダムにデータを自動抽出、手動で抽出)が、操作者の操作によって知識・情報(証跡)欄1752、サンプリング方法欄1753またはサンプリング方法欄1754で選択される。
なお、操作者の操作によって編集ボタン1720が押下された場合も、追加ボタン1719の場合と同様にサンプリング対象追加画面1750を表示し、その内容を編集できる。操作者の操作によって削除ボタン1721が押下された場合は、サンプリング対象1715内の選択された証跡を削除する。
操作者の操作によって追加ボタン1719が押下されると、図8(A)に示すサンプリング対象追加画面1750を表示する。
このサンプリング対象追加画面1750では、知識・情報(証跡)欄1752とサンプリング方法欄1753を有しているサンプリング対象1751、サンプリング方法欄1754、サンプリング属性欄1755、テスト対象属性欄1756を表示する。そして、テスト用のデータのサンプリング対象として、証跡情報(関連ドキュメント)とそのサンプリング方法(指定した条件下のデータを自動抽出、ランダムにデータを自動抽出、手動で抽出)が、操作者の操作によって知識・情報(証跡)欄1752、サンプリング方法欄1753またはサンプリング方法欄1754で選択される。
なお、操作者の操作によって編集ボタン1720が押下された場合も、追加ボタン1719の場合と同様にサンプリング対象追加画面1750を表示し、その内容を編集できる。操作者の操作によって削除ボタン1721が押下された場合は、サンプリング対象1715内の選択された証跡を削除する。
照合対象1722は知識・情報(証跡)欄1723、サンプリング属性欄1724、テスト対象属性欄1725を有している。
操作者の操作によって追加ボタン1726が押下されると、図8(B)に示す照合対象追加画面1760を表示する。
この照合対象追加画面1760では、知識・情報(証跡)欄1762とサンプリング方法欄1763を有しているサンプリング対象1761、検索方法欄1764、検索属性欄1765、照合属性欄1766を表示する。そして、テストの確認のための照合対象として、証跡情報(関連ドキュメント)とそのサンプリング方法(指定した条件下のデータを自動抽出、ランダムにデータを自動抽出、手動で抽出)が、操作者の操作によって知識・情報(証跡)欄1762、サンプリング方法欄1763または検索方法欄1764で選択される。
なお、操作者の操作によって編集ボタン1727が押下された場合も、追加ボタン1726の場合と同様に照合対象追加画面1760を表示し、その内容を編集できる。操作者の操作によって削除ボタン1728が押下された場合は、照合対象1722内の選択された証跡を削除する。
操作者の操作によって追加ボタン1726が押下されると、図8(B)に示す照合対象追加画面1760を表示する。
この照合対象追加画面1760では、知識・情報(証跡)欄1762とサンプリング方法欄1763を有しているサンプリング対象1761、検索方法欄1764、検索属性欄1765、照合属性欄1766を表示する。そして、テストの確認のための照合対象として、証跡情報(関連ドキュメント)とそのサンプリング方法(指定した条件下のデータを自動抽出、ランダムにデータを自動抽出、手動で抽出)が、操作者の操作によって知識・情報(証跡)欄1762、サンプリング方法欄1763または検索方法欄1764で選択される。
なお、操作者の操作によって編集ボタン1727が押下された場合も、追加ボタン1726の場合と同様に照合対象追加画面1760を表示し、その内容を編集できる。操作者の操作によって削除ボタン1728が押下された場合は、照合対象1722内の選択された証跡を削除する。
運用テスト計画調書をレビューするために、操作者の操作であるレビュー完了ボタン1735の押下によって、レビュアーに対して電子メールを送信する。
このレビュー依頼によって、レビュー画面1730内のレビュー結果欄1731、レビュアーコメント欄1732、レビュアー欄1733、レビュー日欄1734にレビュアーによる入力ができるようにする。つまり、レビュー画面1730内の項目をアクティブとする。また、レビュアーが見る運用テスト計画調書画面1700ではレビュー完了ボタン1735のボタンの表示を「レビュー完了」とする。レビュアーの操作であるレビュー完了ボタン1735の押下によって、レビューが確定する。
なお、更新ボタン1736が操作者の操作によって押下されると、現在の運用テスト計画調書画面1700に入力された内容でデータベース1400内のデータを更新し、取消しボタン1737が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
このレビュー依頼によって、レビュー画面1730内のレビュー結果欄1731、レビュアーコメント欄1732、レビュアー欄1733、レビュー日欄1734にレビュアーによる入力ができるようにする。つまり、レビュー画面1730内の項目をアクティブとする。また、レビュアーが見る運用テスト計画調書画面1700ではレビュー完了ボタン1735のボタンの表示を「レビュー完了」とする。レビュアーの操作であるレビュー完了ボタン1735の押下によって、レビューが確定する。
なお、更新ボタン1736が操作者の操作によって押下されると、現在の運用テスト計画調書画面1700に入力された内容でデータベース1400内のデータを更新し、取消しボタン1737が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
図9は、運用テスト詳細シート(実施)の画面例の説明図である。
運用テスト詳細シート(実施)画面1900には、データベース1400内の運用テストデータ1401等のデータを参照して、テスト対象プロセス1901、プロセスID欄1902、プロセス名欄1903、テスト対象コントロール1904、コントロールID欄1905、コントロール名欄1906、手動抽出方法欄1908、テスト実施結果1910を表示する。
テスト対象の文書化プロセス名とコントロール情報を、プロセス名欄1903、テスト対象コントロール1904等に表示する。
操作者の操作によって抽出実行ボタン1907が押下されると、サンプリング対象を手動抽出方法1908に入力された方法に基づいて抽出する。
テスト実施結果1910は、サンプリング対象証跡のサンプリング属性欄1911、サンプリング対象証跡のテスト属性欄1912、照合対象証跡の検索属性欄1913、照合対象属性の照合属性欄1914、参照欄1915(サンプリング対象証跡欄1916、照合対象証跡欄1917)、結果欄1918(照合結果(1)欄1919、コメント欄1920)を有する。テスト実施結果1910は、サンプリングのためのデータを取り込むためのエクスポートとエクスポートしたデータを一覧で表示する。
なお、操作者の操作によってエクスポートボタン1921が押下されるとテスト実施結果1910のデータ内容をCSV(Comma Separated Value)形式として出力する。また、操作者の操作によってインポートボタン1922が押下されると、外部のCSV形式のデータを読み込み、テスト実施結果1910に表示する。
また、更新ボタン1998が操作者の操作によって押下されると、現在の運用テスト詳細シート(実施)画面1900に入力された内容でデータベース1400内のデータを更新し、取消しボタン1999が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
運用テスト詳細シート(実施)画面1900には、データベース1400内の運用テストデータ1401等のデータを参照して、テスト対象プロセス1901、プロセスID欄1902、プロセス名欄1903、テスト対象コントロール1904、コントロールID欄1905、コントロール名欄1906、手動抽出方法欄1908、テスト実施結果1910を表示する。
テスト対象の文書化プロセス名とコントロール情報を、プロセス名欄1903、テスト対象コントロール1904等に表示する。
操作者の操作によって抽出実行ボタン1907が押下されると、サンプリング対象を手動抽出方法1908に入力された方法に基づいて抽出する。
テスト実施結果1910は、サンプリング対象証跡のサンプリング属性欄1911、サンプリング対象証跡のテスト属性欄1912、照合対象証跡の検索属性欄1913、照合対象属性の照合属性欄1914、参照欄1915(サンプリング対象証跡欄1916、照合対象証跡欄1917)、結果欄1918(照合結果(1)欄1919、コメント欄1920)を有する。テスト実施結果1910は、サンプリングのためのデータを取り込むためのエクスポートとエクスポートしたデータを一覧で表示する。
なお、操作者の操作によってエクスポートボタン1921が押下されるとテスト実施結果1910のデータ内容をCSV(Comma Separated Value)形式として出力する。また、操作者の操作によってインポートボタン1922が押下されると、外部のCSV形式のデータを読み込み、テスト実施結果1910に表示する。
また、更新ボタン1998が操作者の操作によって押下されると、現在の運用テスト詳細シート(実施)画面1900に入力された内容でデータベース1400内のデータを更新し、取消しボタン1999が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
なお、前述した実施の形態では、証跡(サンプリングデータ)と照合データとを突き合わせるテスト手続きについて説明したが、テスト手続きが、1個(1種類)の証跡をサンプリングして、閲覧する場合(例えば、承認印があるかどうかを確認)には、照合対象を検索・取得する処理、照合比較する処理を省略した構成にしてもよい。
なお、本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図11に示すように、一般的なコンピュータであり、具体的にはクライアント2110はパーソナルコンピュータ等であり、内部統制処理サーバー2120はサーバーとなりうるコンピュータである。テスト定義モジュール112、テスト実行モジュール121、サンプリング数決定モジュール119、評価基準決定モジュール120等のモジュールのプログラムを実行するCPU2201と、そのプログラムやデータを記憶するRAM2202と、本コンピュータを起動するためのプログラム等が格納されているROM2203と、補助記憶装置であるHD2204と、キーボード、マウス等のデータを入力する入力装置2206と、CRTや液晶ディスプレイ等の出力装置2205と、通信ネットワークと接続するための通信回線インタフェース2207、そして、それらをつないでデータのやりとりをするためのバス2208により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
なお、図11に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図11に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えばASIC等)で構成してもよい。また、特に、パーソナルコンピュータの他、携帯電話、ゲーム機、カーナビ機、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(多機能複写機とも呼ばれ、スキャナ、プリンタ、複写機、ファックス等の機能を有している)などに組み込まれていてもよい。
なお、説明したプログラムについては、記録媒体に格納することも可能であり、また、そのプログラムを通信手段によって提供することもできる。その場合、例えば、上記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えることもできる。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去および書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、上記のプログラムまたはその一部は、上記記録媒体に記録して保存や流通等させることが可能である。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにはこれらの組合せ等の伝送媒体を用いて伝送することが可能であり、また、搬送波に乗せて搬送することも可能である。
さらに、上記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去および書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、上記のプログラムまたはその一部は、上記記録媒体に記録して保存や流通等させることが可能である。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにはこれらの組合せ等の伝送媒体を用いて伝送することが可能であり、また、搬送波に乗せて搬送することも可能である。
さらに、上記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。
110…運用テスト処理システム
111…コントロール定義記憶モジュール
112…テスト定義モジュール
113…知識/情報定義記憶モジュール
114…サンプリング定義記憶モジュール
115…知識/情報定義記憶モジュール
116…照合・検索定義記憶モジュール
117…サンプリング対象定義モジュール
118…照合対象定義モジュール
119…サンプリング数決定モジュール
120…評価基準決定モジュール
121…テスト実行モジュール
122…サンプラー
150…リポジトリ
151…サンプリング対象DB
152…コネクタ
153…照合対象DB
154…コネクタ
155…共通インタフェース
111…コントロール定義記憶モジュール
112…テスト定義モジュール
113…知識/情報定義記憶モジュール
114…サンプリング定義記憶モジュール
115…知識/情報定義記憶モジュール
116…照合・検索定義記憶モジュール
117…サンプリング対象定義モジュール
118…照合対象定義モジュール
119…サンプリング数決定モジュール
120…評価基準決定モジュール
121…テスト実行モジュール
122…サンプラー
150…リポジトリ
151…サンプリング対象DB
152…コネクタ
153…照合対象DB
154…コネクタ
155…共通インタフェース
Claims (6)
- 想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
証跡に関する知識情報を記憶する知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
を具備することを特徴とする情報処理システム。 - 想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
サンプリング対象の証跡に関する知識情報を記憶するサンプリング対象知識情報記憶手段と、
照合対象の証跡に関する知識情報を記憶する照合対象知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記サンプリング対象知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記運用評価を行うために照合対象である証跡に関する情報を、前記照合対象知識情報記憶手段に記憶されている知識情報に応じて定義する照合対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報と照合対象定義手段によって定義された照合対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
を具備することを特徴とする情報処理システム。 - 少なくとも検査対象の知識・情報に基づいてサンプリング数を決定するサンプリング数決定手段
を具備し、
前記テスト定義記憶手段は、前記サンプリング数決定手段によって決定されたサンプリング数に応じて前記運用評価を定義した情報を記憶する
ことを特徴とする請求項1または2に記載の情報処理システム。 - 前記テスト実行手段によって実行される運用評価に必要なサンプリング対象または照合対象を、前記テスト実行手段からの指示に基づいて外部にある証跡記憶部から抽出する対象抽出手段
を具備することを特徴とする請求項1、2または3に記載の情報処理システム。 - コンピュータを、
想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
証跡に関する知識情報を記憶する知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
として機能させることを特徴とする情報処理プログラム。 - コンピュータを、
想定されるリスクに対応するコントロールに関する情報を記憶するコントロール記憶手段と、
サンプリング対象の証跡に関する知識情報を記憶するサンプリング対象知識情報記憶手段と、
照合対象の証跡に関する知識情報を記憶する照合対象知識情報記憶手段と、
財務内部統制の財務に関連した業務が文書通りに運用されているかをテストする運用評価を行うためにサンプリングする証跡に関する情報を、前記サンプリング対象知識情報記憶手段に記憶されている知識情報に応じて定義するサンプリング対象定義手段と、
前記運用評価を行うために照合対象である証跡に関する情報を、前記照合対象知識情報記憶手段に記憶されている知識情報に応じて定義する照合対象定義手段と、
前記コントロール記憶手段に記憶されているコントロールに関する情報とサンプリング対象定義手段によって定義されたサンプリング対象に関する情報と照合対象定義手段によって定義された照合対象に関する情報に応じて前記運用評価を定義した情報を記憶するテスト定義記憶手段と、
前記テスト定義記憶手段に記憶されている運用評価を定義した情報に基づいて、前記運用評価を実行するテスト実行手段
として機能させることを特徴とする情報処理プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006273489A JP2008090759A (ja) | 2006-10-04 | 2006-10-04 | 情報処理システムおよび情報処理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006273489A JP2008090759A (ja) | 2006-10-04 | 2006-10-04 | 情報処理システムおよび情報処理プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008090759A true JP2008090759A (ja) | 2008-04-17 |
Family
ID=39374809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006273489A Pending JP2008090759A (ja) | 2006-10-04 | 2006-10-04 | 情報処理システムおよび情報処理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008090759A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010079703A (ja) * | 2008-09-26 | 2010-04-08 | Oki Electric Ind Co Ltd | 証跡管理システム |
JP2014049069A (ja) * | 2012-09-04 | 2014-03-17 | Fuji Xerox Co Ltd | 情報処理装置、証跡収集システム及びプログラム |
-
2006
- 2006-10-04 JP JP2006273489A patent/JP2008090759A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010079703A (ja) * | 2008-09-26 | 2010-04-08 | Oki Electric Ind Co Ltd | 証跡管理システム |
JP2014049069A (ja) * | 2012-09-04 | 2014-03-17 | Fuji Xerox Co Ltd | 情報処理装置、証跡収集システム及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8037452B2 (en) | Task aware source checkin and build | |
JPH07239776A (ja) | ソフトウェアシステム管理装置 | |
JP2008090758A (ja) | 情報処理システムおよび情報処理プログラム | |
JP2010157183A (ja) | 情報処理装置及び情報処理プログラム | |
JP5145784B2 (ja) | 情報処理システム及び情報処理プログラム | |
JP5119027B2 (ja) | 情報処理装置およびプログラム解析方法 | |
JP4944439B2 (ja) | 進捗管理装置システム、進捗管理装置および進捗管理プログラム | |
JP2008090759A (ja) | 情報処理システムおよび情報処理プログラム | |
Haney et al. | An introduction to high content screening: imaging technology, assay development, and data analysis in biology and drug discovery | |
JP2006235872A (ja) | プロジェクト管理装置 | |
JP5157309B2 (ja) | 情報処理システム及び情報処理プログラム | |
JP5195108B2 (ja) | 情報処理装置及び情報処理プログラム | |
Plosch et al. | Tool support for expert-centred code assessments | |
JP4951428B2 (ja) | 分析データ処理装置およびファイル保存方法 | |
JP2008052347A (ja) | 文書処理装置および文書処理プログラム | |
US10762211B2 (en) | Source code diagnostic instrument | |
JP4957704B2 (ja) | 情報処理装置及び情報処理プログラム | |
Plösch et al. | Adapting quality models for assessments-Concepts and tool support | |
JP2013058168A (ja) | 情報処理装置及び情報処理プログラム | |
CN112445391B (zh) | 一种服务数据生成方法、装置和计算机可读存储介质 | |
JP2004362495A (ja) | エラーログ情報解析支援方法及び実施装置並びに処理プログラム | |
JP2009169641A (ja) | 情報処理装置及び情報処理プログラム | |
JP2009064385A (ja) | 情報処理システム及び情報処理プログラム | |
JP2008176769A (ja) | 文書処理装置及び文書処理プログラム | |
JP2008234504A (ja) | 情報処理システム及び情報処理プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090916 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110831 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110913 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120313 |