JP2009134485A - Information processor and information processing program - Google Patents
Information processor and information processing program Download PDFInfo
- Publication number
- JP2009134485A JP2009134485A JP2007309623A JP2007309623A JP2009134485A JP 2009134485 A JP2009134485 A JP 2009134485A JP 2007309623 A JP2007309623 A JP 2007309623A JP 2007309623 A JP2007309623 A JP 2007309623A JP 2009134485 A JP2009134485 A JP 2009134485A
- Authority
- JP
- Japan
- Prior art keywords
- column
- control
- test
- evaluation
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims description 19
- 238000011156 evaluation Methods 0.000 claims abstract description 222
- 238000012423 maintenance Methods 0.000 claims abstract description 69
- 238000000605 extraction Methods 0.000 claims abstract description 26
- 238000013500 data storage Methods 0.000 claims abstract description 18
- 230000006870 function Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 abstract description 4
- 238000012360 testing method Methods 0.000 description 280
- 238000000034 method Methods 0.000 description 173
- 230000008569 process Effects 0.000 description 105
- 230000000694 effects Effects 0.000 description 82
- 238000012552 review Methods 0.000 description 81
- 238000005070 sampling Methods 0.000 description 51
- 238000010586 diagram Methods 0.000 description 35
- 230000006872 improvement Effects 0.000 description 30
- 238000012545 processing Methods 0.000 description 23
- 238000012954 risk control Methods 0.000 description 22
- 238000012795 verification Methods 0.000 description 19
- 230000007547 defect Effects 0.000 description 18
- 238000010998 test method Methods 0.000 description 18
- 238000003825 pressing Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000007812 deficiency Effects 0.000 description 11
- 239000011159 matrix material Substances 0.000 description 9
- 238000012937 correction Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000000295 complement effect Effects 0.000 description 5
- 230000002950 deficient Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000004397 blinking Effects 0.000 description 3
- 238000013439 planning Methods 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000005204 segregation Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000013102 re-test Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、情報処理装置及び情報処理プログラムに関する。 The present invention relates to an information processing apparatus and an information processing program.
近年、財務内部統制が求められている。その財務内部統制とは、1992年にCOSO(トレッドウェイ委員会組織委員会)が発表した「内部統制−統合的枠組み」が、事実上の標準となっており、「(1)業務の有効性・効率性、(2)財務諸表の信頼性、(3)関連法規の遵守の3つの目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者及びその他の職員によって遂行される1つのプロセス」と定義されている。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化し、その文書を活用するための仕組みを構築することを人手により運用管理するには多大な労力がかかっていた。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス、リスクとコントロールの関係表)、職務分離表の4文書がある。
In recent years, financial internal control has been required. With regard to the financial internal control, “Internal Control – Integrated Framework” announced by COSO (Treadway Committee Organizing Committee) in 1992 has become the de facto standard.・ Board of Directors, Management and other organizations intended to provide reasonable assurance to achieve three objectives: efficiency, (2) reliability of financial statements, and (3) compliance with relevant laws and regulations. It is defined as "one process carried out by staff".
In financial internal control, it takes a lot of labor to manually manage and manage the relationship between activities / systems / resources / knowledge information, etc., to document business processes, and to build a mechanism for using those documents. It was hanging. There are four types of financial internal control documents: business description, business flow diagram, RCM (risk control matrix, risk and control relationship table), and segregation of duties table.
また、財務内部統制において、財務に関連した業務を分析し、その結果をまとめた文書に対して、その文書の正当性と正確性をチェックする整備評価(以下ウォークスルーともいい、WTとも略す)と文書通りに運用されているかをテストする運用評価の2種類の評価がある。これらの評価の作業工数は、膨大な時間を要するものとなってしまうため、効率的に行う必要がある。
また、これらの評価は、テストケースを変えて毎年実施して報告する必要があるため、毎年の評価内容とその結果、前年からの積み残した課題とその対応方法について、膨大なデータから速やかに整理された形で資料を作成する必要がある。
In addition, in financial internal control, a maintenance evaluation that analyzes work related to finance and checks the correctness and accuracy of the document that summarizes the results (hereinafter also referred to as a walk-through, also abbreviated as WT). There are two types of evaluation: operational evaluation that tests whether the system is operating as documented. The number of man-hours for these evaluations requires an enormous amount of time, and therefore needs to be performed efficiently.
In addition, since these assessments need to be conducted and reported every year with different test cases, the contents of the assessments and results of each year, as well as the issues left over from the previous year and how to deal with them, are quickly organized from a vast amount of data. It is necessary to prepare a document in the form that was made.
これらに関する技術として、例えば、特許文献1には、業務分析からシステム仕様の作成までの作業を確実・容易にすることを目的とし、業務の流れを部門毎の処理内容と入出力情報とした業務フローダイアグラムを対話形式で作成する業務分析手段と、業務フローダイアグラムに必要なハードウェアやソフトウェア及び情報を知識ベースを利用して自動選定及び抽出する手段と、業務フローダイアグラムにしたがって生成されたシステムプロダクトによる業務の模擬実行を行う手段とを備え、実際に業務に携わる人が業務フローダイアグラムを作成し、この業務フローダイアグラムにしたがって必要なシステムプロダクトを自動生成できるようにすることが開示されている。
As a technology related to these, for example,
また、例えば、特許文献2には、ワークフロー管理システムにおいて、定義された業務プロセス定義情報が正当かどうかをシミュレーションによって確認することを目的とし、書類名、書類に付属する属性名及び選択する属性値をもつ擬似ケースを投入し、業務プロセス定義情報に基づいてノードからノードへ制御を渡し、現在のノードが作業ノードであるとき、以後の制御ノードで属性値を参照するような属性を擬似ケースによって更新する場合には更新の記録を残して次のノードへ遷移し、現在のノードが制御ノードであるとき、この更新記録にしたがって定義されたノードへ制御を渡すことが開示されている。
本発明は、内部統制における整備評価にあたって、2年度目以降の整備評価に関する対象を削減するようにした情報処理装置及び情報処理プログラムを提供することを目的としている。 An object of the present invention is to provide an information processing apparatus and an information processing program that reduce the objects related to maintenance evaluation in the second and subsequent years in maintenance evaluation in internal control.
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
[1] 年度毎の内部統制文書データを記憶する文書データ記憶手段と、
前記文書データ記憶手段に記憶されている対象とする年度の内部統制文書データと前年度の内部統制文書データの差分を抽出する文書差分抽出手段と、
前記文書差分抽出手段によって抽出された差分の箇所を内部統制における整備評価の対象として出力する評価対象出力手段
を具備することを特徴とする情報処理装置。
The gist of the present invention for achieving the object lies in the inventions of the following items.
[1] Document data storage means for storing internal control document data for each year;
A document difference extracting means for extracting the difference between the internal control document data of the target year stored in the document data storage means and the internal control document data of the previous year;
An information processing apparatus comprising: an evaluation target output unit that outputs a difference portion extracted by the document difference extraction unit as a maintenance evaluation target in internal control.
[2] 対象とする年度の前年度の内部統制文書データを前記文書データ記憶手段から取り出し、対象とする年度の内部統制文書データを作成し、前記文書データ記憶手段に記憶する文書データ作成手段
をさらに具備することを特徴とする[1]に記載の情報処理装置。
[2] Document data creation means for retrieving internal control document data for the previous year of the target year from the document data storage means, creating internal control document data for the target year, and storing the data in the document data storage means The information processing apparatus according to [1], further comprising:
[3] 整備評価のためのデータを記憶する評価用データ記憶手段と、
前記評価対象出力手段によって出力された整備評価の対象及び前記評価用データ記憶手段に記憶されている整備評価用データに基づいて、対象とする年度における内部統制文書データの整備評価の計画を作成する整備評価計画作成手段
をさらに具備することを特徴とする[1]又は[2]に記載の情報処理装置。
[3] Evaluation data storage means for storing data for maintenance evaluation;
Based on the maintenance evaluation target output by the evaluation target output means and the maintenance evaluation data stored in the evaluation data storage means, a maintenance evaluation plan for the internal control document data in the target year is created. The information processing apparatus according to [1] or [2], further comprising maintenance evaluation plan creation means.
[4] コンピュータを、
年度毎の内部統制文書データを記憶する文書データ記憶手段と、
前記文書データ記憶手段に記憶されている対象とする年度の内部統制文書データと前年度の内部統制文書データの差分を抽出する文書差分抽出手段と、
前記文書差分抽出手段によって抽出された差分の箇所を内部統制における整備評価の対象として出力する評価対象出力手段
として機能させることを特徴とする情報処理プログラム。
[4]
Document data storage means for storing internal control document data for each year;
A document difference extracting means for extracting the difference between the internal control document data of the target year stored in the document data storage means and the internal control document data of the previous year;
An information processing program that functions as an evaluation target output unit that outputs a difference portion extracted by the document difference extraction unit as a maintenance evaluation target in internal control.
請求項1記載の情報処理装置によれば、内部統制における整備評価にあたって、2年度目以降の整備評価に関する対象を削減することができる。 According to the information processing apparatus of the first aspect, in the maintenance evaluation in the internal control, it is possible to reduce the objects related to the maintenance evaluation after the second year.
請求項2記載の情報処理装置によれば、前年度の内部統制文書データを流用して、当年度の内部統制文書データを作成することができる。 According to the information processing apparatus of the second aspect, the internal control document data of the current year can be created by diverting the internal control document data of the previous year.
請求項3記載の情報処理装置によれば、2年度目以降の整備評価に関する対象を削減した整備評価計画を作成することができる。 According to the information processing apparatus of the third aspect, it is possible to create a maintenance evaluation plan in which the objects related to the maintenance evaluation in the second and subsequent years are reduced.
請求項4記載の情報処理プログラムによれば、内部統制における整備評価にあたって、2年度目以降の整備評価に関する対象を削減することができる。 According to the information processing program of the fourth aspect, in the maintenance evaluation in the internal control, it is possible to reduce the objects related to the maintenance evaluation after the second year.
まず、内部統制の「基本4文書」について説明する。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書は、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂により影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。
職務分離表とは、業務プロセスの流れのなかで、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、評価、権利と義務、期間/配分、表示の6項目が一般的には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
First, “Basic 4 Documents” of internal control will be described.
The four basic documents are basic documents created for each business process subject to financial internal control. Specifically, a business description, a business flow diagram, an RCM (risk control matrix), a job There is a separation table.
The business description is also called narrative. This is a documented flow of a series of operations from the start of the transaction to the final entry to the general ledger and reporting. Regulatory documents such as personnel regulations and accounting business regulations are higher-level documents of the business description, and the revision affects the business description. The business manual is a sub-document of the business description and is affected by the revision.
The business flow diagram is a visual flowchart of a series of business flows from the start of a transaction to the final entry to the general ledger and reporting. Risk and control are also placed on this flow.
The RCM (Risk Control Matrix) is a summary of internal control activities related to business processes, a summary of the control points to be achieved (assertion), assumed risks, and corresponding internal control activities. It is.
The segregation of duties table is used to check whether there is a duplication of processing by the same person in charge in the flow of business processes, which causes a problem in financial control.
Assertion is a precondition for financial information to be considered as reliable information. Specifically, it includes reality, completeness, evaluation, rights and obligations, period / allocation, and display. The item is generally used, but it is desirable that it can be customized because there are some changes by each company or audit corporation.
Risk refers to an impediment to assertions assumed in business processes.
Control refers to internal control activities against risks. Control types include preventive and detective.
以下、図面に基づき本発明の好適な一実施の形態を説明する。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化し、その文書を活用するためのシステムを構築している。このシステムは会社単位で構築されているが、関連会社(子会社、親会社等を含む)の間でも1つのシステムが利用されるようにしてもよい。
図30を用いて、本実施の形態を実現するための財務内部統制のウォークスルー又は運用評価のためのシステム全体の構成例を説明する。
システム全体は、クライアント3010、内部統制処理サーバー3020から構成されている。なお、それぞれの構成は複数であってもよい。クライアント3010と内部統制処理サーバー3020の間は、通信回線3030を介して接続されている。そして、クライアント3010と内部統制処理サーバー3020との間は、XML(eXtensible Markup Language)等を用いてデータを記述し、HTTP(Hyper Text Transfer Protocol)等の通信プロトコルを用いて接続されている。
クライアント3010は、操作者が、内部統制処理サーバー3020を用いるためのユーザインタフェースの機能を有している。
内部統制におけるウォークスルー又は運用評価をするために、内部統制処理サーバー3020では評価の計画等を入力するための画面(WT計画調書画面400等)をクライアント3010に表示する。
Hereinafter, a preferred embodiment of the present invention will be described with reference to the drawings.
In financial internal control, the relationship between activities / systems / resources / knowledge information is organized, business processes are documented, and a system for utilizing the documents is constructed. This system is constructed in units of companies, but one system may be used between affiliated companies (including subsidiaries, parent companies, etc.).
A configuration example of the entire system for walkthrough or operational evaluation of financial internal control for realizing the present embodiment will be described with reference to FIG.
The entire system includes a
The
In order to conduct a walk-through or operational evaluation in internal control, the internal
図1〜図12を用いて、財務内部統制のために作成した文書の正当性や有効性を確認する財務内部統制の整備評価(ウォークスルー)を行うための本実施の形態について説明する。
図1を用いて、ウォークスルーフェーズでの基本フローの例を説明する。
ステップS102では、財務内部統制の担当者が財務内部統制の全体計画を作成する。
ステップS104では、担当者が本実施の形態を用いて、ウォークスルーの計画を作成する。この際に用いられるものは、計画調書、WT詳細シート(計画)である。
ステップS106では、担当者が本実施の形態を用いて、ウォークスルーを実施する。この際に用いられるものは、手続調書、WT詳細シート(実施)である。
ステップS108では、担当者が本実施の形態を用いて、ウォークスルーの結果から評価を行う。この際に用いられるものは、評価調書である。
ステップS110では、担当者がウォークスルーの結果評価から対策を検討する。担当者によって改善が必要であると判断された場合はステップS112へ進み、それ以外の場合はステップS116へ進む。
ステップS112では、担当者による改善活動が行われる。例えば、ステップS108での評価からどの文書のどの箇所をどのように修正するか等の検討が行われる。
ステップS114では、改善活動として、担当者が本実施の形態を用いて、文書の修正・改版等を行う。その後、ステップS104へ戻る。
ステップS116では、担当者が、ウォークスルー活動、対策の済んだ財務内部統制用の文書等に対して、総合的な評価を行う。
With reference to FIGS. 1 to 12, a description will be given of the present embodiment for performing maintenance evaluation (walk-through) of financial internal control for confirming the validity and validity of a document created for financial internal control.
An example of a basic flow in the walk-through phase will be described with reference to FIG.
In step S102, the person in charge of financial internal control creates an overall plan for financial internal control.
In step S104, the person in charge creates a walk-through plan using the present embodiment. What is used in this case is a plan record and a WT detail sheet (plan).
In step S106, the person in charge performs a walk-through using the present embodiment. What is used at this time is a procedure record and a WT detail sheet (implementation).
In step S108, the person in charge performs evaluation from the result of the walk-through using the present embodiment. What is used at this time is an evaluation record.
In step S110, the person in charge examines a countermeasure from the evaluation of the result of the walkthrough. If it is determined by the person in charge that improvement is necessary, the process proceeds to step S112. Otherwise, the process proceeds to step S116.
In step S112, improvement activities by the person in charge are performed. For example, examination of which part of which document is to be corrected is performed based on the evaluation in step S108.
In step S114, the person in charge modifies / revises a document or the like using this embodiment as an improvement activity. Thereafter, the process returns to step S104.
In step S116, the person in charge performs a comprehensive evaluation on the document for financial internal control, etc. for which the walkthrough activity and the countermeasures have been completed.
図2を用いて、ウォークスルーを行う際の本実施の形態の概念的なモジュール構成例を説明する。
なお、各構成部は、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態における構成部はコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、各構成部は機能にほぼ一対一に対応しているが、実装においては、1構成部を1プログラムで構成してもよいし、複数構成部を1プログラムで構成してもよく、逆に1構成部を複数プログラムで構成してもよい。また、複数構成部は1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1構成部が複数コンピュータで実行されてもよい。なお、1つの構成部に他の構成部が含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)を含む。例えば、データとデータが接続されているとは、データの一部が同一のデータであること、ポインタ又はリンク等で一方が他方を指していること等を表す。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。
なお、操作者をその文脈に応じて、作成者、検証者、ユーザ等ともいう。
入力という用語は、クライアント3010又は内部統制処理サーバー3020に対する操作者の操作によってデータを受け付けること、各構成部が他の構成部からデータを受け付けること等に用いる。
A conceptual module configuration example of the present embodiment when performing walk-through will be described with reference to FIG.
Each component generally refers to components such as software (computer program) and hardware that can be logically separated. Therefore, the component in the present embodiment indicates not only a module in a computer program but also a module in a hardware configuration. Therefore, the present embodiment also serves as an explanation of a computer program, a system, and a method. However, for the sake of explanation, the words “store”, “store”, and equivalents thereof are used. However, when the embodiment is a computer program, these words are stored in a storage device or stored in memory. It is the control to be stored in the device. In addition, each component corresponds to the function almost one-to-one. However, in implementation, one component may be configured by one program, or a plurality of components may be configured by one program, and vice versa. In addition, one component may be composed of a plurality of programs. Further, the plurality of components may be executed by one computer, or the one component may be executed by a plurality of computers in a distributed or parallel environment. Note that one component may include other components. In the following, “connection” includes not only physical connection but also logical connection (data exchange, instruction, reference relationship between data, etc.). For example, data being connected to each other means that a part of the data is the same data, that one is pointing to the other by a pointer or a link.
In addition, the system or device is configured by connecting a plurality of computers, hardware, devices, and the like by communication means such as a network (including one-to-one correspondence communication connection), etc., and one computer, hardware, device. The case where it implement | achieves by etc. is also included.
The operator is also referred to as a creator, a verifier, a user, or the like depending on the context.
The term “input” is used when data is received by an operator's operation on the
データベース200内には、図2に示すように、WTテストデータ201、活動データ202、WTテスト結果203、RCMデータ204、資源データ205、知識・情報データ206が記憶されている。これらは、それぞれ別々のデータベースによって管理されていてもよいし、1つのデータベースによって管理されていてもよい。
In the
WTテストデータ201は、WT計画調書出力部221、WT詳細シート(計画)出力部222、WT計画調書入力部231、WT詳細シート(計画)入力部232と接続されている。活動データ202は、WT詳細シート(計画)出力部222、WT詳細シート(実施)出力部224、RCMデータ204、資源データ205、知識・情報データ206と接続されている。WTテスト結果203は、WT手続き調書出力部223、WT詳細シート(実施)出力部224、WT評価調書出力部225、WT手続き調書入力部233、WT詳細シート(実施)入力部234、WT評価調書入力部235と接続されている。RCMデータ204は、WT計画調書出力部221、WT詳細シート(計画)出力部222、WT手続き調書出力部223、WT詳細シート(実施)出力部224、WT評価調書出力部225、活動データ202と接続されている。資源データ205は、活動データ202と接続されている。知識・情報データ206は、WT詳細シート(計画)出力部222、WT詳細シート(実施)出力部224、活動データ202と接続されている。
The
データベース200へデータを入力する構成部として、WT計画調書入力部231、WT詳細シート(計画)入力部232、WT手続き調書入力部233、WT詳細シート(実施)入力部234、WT評価調書入力部235がある。WT計画調書入力部231、WT詳細シート(計画)入力部232は、WTテストデータ201と接続されている。WT手続き調書入力部233、WT詳細シート(実施)入力部234、WT評価調書入力部235は、WTテスト結果203と接続されている。
As components for inputting data to the
データベース200からデータを出力する構成部として、WT計画調書出力部221、WT詳細シート(計画)出力部222、WT手続き調書出力部223、WT詳細シート(実施)出力部224、WT評価調書出力部225がある。WT計画調書出力部221は、WTテストデータ201、RCMデータ204と接続されており、WT計画調書211を出力する。WT詳細シート(計画)出力部222は、WTテストデータ201、活動データ202、RCMデータ204、知識・情報データ206と接続されており、WT詳細シート212を出力する。WT手続き調書出力部223は、WTテスト結果203、RCMデータ204と接続されており、WT手続き調書213を出力する。WT詳細シート(実施)出力部224は、活動データ202、WTテスト結果203、RCMデータ204、知識・情報データ206と接続されており、WT詳細シート214を出力する。WT評価調書出力部225は、WTテスト結果203、RCMデータ204と接続されており、WT評価調書215を出力する。
As the components that output data from the
図3を用いて、データベース200内のデータ間の関係例について詳細に説明する。
図3は、活動表300、WTテストデータ表310、WTテスト結果表320、不備リスト表330、残存リスクリスト表340、WTテストレビュー表350、リスクとコントロールの関係表360、リスク表370、コントロール表380、知識・情報表390の関係を示している。なお、各表の欄は一例を表すものであり、さらに、他の情報を格納できるように欄を付加させてもよい。
An example of the relationship between data in the
FIG. 3 shows an activity table 300, a WT test data table 310, a WT test result table 320, a defect list table 330, a remaining risk list table 340, a WT test review table 350, a risk-control relationship table 360, a risk table 370, and a control. The relationship between the table 380 and the knowledge / information table 390 is shown. Note that each table column represents an example, and a column may be added so that other information can be stored.
活動表300は、図2の活動データ202に該当する。活動表300は、活動ID欄301、活動名欄302、活動タイプ欄303、システム名欄304、業務区分欄305、活動区分欄306、担当組織欄307、担当者欄308、実務内容欄309を有している。活動ID欄301が格納する活動IDは、操作者によって入力される活動を一意に識別できる識別子である。また、この活動IDは、リスク表370の活動ID欄374、コントロール表380の活動ID欄384、知識・情報表390の活動ID欄394でも用いられ、これらの表が活動表300と関係付けられる。
The activity table 300 corresponds to the
リスクとコントロールの関係表360、リスク表370、コントロール表380の3つは、図2のRCMデータ204に該当する。これら全体で、想定されるリスクと該リスクに対応するコントロールとを対応させたリスク・コントロール・マトリックスを記憶するものである。
リスク表370は、リスクID欄371、リスク名欄372、リスク内容欄373、活動ID欄374を有している。リスク表370のリスクID欄371に格納されるリスクIDは、リスクを一意に識別するための識別子である。このリスクIDは、リスクとコントロールの関係表360のリスクID欄361、残存リスクリスト表340のリスクID欄343でも用いられ、リスク表370がリスクとコントロールの関係表360、残存リスクリスト表340と関係付けられる。
コントロール表380は、コントロールID欄381、コントロール名欄382、コントロール内容欄383、活動ID欄384、証跡用知識ID欄385を有している。コントロール表380のコントロールID欄381に格納されるコントロールIDは、コントロールを一意に識別するための識別子である。このコントロールIDは、リスクとコントロールの関係表360のコントロールID欄362、WTテストデータ表310のコントロールID欄314、不備リスト表330のコントロールID欄333、不備リスト表330の代替コントロール欄334でも用いられ、コントロール表380がリスクとコントロールの関係表360、WTテストデータ表310、不備リスト表330と関係付けられる。
リスクとコントロールの関係表360は、リスクID欄361、コントロールID欄362を有している。この表によって、リスクIDとコントロールIDとが対応付けられる。
The risk-control relationship table 360, the risk table 370, and the control table 380 correspond to the
The risk table 370 has a
The control table 380 includes a
The risk-control relationship table 360 has a
知識・情報表390は、図2の知識・情報データ206に該当する。
知識・情報表390は、知識ID欄391、知識名欄392、知識タイプ欄393、活動ID欄394を有している。知識・情報表390の知識ID欄391に格納される知識IDは、知識を一意に識別するための識別子である。この知識IDは、コントロール表380の証跡用知識ID欄385でも用いられ、知識・情報表390がコントロール表380と関係付けられる。
The knowledge / information table 390 corresponds to the knowledge /
The knowledge / information table 390 has a
WTテストデータ表310は、図2のWTテストデータ201に該当する。
WTテストデータ表310は、WTID欄311、プロセスID欄312、プロセス名欄313、コントロールID欄314、テスト種別欄315、テスト実施内容欄316を有している。WTテストデータ表310のWTID欄311に格納されるWTIDは、ウォークスルーを一意に識別するための識別子である。このWTIDは、WTテスト結果表320のWTID欄321でも用いられ、WTテストデータ表310がWTテスト結果表320と関係付けられる。
The WT test data table 310 corresponds to the
The WT test data table 310 has a
WTテスト結果表320は、図2のWTテスト結果203に該当する。
WTテスト結果表320は、WTID欄321、テスト結果欄322、テスト実施者欄323、テスト日時欄324、計画との差異欄325、差異の内容欄326、コメント欄327を有している。
The WT test result table 320 corresponds to the
The WT test result table 320 includes a
不備リスト表330、残存リスクリスト表340、WTテストレビュー表350は、図2のWTテスト結果203に含まれる。
不備リスト表330は、プロセスID欄331、プロセス名欄332、コントロールID欄333、代替コントロール欄334、対応策欄335、改善計画欄336を有している。残存リスクリスト表340は、プロセスID欄341、プロセス名欄342、リスクID欄343、補完統制欄344、対応の要否欄345、改善計画欄346、補完統制欄347、対応の要否欄348、改善計画欄349を有している。WTテストレビュー表350は、帳票名欄351、レビュー結果欄352、レビューコメント欄353、レビュー日欄354、レビュアー欄355を有している。
The defect list table 330, the remaining risk list table 340, and the WT test review table 350 are included in the
The defect list table 330 includes a
図4〜図13を用いて、財務内部統制の評価の一種であり財務内部統制のために作成した文書の正当性や有効性を確認するウォークスルーを行うのに際して、内部統制処理サーバー3020が内部統制処理サーバー3020のディスプレイ等の出力装置に表示する画面例を説明する。
なお、ウォークスルーの概要としては次のようなものである。
財務内部統制のために作成した4文書とそのベースとなるデータベース化されたデータ(RCMデータ204、資源データ205、知識・情報データ206などの要素とその中心となる活動データ202)を使って、ウォークスルーの計画をするためのWT計画内容とテスト内容を入力(図4に示したWT計画調書画面400、図7に示したWT詳細シート(計画)画面700)し、ウォークスルーの実施をするためのWTテスト結果を入力(図5に示したWT手続き調書画面500、図9に示したWT詳細シート(実施)画面800)し、WTのテスト結果を評価(図6に示したWT評価調書画面600)し、ウォークスルーの総合評価として、不備リストと残存リスクリストを出力(図12に示した不備リスト画面1100、図13に示した残存リスクリスト画面1200)する。
The internal
The outline of the walkthrough is as follows.
Using the four documents created for financial internal control and the database-based data (elements such as
図4は、ウォークスルー計画調書の画面例の説明図である。
操作者の操作によって、文書化プロセスを指定し、整備評価を実行する。そして、WT計画調書画面400の入力画面を表示する。
テスト対象期間欄401を表示し、操作者の操作による期間データ(例えば、2008/04/01〜2009/03/31等)の入力を受け付ける。同様に、実施担当者欄431、レビュアー欄432、テスト期間欄433、レビュー期間欄434の入力を受け付ける。
また、データベース200内のデータを用いて、テスト対象期間欄401に入力された期間データに基づいて、会社名欄402、対象プロセス403のプロセスID欄404及びプロセス名欄405、全コントロール数欄406、計画済コントロール数欄407、達成率欄408、テスト実施計画410を表示する。テスト実施計画410は、CID欄411、コントロール欄412、詳細計画欄413、備考欄414を有している。
データベース200内のデータベース化されたRCMデータ204から文書化プロセスのコントロールの情報をコントロール欄412に表示する。
全コントロール数、計画済コントロール数、達成率を計算して、全コントロール数欄406、計画済コントロール数欄407、達成率欄408に表示する。
WT詳細シートボタン409が操作者の操作によって押下されると、WT詳細シート(計画)画面700を表示する。
コントロール欄412内のコントロールのセルが操作者の操作によって指定されると、コントロール詳細画面900を表示する。
コントロール毎のテストに対して、計画が未実施(未作成を含めてもよい)のものを他の表示とは異なる形態(例えば、赤色、点滅等)で表示する。
FIG. 4 is an explanatory diagram of a screen example of the walk-through plan record.
A documentation process is designated and maintenance evaluation is performed by the operator's operation. Then, the input screen of the WT
A test
Also, based on the period data input to the test
Information on control of the documenting process is displayed in the
The total number of controls, the planned number of controls, and the achievement rate are calculated and displayed in the total
When the WT
When a control cell in the
For a test for each control, a plan that has not been implemented (may include an uncreated plan) is displayed in a form (for example, red, blinking, etc.) different from other displays.
データベース200内のRCMデータ204(特に、リスクとコントロールの関係表360、リスク表370、コントロール表380)を参照して、コントロールがないリスクについては、そのリスクへのダミーコントロールを自動的に設定して、コントロールの入力漏れを無くすよう計画を未設定とする。また備考欄414に追加作成したコントロールであることを、他の表示とは異なる形態(例えば、赤色、点滅等)で表示する。基本4文書の文書化で作成したRCMデータ204からリスクに対してコントロールが定義されていないリスクを抽出する。そして、RCMデータ204に記憶されているリスクに対応するコントロールがない場合は、ダミーとなるコントロールを設定するものである。次に、ダミーとなるコントロールを設定した場合に、設定したコントロールがダミーであることを示すデータ(例えば、計画は未設定)を設定する。
具体的にはリスクとコントロールのマトリックスの表形式上、横軸のリスクに対して縦軸のコントロールに対応するものがないケースである。これはリスクを統制(コントロール)していないことになるため、コントロールの設定が必要となる。まずはコントロールを自動的にシステムが作成し、コントロールの内容はこの時点ではカラのものを追加しておく。後から操作者がこのカラの部分を定義することになる。
Referring to the
Specifically, in the table format of the risk and control matrix, there is no case where there is nothing corresponding to the vertical control for the horizontal risk. This means that risk is not controlled (control), so it is necessary to set control. First, the system automatically creates a control, and the contents of the control are added at this time. Later, the operator will define this color part.
このWT計画をレビューするために、操作者の操作であるレビュー依頼ボタン415の押下によって、レビュアーに対して電子メールを送信する。
このレビュー依頼によって、レビュー画面420内のレビュー結果欄421、レビュアーコメント欄422、レビュアー欄423、レビュー日欄424にレビュアーによる入力ができるようにする。つまり、レビュー画面420内の項目をアクティブとする。レビュアーの操作であるレビュー完了ボタン425の押下によって、レビューが確定する。
なお、閉じるボタン499が操作者の操作によって押下されると、WT計画調書画面400を閉じて処理を終了させる。
In order to review this WT plan, an e-mail is transmitted to the reviewer by pressing a
By this review request, the reviewer can input the
When the
図5は、ウォークスルー手続き調書の画面例の説明図である。
WT手続き調書画面500には、データベース200内のWTテストデータ201等のデータを参照して、テスト対象期間欄501、会社名欄502、対象プロセス503のプロセスID欄504及びプロセス名欄505、結果サマリ510、テスト結果520を表示する。結果サマリ510はテスト項目数欄511、OK欄512、NG欄513を有しており、テスト結果520はWT−ID欄521、サブプロセス欄522、CID欄523、コントロール欄524、実施内容欄525、結果欄526、テスト実施者欄527、テスト実施日欄528を表示する。
WT詳細シートボタン514が操作者の操作によって押下されると、WT詳細シート(計画)画面700を表示する。
WT計画調書画面400とWT詳細シート(計画)画面700で入力されたテスト内容から全テスト項目数をテスト項目数欄511に表示し、WT詳細シート(実施)画面800で入力したテスト結果をOK欄512、NG欄513に表示する。
このWT手続調書をレビューするために、操作者の操作であるレビュー依頼ボタン529の押下によって、レビュアーに対して電子メールを送信する。
このレビュー依頼によって、レビュー画面530内のレビュー結果欄531、レビュアーコメント欄532、レビュアー欄533、レビュー日欄534にレビュアーによる入力ができるようにする。つまり、レビュー画面530内の項目をアクティブとする。レビュアーの操作であるレビュー完了ボタン535の押下によって、レビューが確定する。
なお、更新ボタン598が操作者の操作によって押下されると、現在のWT手続き調書画面500に入力された内容でデータベース200内のデータを更新し、取消しボタン599が操作者の操作によって押下されると、現在のWT手続き調書画面500に入力された内容を取り消して前の状態に戻る。
FIG. 5 is an explanatory diagram of a screen example of the walk-through procedure paper.
The WT
When the WT
The total number of test items is displayed in the test
In order to review this WT procedure paper, an e-mail is transmitted to the reviewer by pressing the
In response to this review request, the reviewer can input the
When the
図6は、ウォークスルー評価調書の画面例の説明図である。
WT評価調書画面600には、データベース200内のWTテストデータ表310、WTテスト結果表320、WTテストデータ201等のデータを参照して、プロセスID欄601、プロセス名欄602、リスク・コントロール・マトリックス610、不備コントロールへの対応630を表示する。
リスク・コントロール・マトリックス610は、マトリックスとなっており、行としてリスク、列としてコントロールを表示する。リスクとしてR01欄614、R02欄615、R03欄616、R04欄617、R05欄618があり、コントロールとしてC01欄625、C02欄626、C03欄627、C04欄628、C05欄629がある。リスクは、リスクの識別子を表示するRID欄621、そのリスクを説明するリスク内容欄622、そのリスクに対して有効なコントロールの数(セル内に「○」が表示されている総数)を表示する有効統制欄623、そのリスクに対して設置されているコントールの数(セル内に「○」又は「×」が表示されている総数)を表示する設置統制欄624からなる。コントロールは、コントロールの識別子を表示するCID欄611、そのコントロールを説明するコントロール内容欄612からなる。リスクの行とコントロールの列が交差しているセルには、コントロールに対するテスト結果がOKのものを「○」で表示し、NGのものを「×」で表示する。その表示のためにデータベース200内のWTテストデータ表310、WTテスト結果表320を特に参照する。つまり、評価結果及びRCMデータ204にコントロールと対応して記憶されているリスクに基づいて、リスクを単位としてコントロールが行われているか否かを表示するものである。
そして、WT結果欄619にウォークスルーの結果(有効、不備)をコントロールに対して表示する。
また、リスク・コントロール・マトリックス610において、テスト結果でOKだったものが0件のリスク(図6の例ではR03欄616)については、統制がとれていないことを示すため、問題があるリスクとして、他の表示とは異なる形態(例えば、赤色、点滅等)で表示する。
なお、コントロールのセルとそのコントロールに対応したコントロール詳細画面900とはリンクしており、コントロールのセルが操作者によってクリックされると、そのコントロールに対応したコントロール詳細画面900を表示する。
FIG. 6 is an explanatory diagram of a screen example of the walk-through evaluation paper.
The WT
The
The
In addition, in the
The control cell and the
不備コントロールへの対応630は、CID欄631、コントロール内容欄632、対策の要否欄633、理由欄634、改善計画案欄635を有しており、コントロールで不備だったもの(又は「×」印が表示されているもの)を列挙する。不備であるコントロールの識別子をCID欄631に表示し、その説明をコントロール内容欄632に表示する。そして、コントロール毎に、対策の要否欄633、理由欄634、改善計画案欄635を入力できるようにする。また、改善計画案欄635のセルと改善計画に関する文書とはリンクしており、改善計画案欄635のセルが操作者によってクリックされると、その改善計画に関する文書を表示する。
Corresponding to
このWT評価調書をレビューするために、操作者の操作であるレビュー依頼ボタン636の押下によって、レビュアーに対して電子メールを送信する。
このレビュー依頼によって、レビュー画面670内のレビュー結果欄671、レビュアーコメント欄672、レビュアー欄673、レビュー日欄674にレビュアーによる入力ができるようにする。つまり、レビュー画面670内の項目をアクティブとする。レビュアーの操作であるレビュー完了ボタン675の押下によって、レビューが確定する。
なお、更新ボタン698が操作者の操作によって押下されると、現在のWT評価調書画面600に入力された内容でデータベース200内のデータを更新し、取消しボタン699が操作者の操作によって押下されると、現在のWT評価調書画面600に入力された内容を取り消して前の状態に戻る。
In order to review this WT evaluation paper, an e-mail is transmitted to the reviewer by pressing a
By this review request, the reviewer can input the
When the
図7、図8は、ウォークスルー詳細シート(計画)の画面例の説明図である。
WT詳細シート(計画)画面700には、データベース200内の活動データ202、RCMデータ204等のデータを参照して、プロセスID欄701、プロセス名欄702、WTテスト手続き710、サブプロセス画面730、コントロール画面740、手続画面750を表示する。
WTテスト手続き710はWT−ID欄711、サブプロセス欄712、活動名欄713、CID欄714、コントロール内容欄715、種別欄716、実施内容欄717、証跡(知識・情報)欄718を有している。
追加ボタン719が操作者の操作によって押下されると、データベース200内のRCMデータ204を参照して、図8に示したテスト対象コントロールの選択画面を表示する。操作者の操作によって、図8に示した画面内に表示したコントロールがチェックされると、そのコントロールをWTテスト手続き710に追加する。
削除ボタン720が操作者の操作によって押下されると、WTテスト手続き710の現在行をウォークスルーから削除し、上方向移動ボタン721、下方向移動ボタン722が操作者の操作によって押下されると、WTテスト手続き710の現在行を移動する。
7 and 8 are explanatory diagrams of screen examples of the walk-through detail sheet (plan).
The WT detail sheet (plan)
The
When the
When the
サブプロセス画面730はサブプロセス欄731、活動名欄732、活動内容欄733を有しており、データベース200内の活動データ202、RCMデータ204等のデータを参照して、コントロールとそれに関連付けられている活動の情報を表示する。
コントロール画面740はコントロールID欄741、コントロール内容欄742、キーコントロール欄743、統制の種類欄744、統制頻度欄745、統計根拠欄746、統制実施の証跡欄747、依存するDB/システム欄748、情報処理統制目的欄749を有しており、データベース200内の知識・情報データ206等のデータを参照して、コントロールに関連した知識・情報を証跡情報として表示する。
手続画面750は手続種別欄751(質問、観察、閲覧、再実施のいずれかを選択できる)、実施内容欄752、証跡(知識・情報)760を有しており、コントロール毎にテストデータとして手続き種別と実施内容を入力できるようにしている。
証跡(知識・情報)760はチェック欄761、ID欄762、名称欄763を有しており、評価に使用する証跡をチェック欄761で選択できるようにしている。
なお、更新ボタン798が操作者の操作によって押下されると、現在のWT詳細シート(計画)画面700に入力された内容でデータベース200内のデータを更新し、閉じるボタン799が操作者の操作によって押下されると、WT詳細シート(計画)画面700を閉じて処理を終了する。
The
The
The
The trail (knowledge / information) 760 has a
When the
図9は、ウォークスルー詳細シート(実施)の画面例の説明図である。
WT詳細シート(実施)画面800には、データベース200内のWTテストデータ201等のデータを参照して、プロセスID欄801、プロセス名欄802、WTテスト手続き810、サブプロセス画面830、評価結果画面840、テスト項目以外の観察事項欄850を表示する。
WTテスト手続き810はWT−ID欄811、サブプロセス欄812、種別欄813、実施内容欄814、結果欄815、計画との差異欄816、差異の内容欄817、コメント欄818、実施者欄819、実施日欄820を有している。これらの欄の内容はデータベース200内のWTテストデータ201等のデータを参照して表示する。
サブプロセス画面830はサブプロセス欄831、活動名欄832、実施内容欄833を有しており、WTテスト手続き810で操作者によって選択されたウォークスルーに対応するテスト内容とテストに関連した活動情報を表示する。
FIG. 9 is an explanatory diagram of a screen example of the walk-through detail sheet (implementation).
The WT detail sheet (execution)
The
The
評価結果画面840は結果欄841、計画との差異欄842、差異の内容欄843、コメント欄844、実施者欄845、実施日欄846を有しており、テスト結果データとして、結果(OK/NG)、計画との差異(あり/なし)、差異の内容、コメント、実施者、実施日が操作者によって入力できるようになっている。
テスト項目以外の観察事項欄850はテスト項目以外の観察事項を観察事項データとして入力できるようになっている。
なお、更新ボタン898が操作者の操作によって押下されると、現在のWT詳細シート(実施)画面800に入力された内容でデータベース200内のデータを更新し、閉じるボタン899が操作者の操作によって押下されると、WT詳細シート(実施)画面800を閉じて処理を終了する。
The
In the
When the
図10は、コントロール詳細の画面例の説明図である。
コントロール詳細画面900はWT評価調書画面600内の対応するセルとリンクされており、操作者のクリックによってWT評価調書画面600内のセルが選択されると、対応するコントロール詳細画面900を表示する。
コントロール詳細画面900には、データベース200内のRCMデータ204等のデータを参照して、コントロールテーブル910、テストテーブル920を表示する。
コントロールテーブル910にはコントロールID欄911、コントロール内容欄912、キーコントロール欄913、統制の種類欄914、統制頻度欄915、統計根拠欄916、統制実施の証跡欄917、コントロールID欄918、情報処理統制目的欄919を表示する。
テストテーブル920は、大きくテスト手続き欄921とテスト結果欄924を有し、さらにテスト手続き欄921は種別欄922、実施内容欄923を有し、テスト結果欄924は結果欄925、結果との差異欄926、差異の内容欄927、コメント欄928を有している。
FIG. 10 is an explanatory diagram of a screen example of control details.
The
The
The control table 910 includes a
The test table 920 includes a
図11は、テストデータ設定の画面例の説明図である。
テストデータ設定画面1000はWT評価調書画面600内の対応するセルとリンクされており、操作者のクリックによってWT評価調書画面600内のセルが選択されると、対応するテストデータ設定画面1000を表示する。
テストデータ設定画面1000には、データベース200内のWTテストデータ201等のデータを参照して、テストデータテーブル1010、ウォークスルー画面1020を表示する。
テストデータテーブル1010はWT−ID欄1011、資源(DB)名欄1012、Serial−No(伝票番号)欄1013、備考欄1014を有している。
ウォークスルー画面1020にはWT−ID欄1021、資源(DB)名欄1022、Serial−No(伝票番号)欄1023、備考欄1024を操作者によって入力できるように表示する。
なお、OKボタン1025が操作者の操作によって押下されると、現在のウォークスルー画面1020に入力された内容でデータベース200に登録してその結果をテストデータテーブル1010に表示し、キャンセルボタン1026が操作者の操作によって押下されると、現在のウォークスルー画面1020に入力された内容を取り消して前の状態に戻る。
なお、更新ボタン1098が操作者の操作によって押下されると、現在のテストデータ設定画面1000に入力された内容でデータベース200内のデータを更新し、閉じるボタン1099が操作者の操作によって押下されると、テストデータ設定画面1000を閉じて処理を終了する。
FIG. 11 is an explanatory diagram of a screen example for setting test data.
The test
The test
The test data table 1010 has a WT-
On the walk-through
When the
When the
図12は、不備リストの画面例の説明図である。
不備リスト画面1100には、データベース200内の不備リスト表330等のデータを参照して不備リスト1110を表示し、不備リスト1110はPID欄1111、プロセス名欄1112、CID欄1113、コントロール内容欄1114、代替C欄1115、対応策欄1116、改善計画欄1117を有している。
不備リスト画面1100は、WT評価調書(図6参照)でNGとなったコントロールに関するプロセスID、プロセス名、コントロールID、コントロール内容を、それぞれPID欄1111、プロセス名欄1112、CID欄1113、コントロール内容欄1114に表示する。
代替C欄1115には、データベース200内のRCMデータ204を用いて、対象のコントロールに代わる代替コントロールの一覧を表示する。そして、該当のコントロールに対する対応策の有無と改善計画を、それぞれ対応策欄1116、改善計画欄1117に操作者が入力できるように表示する。
FIG. 12 is an explanatory diagram of a screen example of a defect list.
The
The
In the
図13は、残存リスクリストの画面例の説明図である。
残存リスクリスト画面1200には、データベース200内の残存リスクリスト表340等のデータを参照して残存リスクリスト1210を表示し、残存リスクリスト1210はPID欄1211、プロセス名欄1212、RID欄1213、リスク内容欄1214、補完統制欄1215、対応の要否欄1216、改善計画欄1217、金額的重要性欄1218、発生可能性欄1219、総合評価欄1220を有している。
不備リスト対象(図12参照)のコントロールに対して、データベース200内のRCMデータ204のデータを用いて、有効統制が0のリスクに関するプロセスID、プロセス名、リスクID、リスク内容、補完統制の有無を、それぞれPID欄1211、プロセス名欄1212、RID欄1213、リスク内容欄1214、補完統制欄1215に表示する。
該当のリスクに関する対応の要否、改善計画、金額的重要性、発生可能性、総合評価を、それぞれ対応の要否欄1216、改善計画欄1217、金額的重要性欄1218、発生可能性欄1219、総合評価欄1220に操作者が入力できるように表示する。
FIG. 13 is an explanatory diagram of a screen example of the remaining risk list.
The residual
For the control of the deficiency list target (see FIG. 12), using the data of the
The necessity / unnecessity of countermeasures for the corresponding risk, improvement plan, monetary importance, possibility of occurrence, and comprehensive evaluation are respectively shown in the necessity /
次に、図14〜図22を用いて、財務内部統制の運用評価を行うための本実施の形態について説明する。
図14を用いて、運用評価フェーズでの基本フローの例を説明する。
ステップS1302では、財務内部統制の担当者が財務内部統制の全体計画を作成する。
ステップS1304では、担当者が本実施の形態を用いて、運用評価の個別計画を作成する。この際に用いられるものは、計画調書、テスト詳細シート(計画)である。
ステップS1306では、担当者が本実施の形態を用いて、運用評価であるテストを実施する。この際に用いられるものは、手続調書、テスト詳細シート(実施)である。
ステップS1308では、担当者が本実施の形態を用いて、運用評価の結果から評価を行う。この際に用いられるものは、評価調書である。担当者によって改善が必要であると判断された場合はステップS1312へ進み、追加テストが必要であると判断された場合は別のテスト項目での運用評価を行うためにステップS1304へ進み、代替コントロールテストが必要であると判断された場合は別のコントロールにおける運用評価を行うためにステップS1304へ進み、それ以外の場合はステップS1310へ進む。
ステップS1312では、改善活動として、担当者が本実施の形態を用いて、文書の修正・改版等を行う。その後、ステップS1304へ戻る、又はステップS1310へ進む。
ステップS1310では、担当者が、運用評価活動、対策の済んだ財務内部統制用の文書等に対して、総合的な評価を行う。
Next, the present embodiment for performing operational evaluation of financial internal control will be described with reference to FIGS.
An example of a basic flow in the operation evaluation phase will be described with reference to FIG.
In step S1302, the person in charge of financial internal control creates an overall plan of financial internal control.
In step S1304, the person in charge creates an individual plan for operation evaluation using the present embodiment. What is used at this time is a plan record and a test detail sheet (plan).
In step S1306, the person in charge performs a test that is operation evaluation using the present embodiment. What is used at this time is a procedure record and a test detail sheet (execution).
In step S1308, the person in charge performs an evaluation from the result of the operation evaluation using the present embodiment. What is used at this time is an evaluation record. If it is determined by the person in charge that improvement is necessary, the process proceeds to step S1312, and if it is determined that an additional test is necessary, the process proceeds to step S1304 in order to perform operation evaluation using another test item. If it is determined that a test is necessary, the process proceeds to step S1304 to perform operation evaluation in another control, and otherwise, the process proceeds to step S1310.
In step S1312, the person in charge modifies / revises a document or the like using this embodiment as an improvement activity. Thereafter, the process returns to step S1304 or proceeds to step S1310.
In step S1310, the person in charge performs comprehensive evaluation on the operation evaluation activity, the document for financial internal control for which measures have been taken, and the like.
図15を用いて、運用評価を行う際の本実施の形態の概念的なモジュール構成例を説明する。
データベース1400内には、図15に示すように、運用テストデータ1401、活動データ1402、運用テスト結果1403、RCMデータ1404、資源データ1405、知識・情報データ1406が記憶されている。これらは、それぞれ別々のデータベースによって管理されていてもよいし、1つのデータベースによって管理されていてもよい。
A conceptual module configuration example of the present embodiment when performing operation evaluation will be described with reference to FIG.
In the
運用テストデータ1401は、運用計画調書出力部1421、運用詳細シート(計画)出力部1422、運用計画調書入力部1431、運用詳細シート(計画)入力部1432と接続されている。活動データ1402は、運用詳細シート(計画)出力部1422、運用詳細シート(実施)出力部1424、RCMデータ1404、資源データ1405、知識・情報データ1406と接続されている。運用テスト結果1403は、運用手続き調書出力部1423、運用詳細シート(実施)出力部1424、運用評価調書出力部1425、運用手続き調書入力部1433、運用詳細シート(実施)入力部1434、運用評価調書入力部1435と接続されている。RCMデータ1404は、運用計画調書出力部1421、運用詳細シート(計画)出力部1422、運用手続き調書出力部1423、運用詳細シート(実施)出力部1424、運用評価調書出力部1425、活動データ1402と接続されている。資源データ1405は、活動データ1402と接続されている。知識・情報データ1406は、運用詳細シート(計画)出力部1422、運用詳細シート(実施)出力部1424、活動データ1402と接続されている。
The
データベース1400へデータを入力する構成部として、運用計画調書入力部1431、運用詳細シート(計画)入力部1432、運用手続き調書入力部1433、運用詳細シート(実施)入力部1434、運用評価調書入力部1435がある。運用計画調書入力部1431、運用詳細シート(計画)入力部1432は、運用テストデータ1401と接続されている。運用手続き調書入力部1433、運用詳細シート(実施)入力部1434、運用評価調書入力部1435は、運用テスト結果1403と接続されている。
As components for inputting data to the
データベース1400からデータを出力する構成部として、運用計画調書出力部1421、運用詳細シート(計画)出力部1422、運用手続き調書出力部1423、運用詳細シート(実施)出力部1424、運用評価調書出力部1425がある。運用計画調書出力部1421は、運用テストデータ1401、RCMデータ1404と接続されており、運用計画調書1411を出力する。運用詳細シート(計画)出力部1422は、運用テストデータ1401、活動データ1402、RCMデータ1404、知識・情報データ1406と接続されており、運用詳細シート1412を出力する。運用手続き調書出力部1423は、運用テスト結果1403、RCMデータ1404と接続されており、運用手続き調書1413を出力する。運用詳細シート(実施)出力部1424は、活動データ1402、運用テスト結果1403、RCMデータ1404、知識・情報データ1406と接続されており、運用詳細シート1414を出力する。運用評価調書出力部1425は、運用テスト結果1403、RCMデータ1404と接続されており、運用評価調書1415を出力する。
As configuration units for outputting data from the
図16を用いて、データベース1400内のデータ間の関係例について詳細に説明する。
図16は、活動表1500、運用テストデータ表1510、サンプリング対象表1520、照合対象表1530、運用テスト結果表1540、運用テスト評価表1550、不備リスト表1560、残存リスクリスト表1570、運用テストレビュー表1580、リスクとコントロールの関係表1590、リスク表15A0、コントロール表15B0、知識・情報表15C0の関係を示している。なお、各表の欄は一例を表すものであり、さらに、他の情報を格納できるように欄を付加させてもよい。
An example of the relationship between data in the
FIG. 16 shows an activity table 1500, operation test data table 1510, sampling target table 1520, verification target table 1530, operation test result table 1540, operation test evaluation table 1550, deficiency list table 1560, residual risk list table 1570, operation test review. A table 1580, a risk-control relationship table 1590, a risk table 15A0, a control table 15B0, and a knowledge / information table 15C0 are shown. Note that each table column represents an example, and a column may be added so that other information can be stored.
活動表1500は、図15の活動データ1402に該当する。活動表1500は、活動ID欄1501、活動名欄1502、活動タイプ欄1503、システム名欄1504、業務区分欄1505、活動区分欄1506、担当組織欄1507、担当者欄1508、実務内容欄1509を有している。活動ID欄1501が格納する活動IDは、操作者によって入力される活動を一意に識別できる識別子である。また、この活動IDは、リスク表15A0の活動ID欄15A4、コントロール表15B0の活動ID欄15B4、知識・情報表15C0の活動ID欄15C4でも用いられ、これらの表が活動表1500と関係付けられる。
The activity table 1500 corresponds to the
リスクとコントロールの関係表1590、リスク表15A0、コントロール表15B0の3つは、図15のRCMデータ1404に該当する。
リスク表15A0は、リスクID欄15A1、リスク名欄15A2、リスク内容欄15A3、活動ID欄15A4を有している。リスク表15A0のリスクID欄15A1に格納されるリスクIDは、リスクを一意に識別するための識別子である。このリスクIDは、リスクとコントロールの関係表1590のリスクID欄1591、残存リスクリスト表1570のリスクID欄1573でも用いられ、リスク表15A0がリスクとコントロールの関係表1590、残存リスクリスト表1570と関係付けられる。
コントロール表15B0は、コントロールID欄15B1、コントロール名欄15B2、コントロール内容欄15B3、活動ID欄15B4、証跡用知識ID欄15B5を有している。コントロール表15B0のコントロールID欄15B1に格納されるコントロールIDは、コントロールを一意に識別するための識別子である。このコントロールIDは、リスクとコントロールの関係表1590のコントロールID欄1592、不備リスト表1560のコントロールID欄1563、不備リスト表1560の代替コントロール欄1564、運用テストデータ表1510のコントロールID欄1514、運用テスト評価表1550のコントロールID欄1553でも用いられ、コントロール表15B0がリスクとコントロールの関係表1590、運用テストデータ表1510、運用テスト評価表1550、不備リスト表1560と関係付けられる。
リスクとコントロールの関係表1590は、リスクID欄1591、コントロールID欄1592を有している。この表によって、リスクIDとコントロールIDとが対応付けられる。
The risk-control relationship table 1590, the risk table 15A0, and the control table 15B0 correspond to the
The risk table 15A0 has a risk ID column 15A1, a risk name column 15A2, a risk content column 15A3, and an activity ID column 15A4. The risk ID stored in the risk ID column 15A1 of the risk table 15A0 is an identifier for uniquely identifying the risk. This risk ID is also used in the
The control table 15B0 has a control ID column 15B1, a control name column 15B2, a control content column 15B3, an activity ID column 15B4, and a trail knowledge ID column 15B5. The control ID stored in the control ID column 15B1 of the control table 15B0 is an identifier for uniquely identifying the control. This control ID includes the
The risk-control relationship table 1590 has a
知識・情報表15C0は、図15の知識・情報データ1406に該当する。
知識・情報表15C0は、知識ID欄15C1、知識名欄15C2、知識タイプ欄15C3、活動ID欄15C4を有している。知識・情報表15C0の知識ID欄15C1に格納される知識IDは、知識を一意に識別するための識別子である。この知識IDは、サンプリング対象表1520の証跡用知識ID欄1522、照合対象表1530の証跡用知識ID欄1532、コントロール表15B0の証跡用知識ID15B5でも用いられ、知識・情報表15C0がサンプリング対象表1520、照合対象表1530、コントロール表15B0と関係付けられる。
The knowledge / information table 15C0 corresponds to the knowledge /
The knowledge / information table 15C0 has a knowledge ID column 15C1, a knowledge name column 15C2, a knowledge type column 15C3, and an activity ID column 15C4. The knowledge ID stored in the knowledge ID column 15C1 of the knowledge / information table 15C0 is an identifier for uniquely identifying knowledge. This knowledge ID is also used in the
運用テストデータ表1510は、図15の運用テストデータ1401に該当する。
運用テストデータ表1510は、テストID欄1511、プロセスID欄1512、プロセス名欄1513、コントロールID欄1514、テスト種別欄1515、テスト実施内容欄1516、サンプリング数欄1517、逸脱率欄1518、信頼度欄1519、サンプリング対象ID欄151A、照合対象ID欄151Bを有している。
The operation test data table 1510 corresponds to the
The operation test data table 1510 includes a
サンプリング対象表1520は、図15の運用テストデータ1401に含まれる。
サンプリング対象表1520は、サンプリング対象ID欄1521、証跡用知識ID欄1522、サンプリング方法欄1523、サンプリング属性欄1524、テスト対象属性欄1525を有している。サンプリング対象表1520のサンプリング対象ID欄1521に格納されるサンプリング対象IDは、サンプリング対象を一意に識別するための識別子である。このサンプリング対象IDは、運用テストデータ表1510のサンプリング対象ID欄151A、運用テスト結果表1540のサンプリング対象ID欄1542でも用いられ、サンプリング対象表1520が運用テストデータ表1510、運用テスト結果表1540と関係付けられる。また、サンプリング対象表1520のテスト対象属性欄1525に格納されるテスト対象属性IDは、テスト対象属性を一意に識別するための識別子である。このテスト対象属性IDは、運用テスト結果表1540のテスト対象属性欄1543でも用いられ、サンプリング対象表1520が運用テスト結果表1540と関係付けられる。
The sampling target table 1520 is included in the
The sampling target table 1520 includes a sampling
照合対象表1530は、図15の運用テストデータ1401に含まれる。
照合対象表1530は、照合対象ID欄1531、証跡用知識ID欄1532、検索方法欄1533、検索属性欄1534、照合属性欄1535を有している。照合対象表1530の照合対象ID欄1531に格納される照合対象IDは、照合対象を一意に識別するための識別子である。この照合対象IDは、運用テストデータ表1510の照合対象ID欄151Bでも用いられ、照合対象表1530が運用テストデータ表1510と関係付けられる。
The verification target table 1530 is included in the
The verification target table 1530 includes a verification
運用テスト結果表1540は、図15の運用テスト結果1403に該当する。
運用テスト結果表1540は、テストID欄1541、サンプリング対象ID欄1542、テスト対象属性欄1543、照合結果欄1544、コメント欄1545を有している。運用テスト結果表1540のテストID欄1541に格納されるテストIDは、運用評価であるテストを一意に識別するための識別子である。このテストIDは、運用テストデータ表1510のテストID欄1511でも用いられ、運用テスト結果表1540が運用テストデータ表1510と関係付けられる。
The operation test result table 1540 corresponds to the
The operation test result table 1540 includes a
運用テスト評価表1550は、図15の運用テスト結果1403に含まれる。
運用テスト評価表1550は、プロセスID欄1551、プロセス名欄1552、コントロールID欄1553、1次評価への対応欄1554、テスト継続欄1555、コメント欄1556、実施者欄1557、実施日欄1558、最終評価欄1559、不備の内容欄155A、評価者欄155B、評価日欄155Cを有している。
不備リスト表1560は、図15の運用テスト結果1403に含まれる。
不備リスト表1560は、プロセスID欄1561、プロセス名欄1562、コントロールID欄1563、代替コントロール欄1564、対応策欄1565、改善計画欄1566を有している。
残存リスクリスト表1570は、図15の運用テスト結果1403に含まれる。
残存リスクリスト表1570は、プロセスID欄1571、プロセス名欄1572、リスクID欄1573、補完統制欄1574、対応の要否欄1575、改善計画欄1576、補完統制欄1577、対応の要否欄1578、改善計画欄1579を有している。
運用テストレビュー表1580は、図15の運用テスト結果1403に含まれる。
運用テストレビュー表1580は、帳票名欄1581、レビュー結果欄1582、レビューコメント欄1583、レビュー日欄1584、レビュアー欄1585を有している。
The operation test evaluation table 1550 is included in the
The operation test evaluation table 1550 includes a process ID column 1551, a
The deficiency list table 1560 is included in the
The defect list table 1560 includes a
The remaining risk list table 1570 is included in the
The remaining risk list table 1570 includes a process ID column 1571, a
The operation test review table 1580 is included in the
The operation test review table 1580 includes a form name column 1581, a
図17〜図22を用いて、財務内部統制の評価の一種である運用評価を行うのに際して、内部統制処理サーバー3020が内部統制処理サーバー3020のディスプレイ等の出力装置に表示する画面例を説明する。
なお、運用評価の概要としては次のようなものである。
財務内部統制のために作成した4文書とそのベースとなるデータベース化されたデータ(RCMデータ204、資源データ205、知識・情報データ206などの要素とその中心となる活動データ202)を使って、運用評価の計画をするための運用評価の計画内容とテスト内容を入力(図18に示した運用テスト計画調書画面1700)し、運用評価の実施をするための運用評価テスト結果を入力(図20に示した運用テスト手続き調書画面1800、図21に示した運用テスト詳細シート(実施)画面1900)し、運用評価のテスト結果を評価(図22に示した運用テスト評価調書画面2000)し、運用評価の総合評価として、不備リストと残存リスクリストを出力(図12に示した不備リスト画面1100、図13に示した残存リスクリスト画面1200)する。
An example of a screen displayed by the internal
The outline of operation evaluation is as follows.
Using the four documents created for financial internal control and the data in the base database (
図17は、ツリー表示と運用テストの画面例の説明図である。
ツリー表示と運用テスト1600は、ツリー画面1610、進捗画面1630、運用評価画面1650、処理画面1670を有している。ツリー画面1610は、運用評価の対象をツリー状に表示する。進捗画面1630は、プロセスに対しての運用評価の進捗状況を示している。運用評価画面1650は、運用評価のテスト項目を示している。処理画面1670は、運用評価における計画調書作成、手続調書作成、評価調書作成のそれぞれの処理を行うためのボタンを表示している。
FIG. 17 is an explanatory diagram of a screen example of tree display and operation test.
The tree display and
ツリー画面1610内では、運用評価のテストを追加する場合に運用テスト追加画面1620を表示し、テスト種別欄1621、追加対象テストID欄1622、プロセスID欄1623、プロセス名欄1624、コントロール欄1625によって追加テストを定義する。
進捗画面1630には、プロセスID欄1631、プロセス名欄1632、運用テスト計画テーブル1633(計画・実施・評価欄1634、担当者欄1635、レビュアー欄1636、実施期間欄1637、レビュー期間欄1638を有している)、テスト進捗テーブル1640(テスト対象コントロール数欄1641、完了欄1642、有効欄1643、不備欄1644、未確定欄1645、計画中欄1646、実行中欄1647、評価中欄1648を有している)を有している。
運用評価画面1650は、TestID欄1651、CID欄1652、コントロール欄1653、状態欄1654、評価欄1655、種別欄1656、サンプル数欄1657、テスト結果件数欄1658(OK欄1659、NG欄1660)、テスト結果欄1661、レビュー欄1662、計画との差異欄1663を有している。
処理画面1670は、計画調書ボタン1671、手続調書ボタン1672、評価調書ボタン1673を表示し、操作者の操作に応じて、計画調書ボタン1671が押下されると運用テスト計画調書画面1700(図18参照)を表示し、手続調書ボタン1672が押下されると運用テスト手続き調書画面1800(図20参照)を表示し、評価調書ボタン1673が押下されると運用テスト評価調書画面2000(図22参照)を表示する。
In the
The
The
The
図18、図19は、運用テスト計画調書の画面例の説明図である。
運用テスト計画調書画面1700には、データベース1400内の活動データ1402、RCMデータ1404等のデータを参照して、テスト対象期間欄1701、会社名欄1702、プロセスID欄1703、プロセス名欄1704、コントロール欄1705、手続き種別欄1706、実施内容欄1707、サンプリング数欄1708、修正理由欄1710、評価基準1711の逸脱率欄1712、信頼度欄1713及び許容NG数欄1714、サンプリング対象1715、照合対象1722、レビュー画面1730を表示する。
18 and 19 are explanatory diagrams of screen examples of the operation test plan paper.
The operation test
テスト対象期間欄1701を表示し、操作者の操作による期間データ(例えば、2008/04/01〜2009/03/31等)の入力を受け付ける。
テスト計画の該当する文書化プロセス名とコントロール情報を、プロセス名欄1704、コントロール欄1705に表示する。
操作者の操作に応じて、テストデータとして、手続き種別(質問/観察/閲覧/照合)を手続き種別欄1706によって選択入力し、テストの実施内容を実施内容欄1707から入力する。
操作者の操作に応じて、テスト用のデータのサンプリング数をサンプリング数欄1708から入力し、その入力後修正ボタン1709の押下によって修正する場合、修正理由を修正理由欄1710から入力する。
評価基準として、逸脱率と信頼度を逸脱率欄1712、信頼度欄1713から入力すると、コントロールの数から許容NG数を自動的に計算して許容NG数欄1714に表示する。
A test
The documented process name and control information corresponding to the test plan are displayed in the
In accordance with the operation of the operator, the procedure type (question / observation / browsing / collation) is selected and input as test data in the
In accordance with the operation of the operator, the sampling number of the test data is input from the
When the deviation rate and reliability are input from the
サンプリング対象1715は知識・情報(証跡)欄1716、サンプリング属性欄1717、テスト対象属性欄1718を有している。
操作者の操作によって追加ボタン1719が押下されると、図19(A)に示すサンプリング対象追加画面1750を表示する。
このサンプリング対象追加画面1750では、知識・情報(証跡)欄1752とサンプリング方法欄1753を有しているサンプリング対象1751、サンプリング方法欄1754、サンプリング属性欄1755、テスト対象属性欄1756を表示する。そして、テスト用のデータのサンプリング対象として、証跡情報(関連ドキュメント)とそのサンプリング方法(指定した条件下のデータを自動抽出、ランダムにデータを自動抽出、手動で抽出)が、操作者の操作によって知識・情報(証跡)欄1752、サンプリング方法欄1753又はサンプリング方法欄1754で選択される。
なお、操作者の操作によって編集ボタン1720が押下された場合も、追加ボタン1719の場合と同様にサンプリング対象追加画面1750を表示し、その内容を編集できる。操作者の操作によって削除ボタン1721が押下された場合は、サンプリング対象1715内の選択された証跡を削除する。
The
When the
The sampling
Even when the edit button 1720 is pressed by the operator's operation, the sampling
照合対象1722は知識・情報(証跡)欄1723、サンプリング属性欄1724、テスト対象属性欄1725を有している。
操作者の操作によって追加ボタン1726が押下されると、図19(B)に示す照合対象追加画面1760を表示する。
この照合対象追加画面1760では、知識・情報(証跡)欄1762とサンプリング方法欄1763を有しているサンプリング対象1761、検索方法欄1764、検索属性欄1765、照合属性欄1766を表示する。そして、テストの確認のための照合対象として、証跡情報(関連ドキュメント)とそのサンプリング方法(指定した条件下のデータを自動抽出、ランダムにデータを自動抽出、手動で抽出)が、操作者の操作によって知識・情報(証跡)欄1762、サンプリング方法欄1763又は検索方法欄1764で選択される。
なお、操作者の操作によって編集ボタン1727が押下された場合も、追加ボタン1726の場合と同様に照合対象追加画面1760を表示し、その内容を編集できる。操作者の操作によって削除ボタン1728が押下された場合は、照合対象1722内の選択された証跡を削除する。
The
When an
On this collation
Even when the
運用テスト計画調書をレビューするために、操作者の操作であるレビュー依頼ボタン1735の押下によって、レビュアーに対して電子メールを送信する。
このレビュー依頼によって、レビュー画面1730内のレビュー結果欄1731、レビュアーコメント欄1732、レビュアー欄1733、レビュー日欄1734にレビュアーによる入力ができるようにする。つまり、レビュー画面1730内の項目をアクティブとする。また、レビュアーが見る運用テスト計画調書画面1700ではレビュー依頼ボタン1735のボタンの表示を「レビュー完了」とする。レビュアーの操作であるレビュー完了ボタンの押下によって、レビューが確定する。
なお、更新ボタン1736が操作者の操作によって押下されると、現在の運用テスト計画調書画面1700に入力された内容でデータベース1400内のデータを更新し、取消しボタン1737が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
In order to review the operation test plan paper, an e-mail is transmitted to the reviewer by pressing a
This review request allows the reviewer to input the
Note that when the
図20は、運用テスト手続き調書の画面例の説明図である。
運用テスト手続き調書画面1800には、データベース1400内の運用テストデータ1401等のデータを参照して、テスト対象期間欄1801、会社名欄1802、テスト対象プロセス1803のプロセスID欄1804及びプロセス名欄1805、テスト対象コントロール1806のコントロールID欄1807及びコントロール名欄1808、テスト実施手続き欄1810、実施内容欄1811、サンプル数欄1812、抽出方法欄1822、実施者欄1813、実施期間欄1814、計画との差異欄1815、差異の内容欄1823、テスト結果件数1816、結果欄1820、コメント欄1821、レビュー画面1830を表示する。テスト結果シートボタン1809が操作者の操作によって押下されると、対応するテスト結果シートを別画面に表示する。
FIG. 20 is an explanatory diagram of a screen example of the operation test procedure paper.
The operation test
テスト対象期間欄1801を表示し、操作者の操作による期間データ(例えば、2008/04/01〜2009/03/31等)の入力を受け付ける。
テスト対象の文書化プロセス名、コントロール情報と、運用テスト計画調書(図18、図19参照)で作成したテストデータの情報を、プロセス名欄1805、テスト対象コントロール1806、テスト実施手続き欄1810等に表示する。
操作者の操作に応じて、テスト結果として、実施者、実施期間、計画との差異(あり/なし)、差異の内容を、実施者欄1813、実施期間欄1814、計画との差異欄1815から入力する。
テスト結果の件数として、テスト全件数、OKの件数、NGの件数を、テスト結果件数1816のテスト件数欄1817、OK欄1818、NG欄1819に表示する。そして、運用テスト計画調書(図18、図19参照)の許容NG数欄1714の許容NG件数と比較して、テストの結果としてOK、NGを結果欄1820に表示する。操作者の操作に応じて、コメント欄1821からコメントを入力する。
A test
Test target documented process name, control information, and test data information created in the operation test plan paper (see FIGS. 18 and 19) are stored in the
According to the operation of the operator, the test results are the difference between the performer, the implementation period, and the plan (yes / no), and the content of the difference from the
As the number of test results, the total number of tests, the number of OK, and the number of NG are displayed in the
運用テスト手続き調書をレビューするために、操作者の操作であるレビュー依頼ボタン1840の押下によって、レビュアーに対して電子メールを送信する。
このレビュー依頼によって、レビュー画面1830内のレビュー結果欄1831、レビュアーコメント欄1832、レビュアー欄1833、レビュー日欄1834にレビュアーによる入力ができるようにする。つまり、レビュー画面1830内の項目をアクティブとする。また、レビュアーが見る運用テスト手続き調書画面1800ではレビュー依頼ボタン1840のボタンの表示を「レビュー完了」とする。レビュアーの操作であるレビュー完了ボタンの押下によって、レビューが確定する。
なお、更新ボタン1898が操作者の操作によって押下されると、現在の運用テスト手続き調書画面1800に入力された内容でデータベース1400内のデータを更新し、取消しボタン1899が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
In order to review the operation test procedure paper, an e-mail is transmitted to the reviewer by pressing a
By this review request, the reviewer can input the
When the
図21は、運用テスト詳細シート(実施)の画面例の説明図である。
運用テスト詳細シート(実施)画面1900には、データベース1400内の運用テストデータ1401等のデータを参照して、テスト対象プロセス1901のプロセスID欄1902及びプロセス名欄1903、テスト対象コントロール1904のコントロールID欄1905及びコントロール名欄1906、手動抽出方法欄1908、テスト実施結果1910を表示する。
テスト対象の文書化プロセス名とコントロール情報を、プロセス名欄1903、テスト対象コントロール1904等に表示する。
操作者の操作によって抽出実行ボタン1907が押下されると、サンプリング対象を手動抽出方法1908に入力された方法に基づいて抽出する。
テスト実施結果1910は、サンプリング対象証跡のサンプリング属性欄1911、サンプリング対象証跡のテスト対象属性欄1912、照合対象証跡のサンプリング属性欄1913、照合対象属性のテスト対象属性欄1914、参照欄1915(サンプリング対象証跡欄1916、照合対象証跡欄1917)、結果欄1918(照合結果(1)欄1919、コメント欄1920)を有する。テスト実施結果1910は、サンプリングのためのデータを取り込むためのエクスポートとインポートしたデータを一覧で表示する。
なお、操作者の操作によってエクスポートボタン1921が押下されるとテスト実施結果1910のデータ内容をCSV(Comma Separated Value)形式として出力する。また、操作者の操作によってインポートボタン1922が押下されると、外部のCSV形式のデータを読み込み、テスト実施結果1910に表示する。
また、更新ボタン1998が操作者の操作によって押下されると、現在の運用テスト詳細シート(実施)画面1900に入力された内容でデータベース1400内のデータを更新し、取消しボタン1999が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
FIG. 21 is an explanatory diagram of a screen example of the operation test detail sheet (execution).
The operation test detail sheet (execution)
The test target documented process name and control information are displayed in the
When the
The
Note that when the
When the
図22は、運用テスト評価調書の画面例の説明図である。
運用テスト評価調書画面2000には、データベース1400内の運用テスト結果1403等のデータを参照して、テスト対象期間欄2001、会社名欄2002、テスト対象プロセス2003のプロセスID欄2004及びプロセス名欄2005、コントロールID欄2006、コントロール内容欄2007、テスト内容・結果画面2010、代替コントロール画面2040、一次評価への対応画面2050、テスト継続画面2060、最終評価画面2070、レビュー結果画面2080を表示する。
FIG. 22 is an explanatory diagram of a screen example of the operation test evaluation paper.
The operation test
テスト対象の文書化プロセス名、コントロール情報、テストの結果情報を、プロセス名欄2005、コントロール内容欄2007、テスト内容・結果画面2010等に表示する。
なお、操作者の操作によってコントロール詳細ボタン2008が押下されると、対応するコントロール詳細画面900を表示する。
また、テスト内容・結果画面2010には、データベース1400内の運用テスト結果1403等のデータを参照して、テスト実施手続き欄2011、実施内容欄2012、サンプル数欄2013、評価基準2014の抽出方法欄2015、逸脱率欄2016、信頼度欄2017及び許容NG数欄2018、テスト結果件数2019(テスト件数欄2020、OK欄2021、NG欄2022)、結果(一次評価)欄2023、計画との差異欄2024、差異の内容欄2025、コメント欄2026、実施者欄2027、実施日欄2028、レビューコメント欄2029、レビュアー欄2030、レビュー実施日欄2031を表示する。
The documented process name, control information, and test result information to be tested are displayed in the
When the
In addition, the test content /
データベース1400のRCMデータ1404より、対象のコントロールに代わる代替コントロールの一覧を、代替コントロール画面2040に表示する。
なお、代替コントロール画面2040は、RID欄2042、リスク内容欄2043、CID欄2044、コントロール内容欄2045、評価結果欄2046、テスト調書欄2047を有する代替コントロールテーブル2041と代替コントロール評価結果欄2048を有する。
From the
The
テスト結果に基づいた操作者の判断である、一次評価への対応として「テスト継続」か「最終評価実施」かの指定を一次評価への対応画面2050から入力する。
テスト継続が選択された場合、再テスト/代替コントロールテスト/改善計画立案のいずれかの選択、コメント、実施者、実施日時を、操作者の操作に応じてテスト継続画面2060(コメント欄2061、実施者欄2062、実施日欄2063等)から入力する。
最終評価実施が選択された場合、結論としての有効/不備の選択、不備の場合はその不備の内容を、最終評価画面2070(結論(評価結果)欄2071、不備の内容欄2072、評価者欄2073、評価日欄2074等)から入力する。
運用テスト評価調書をレビューするために、操作者の操作であるレビュー依頼ボタン2085の押下によって、レビュアーに対して電子メールを送信する。
このレビュー依頼によって、レビュー結果画面2080内のレビュー結果欄2081、レビューコメント欄2082、レビュアー欄2083、レビュー日欄2084にレビュアーによる入力ができるようにする。つまり、レビュー結果画面2080内の項目をアクティブとする。また、レビュアーが見る運用テスト評価調書画面2000ではレビュー依頼ボタン2085のボタンの表示を「レビュー完了」とする。レビュアーの操作であるレビュー完了ボタンの押下によって、レビューが確定する。
なお、更新ボタン2098が操作者の操作によって押下されると、現在の運用テスト評価調書画面2000に入力された内容でデータベース1400内のデータを更新し、取消しボタン2099が操作者の操作によって押下されると、内容を取り消して前の状態に戻る。
The designation of “continue test” or “execution of final evaluation” as a response to the primary evaluation, which is the operator's judgment based on the test result, is input from the
When the test continuation is selected, any one of retest / alternative control test / improvement planning, comment, performer, and execution date / time are displayed in accordance with the operator's operation on the
When final evaluation execution is selected, selection of valid / incomplete as a conclusion, and in the case of incompleteness, the content of the incompleteness is displayed in a final evaluation screen 2070 (conclusion (evaluation result)
In order to review the operation test evaluation paper, an e-mail is transmitted to the reviewer by pressing a
In response to this review request, the
When the
運用評価における不備リスト画面1100を図12を用いて説明する。
不備リスト画面1100には、データベース1400内の不備リスト表1560等のデータを参照して不備リスト1110を表示し、不備リスト1110はPID欄1111、プロセス名欄1112、CID欄1113、コントロール内容欄1114、代替C欄1115、対応策欄1116、改善計画欄1117を有している。
不備リスト画面1100は、運用テスト評価調書(図22参照)で、テスト結果のNG数が評価基準の許容NG数を超えたコントロールに関するプロセスID、プロセス名、コントロールID、コントロール内容を、それぞれPID欄1111、プロセス名欄1112、CID欄1113、コントロール内容欄1114に表示する。
代替C欄1115には、データベース1400内のRCMデータ1404を用いて、対象のコントロールに代わる代替コントロールの一覧を表示する。そして、該当のコントロールに対する対応策の有無と改善計画を、それぞれ対応策欄1116、改善計画欄1117に操作者が入力できるように表示する。
The
The
The
In the
運用評価における残存リスクリスト画面1200を図13を用いて説明する。
残存リスクリスト画面1200には、データベース1400内の残存リスクリスト表1570等のデータを参照して残存リスクリスト1210を表示し、残存リスクリスト1210はPID欄1211、プロセス名欄1212、RID欄1213、リスク内容欄1214、補完統制欄1215、対応の要否欄1216、改善計画欄1217、金額的重要性欄1218、発生可能性欄1219、総合評価欄1220を有している。
不備リスト対象(図12参照)のコントロールに対して、データベース1400内のRCMデータ1404のデータを用いて、有効統制が0のリスクに関するプロセスID、プロセス名、リスクID、リスク内容、補完統制の有無を、それぞれPID欄1211、プロセス名欄1212、RID欄1213、リスク内容欄1214、補完統制欄1215に表示する。
該当のリスクに関する対応の要否、改善計画、金額的重要性、発生可能性、総合評価を、それぞれ対応の要否欄1216、改善計画欄1217、金額的重要性欄1218、発生可能性欄1219、総合評価欄1220に操作者が入力できるように表示する。
The remaining
The residual
For the control of the defect list target (see FIG. 12), using the data of the
The necessity / unnecessity of countermeasures for the corresponding risk, improvement plan, monetary importance, possibility of occurrence, and comprehensive evaluation are respectively shown in the necessity /
次に、図23〜図29を用いて、本実施の形態における2年度目以降の整備評価(ウォークスルー)の処理について説明する。
いままでの説明では、初年度の作業支援を前提としたシステムで、2年度目以降の整備評価も全てのプロセス及びプロセス内のコントロールに対して実施することとなってしまう。
しかし、2年度目以降は、継続して業務が行われているのであるから、内部統制の基本4文書は前年度のものを修正して利用するのが効率的である。
そこで、2年度目以降の整備評価テストは、「前年度から変更なしのプロセス」は整備評価テストを実施せずに運用テストを実施すればよい。また、「一部が変更になったプロセス」は変更部分だけの整備評価テストを実施すればよい。
Next, the maintenance evaluation (walk-through) processing in the second and subsequent years in the present embodiment will be described with reference to FIGS.
In the explanation so far, in the system based on the premise of work support in the first year, the maintenance evaluation from the second year onward is also performed for all processes and controls within the process.
However, since the work has been carried out continuously since the second year, it is efficient to modify and use the four basic documents of internal control from the previous year.
Therefore, in the maintenance evaluation test for the second and subsequent years, the operation test may be performed without performing the maintenance evaluation test for the “process unchanged from the previous year”. In addition, it is only necessary to conduct a maintenance evaluation test for only the changed part of “the process in which part has been changed”.
図23は、特に初年度における内部統制活動及び整備評価の例を示す説明図である。
内部統制活動は、例えば図23の左側のフローチャートに示すように、統制文書作成(ステップS2302)、整備評価(ステップS2304)、運用評価(ステップS2306)、報告書作成(ステップS2308)の処理を行う。
ステップS2302では、内部統制の基本4文書の作成を行う。
FIG. 23 is an explanatory diagram showing an example of internal control activities and maintenance evaluation particularly in the first year.
For example, as shown in the flowchart on the left side of FIG. 23, the internal control activities include control document creation (step S2302), maintenance evaluation (step S2304), operation evaluation (step S2306), and report creation (step S2308). .
In step S2302, four basic documents for internal control are created.
ステップS2304では、整備評価を行う。具体的には、図23の右側のフローチャートに示す処理を行う。これは、既に図1を用いて説明したフローチャートと同じである。
ステップS2306では、運用評価を行う。運用評価については、既に図14を用いて説明した。
ステップS2308では、整備評価、運用評価の結果を基に報告書を作成する。作成する報告書として、内部統制文書(業務記述書、業務フロー図、RCM、職務分離表)、整備評価テスト調書、運用評価テスト調書がある。
In step S2304, maintenance evaluation is performed. Specifically, the processing shown in the flowchart on the right side of FIG. 23 is performed. This is the same as the flowchart already described with reference to FIG.
In step S2306, operation evaluation is performed. The operation evaluation has already been described with reference to FIG.
In step S2308, a report is created based on the results of maintenance evaluation and operation evaluation. The reports to be created include internal control documents (business description, business flow diagram, RCM, job separation table), maintenance evaluation test paper, and operation evaluation test paper.
図24は、2年度目以降の内部統制活動及び整備評価の例を示す説明図である。
2年度目以降の内部統制活動は、例えば図24の左側のフローチャートに示すように、前年度の統制文書の複製(ステップS2402)、統制文書の修正(ステップS2404)、整備評価(ステップS2406)、運用評価(ステップS2408)、当該年度の報告書作成(ステップS2410)の処理を行う。
ステップS2402、ステップS2404は、初年度における統制文書作成にあたり(図23におけるステップS2302)、ステップS2402では、前年度の内部統制の基本4文書を複製を作成する。そして、ステップS2404では、その複製した内部統制の基本4文書を修正することによって、当該年度の統制文書の作成を行う。
FIG. 24 is an explanatory diagram showing an example of internal control activities and maintenance evaluations in and after the second year.
For example, as shown in the flowchart on the left side of FIG. 24, internal control activities in and after the second year are a copy of the control document of the previous year (step S2402), a correction of the control document (step S2404), a maintenance evaluation (step S2406), Operation evaluation (step S2408) and report creation (step S2410) for the current year are performed.
Steps S2402 and S2404 are for creating a control document in the first year (step S2302 in FIG. 23). In step S2402, a copy of the basic four documents of the internal control of the previous year is created. In step S2404, a control document for the current year is created by correcting the copied four basic documents of internal control.
ステップS2406では、整備評価を行う。具体的には、図24の右側のフローチャートに示す処理を行う。
ステップS2452、ステップS2456〜ステップS2468は、図23(つまり、図1)に示したステップS102〜ステップS116と同様である。
ステップS2454では、前年度の統制文書と当該年度の統制文書との比較を行い、統制文書の修正箇所を検出する。そして、その検出結果をWT計画(ステップS2456)に反映させる。詳細については図29を用いて後述する。
In step S2406, maintenance evaluation is performed. Specifically, the processing shown in the flowchart on the right side of FIG. 24 is performed.
Steps S2452 and S2456 to S2468 are the same as steps S102 to S116 shown in FIG. 23 (that is, FIG. 1).
In step S2454, the control document of the previous year is compared with the control document of the current year, and the corrected part of the control document is detected. Then, the detection result is reflected in the WT plan (step S2456). Details will be described later with reference to FIG.
ステップS2408では、運用評価を行う。運用評価については、初年度も2年度目以降も変更なく行う必要がある。運用評価については、既に図14を用いて説明した。
ステップS2410では、当該年度における整備評価、運用評価の結果を基に報告書を作成する。作成する報告書として、初年度と同様に内部統制文書(業務記述書、業務フロー図、RCM、職務分離表)、整備評価テスト調書、運用評価テスト調書がある。
In step S2408, operation evaluation is performed. Operational evaluation must be carried out without change in the first year and after the second year. The operation evaluation has already been described with reference to FIG.
In step S2410, a report is created based on the results of maintenance evaluation and operation evaluation in the current year. The reports to be created include internal control documents (business description, business flow diagram, RCM, job separation table), maintenance evaluation test paper, and operation evaluation test paper as in the first year.
図25は、システム全体の構成例を示す説明図である。前述の図30に示したものをより具体的にしたものである。
業務統制支援サーバー2510、業務統制管理者端末2520、業務統制作業者端末2531、業務統制作業者端末2532は、それぞれLAN/WAN2599を介して接続されている。業務統制管理者端末2520、業務統制作業者端末2531、2532が図30におけるクライアント3010に、業務統制支援サーバー2510が内部統制処理サーバー3020に、LAN/WAN2599が通信回線3030にそれぞれ対応する。
業務統制支援サーバー2510は、図2に示したデータベース200等を有しており、統制文書の作成、整備評価、運用評価等を行う。
業務統制管理者端末2520は、内部統制における管理者が用いる端末であり、業務統制支援サーバー2510に対する指示又は業務統制作業者に対する指示を行うために用いられる。
業務統制作業者端末2531、2532は、内部統制における作業者が用いる端末であり、業務統制支援サーバー2510に対する指示又は管理者からの指示を受けるために用いられる。
FIG. 25 is an explanatory diagram showing a configuration example of the entire system. This is a more specific example of what is shown in FIG.
The business
The business
The business
The business
図26は、本実施の形態内のモジュールの構成例を示すブロック図である。
統制文書入力部2610、内部統制文書データDB2620、文書差分抽出部2630、整備評価用データDB2640、整備評価入力部2650を有している。
FIG. 26 is a block diagram illustrating a configuration example of a module in the present embodiment.
A control
統制文書入力部2610は、内部統制文書データDB2620と接続されており、業務統制作業者端末2531、2532の作業者又は業務統制管理者端末2520の管理者等の指示に基づいて、内部統制文書データを作成し、内部統制文書データDB2620に記憶させる。また、2年度目以降にあっては、前年度の内部統制文書データを内部統制文書データDB2620から取り出し、対象とする当該年度の内部統制文書データを作成し、内部統制文書データDB2620に記憶させる。つまり、前年度の統制文書データを流用して、変更があった箇所を修正するようにする。
内部統制文書データDB2620は、統制文書入力部2610、文書差分抽出部2630からアクセスされ、年度毎の内部統制文書データを記憶する。例えば、内部統制文書データである「200x年用データ」、「(200x+1)年用データ」等を記憶する。
The control
The internal control
文書差分抽出部2630は、内部統制文書データDB2620、整備評価入力部2650と接続されており、内部統制文書データDB2620に記憶されている対象とする当該年度の内部統制文書データと前年度の内部統制文書データの差分を抽出する。その際に、内部統制文書データのうち、統制に関するデータを含んでいるRCM等を中心に解析する。そして、抽出された差分の箇所を内部統制における整備評価の対象として、整備評価入力部2650へ出力する。
整備評価用データDB2640は、整備評価入力部2650からアクセスされ、整備評価用のデータを記憶する。例えば、「WTテストデータ」、「WTテスト結果」、「WT評価結果」等を記憶する。
整備評価入力部2650は、文書差分抽出部2630、整備評価用データDB2640と接続されており、文書差分抽出部2630から前年度との差分(つまり整備評価(WT)の対象とすべき部分)を受け取り、そしてその整備評価の対象及び整備評価用データDB2640に記憶されている整備評価用データに基づいて、対象とする当該年度における内部統制文書データの整備評価の計画を作成する。また、作業者による整備評価の結果等を受け取り、整備評価用データDB2640に記憶させる。
The document
The maintenance
The maintenance
図27は、年度毎の統制の一覧の例を示す説明図である。
前年度である200x年度の統制一覧2702は、3つのコントロールがあり、具体的には、C001は「○○を確認する」というコントロール内容であり、C002は「△△を確認する」、C003は「□□を実施する」である。これを基にして、前年度はC001〜C003の統制の状況を確認するために整備評価テストを実施する。
当該年度である(200x+1)年度の統制一覧2704は、4つのコントロールがあり、具体的には、C001は「○○を確認する」というコントロール内容であり、C002は「△□を確認する」、C003は「□□を実施する」、C004は「□○を実施する」である。ここで、初年度と同様に整備評価テストを実施するとすれば、当該年度にあっても、C001〜C004の統制の状況を確認するために整備評価テストを実施することになる。
FIG. 27 is an explanatory diagram of an example of a list of controls for each year.
The
The
図28は、本実施の形態における2年度目以降の統制の差分の一覧を生成する処理の例を示す説明図である。
文書差分抽出部2630が、200x年度の統制一覧2702と(200x+1)年度の統制一覧2704とを比較して差分を抽出する。つまり、図28の例では、2つの差分情報を得る。具体的には、(200x+1)年度の統制一覧2704のC002(「△□を確認する」)とC004(「□○を実施する」)が差分である。
したがって、当該年度においては、(200x+1)年度の統制一覧2704のC002とC004の統制の状況を確認するために整備評価テストを実施すればよい。
FIG. 28 is an explanatory diagram illustrating an example of processing for generating a list of differences in control for the second and subsequent years in the present embodiment.
The document
Therefore, in the current year, a maintenance evaluation test may be performed in order to confirm the status of the control of C002 and C004 in the
図29は、本実施の形態における2年度目以降の統制の差分を抽出するアルゴリズムの例を説明するフローチャートである。文書差分抽出部2630が行う処理である。
ステップS2902では、前年度のコントロールのリストをpCtrlList、今年度のコントロールのリストをcCtrlList、差分抽出出力用のリストをuCtrlListと定義し、pCtrlListに前年度のコントロールのリスト(例えば、200x年度の統制一覧2702)、cCtrlListに今年度のコントロールのリスト(例えば、(200x+1)年度の統制一覧2704)、uCtrlListにNull(空リスト)を代入する。
FIG. 29 is a flowchart illustrating an example of an algorithm for extracting a difference in control after the second year in the present embodiment. This is processing performed by the document
In step S2902, the control list for the previous year is defined as pCtrlList, the control list for the current year is defined as cCtrlList, and the list for differential extraction output is defined as uCtrlList. 2702), a control list of the current year (for example, a
ステップS2904では、cCtrlListがNullであるか否かを判断する。Nullである場合(Y)はステップS2920へ進み、それ以外の場合はステップS2906へ進む。
ステップS2906では、cCtrlにcCtrlListの先頭要素を代入する。つまり、cCtrlListの先頭要素を取得する。例えば、取得する先頭要素としては、(200x+1)年度の統制一覧2704の「C001」の「○○を確認する」である。
ステップS2908では、pCtrlにfind関数の結果(同じものがあればpCtrlListにおけるその要素、同じものがなければNull)を代入する。つまり、cCtrlと同じものをpCtrlListのなかから検索する。
In step S2904, it is determined whether cCtrlList is Null. If Null (Y), the process proceeds to step S2920; otherwise, the process proceeds to step S2906.
In step S2906, the top element of cCtrlList is substituted for cCtrl. That is, the top element of cCtrlList is acquired. For example, the first element to be acquired is “confirm XX” in “C001” of the
In step S2908, the result of the find function (the element in pCtrlList if there is the same, Null if there is not the same) is substituted into pCtrl. That is, the same thing as cCtrl is searched from pCtrlList.
ステップS2910では、pCtrlがNullであるか否かを判断する。Nullである場合(Y)はステップS2914へ進み、それ以外の場合はステップS2912へ進む。つまり、ステップS2908で同じものが見つからなければ、cCtrlは今年度に新しく追加されたコントロールなのでuCtrlListに追加するためにステップS2914へ進む。
ステップS2912では、pCtrlに対するgetLastUpdateの結果をpDateに代入し、cCtrlに対するgetLastUpdateの結果をcDateに代入する。つまり、ステップS2908で得たpCtrl、ステップS2906で得たcCtrlの最終更新日時を取得する。
In step S2910, it is determined whether pCtrl is Null. If it is Null (Y), the process proceeds to step S2914; otherwise, the process proceeds to step S2912. In other words, if the same item is not found in step S2908, cCtrl is a control newly added in the current fiscal year, and thus the process proceeds to step S2914 to add to uCtrlList.
In step S2912, the result of getLastUpdate for pCtrl is assigned to pDate, and the result of getLastUpdate for cCtrl is assigned to cDate. That is, the last update date and time of pCtrl obtained in step S2908 and cCtrl obtained in step S2906 are acquired.
ステップS2914では、cCtrlをuCtrlListに追加する。つまり、昨年とは異なるコントロール(内容が異なるもの、更新日時が新しくなったもの)を、差分として抽出する。
ステップS2916では、ステップS2912で得たpDateとcDateを比較する。pDateがcDateよりも小である場合(Y)はステップS2914へ進み、それ以外の場合はステップS2918へ進む。つまり、最終更新日時を比較して、cCtrlのほうが新しければ更新されたコントロールなので、uCtrlListに追加するためにステップS2914へ進む。
ステップS2918では、cCtrlListの先頭要素を除いた内容でcCtrlListを更新する。つまり、今年度の次のコントロールを差分であるか否かの判断対象とする。
ステップS2920では、uCtrlListを最終結果として終了する。つまり、今年度の全てのコントロールをチェックし終わった時点のuCtrlListに差分が抽出されたことになる。
In step S2914, cCtrl is added to uCtrlList. In other words, a control different from the previous year (one with different contents and one with a new update date) is extracted as a difference.
In step S2916, the pDate and cDate obtained in step S2912 are compared. If pDate is smaller than cDate (Y), the process proceeds to step S2914; otherwise, the process proceeds to step S2918. That is, the last update date / time is compared, and if cCtrl is newer, it is an updated control. Therefore, the process proceeds to step S2914 to add to uCtrlList.
In step S2918, cCtrlList is updated with the content excluding the top element of cCtrlList. In other words, the next control of the current fiscal year is used as a judgment target whether or not it is a difference.
In step S2920, uCtrlList ends as the final result. That is, the difference is extracted in uCtrlList at the time when all the controls of this year are checked.
なお、複数年を通してコントロールを識別可能とするコントロールID(つまり、200x年及び200x+1年で、コントロールの内容を特定できるID)を比較の対象としてもよい。
また、前年度との差分をとる内部統制文書データとして、コントロール(統制)を主に説明したが、この他にリスク、活動を対象としてもよい。
It should be noted that a control ID that can identify a control throughout a plurality of years (that is, an ID that can specify the contents of the control in 200x years and 200x + 1 years) may be used as a comparison target.
In addition, control (control) has been mainly described as internal control document data that takes a difference from the previous year, but risk and activity may also be targeted.
なお、本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図31に示すように、一般的なコンピュータであり、具体的にはクライアント3010はパーソナルコンピュータ等であり、内部統制処理サーバー3020はサーバーとなりうるコンピュータである。WT計画調書出力部221、WT詳細シート(計画)出力部222、WT手続き調書出力部223、WT詳細シート(実施)出力部224等又は運用計画調書出力部1421、運用詳細シート(計画)出力部1422、運用手続き調書出力部1423、運用詳細シート(実施)出力部1424等の部のプログラムを実行するCPU3101と、そのプログラムやデータを記憶するRAM3102と、本コンピュータを起動するためのプログラム等が格納されているROM3103と、補助記憶装置であるHD3104と、キーボード、マウス等のデータを入力する入力装置3106と、CRTや液晶ディスプレイ等の出力装置3105と、通信ネットワークと接続するための通信回線インタフェース3107、そして、それらをつないでデータのやりとりをするためのバス3108により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
The hardware configuration of the computer on which the program according to the present embodiment is executed is a general computer as shown in FIG. 31. Specifically, the
なお、図31に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図31に示す構成に限らず、本実施の形態において説明した構成部を実行可能な構成であればよい。例えば、一部の構成部を専用のハードウェア(例えばASIC等)で構成してもよい。また、特に、パーソナルコンピュータの他、携帯電話、ゲーム機、カーナビ機、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(多機能複写機とも呼ばれ、スキャナ、プリンタ、複写機、ファックス等の機能を有している)などに組み込まれていてもよい。 Note that the hardware configuration shown in FIG. 31 shows one configuration example, and the present embodiment is not limited to the configuration shown in FIG. 31, and the configuration capable of executing the components described in the present embodiment. If it is. For example, some of the components may be configured with dedicated hardware (for example, ASIC). In particular, in addition to personal computers, mobile phones, game machines, car navigation systems, information appliances, copiers, fax machines, scanners, printers, multifunction machines (also called multifunction copiers, scanners, printers, copiers, fax machines, etc.) Or the like.
なお、説明したプログラムについては、記録媒体に格納することも可能であり、また、そのプログラムを通信手段によって提供することもできる。その場合、例えば、上記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えることもできる。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、上記のプログラム又はその一部は、上記記録媒体に記録して保存や流通等させることが可能である。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組合せ等の伝送媒体を用いて伝送することが可能であり、また、搬送波に乗せて搬送することも可能である。
さらに、上記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。
The described program can be stored in a recording medium, and the program can be provided by communication means. In that case, for example, the above-described program can also be regarded as an invention of a “computer-readable recording medium recording the program”.
The “computer-readable recording medium on which a program is recorded” refers to a computer-readable recording medium on which a program is recorded, which is used for program installation, execution, program distribution, and the like.
The recording medium is, for example, a digital versatile disc (DVD), which is a standard established by the DVD Forum, such as “DVD-R, DVD-RW, DVD-RAM,” and DVD + RW. Standards such as “DVD + R, DVD + RW, etc.”, compact discs (CDs), read-only memory (CD-ROM), CD recordable (CD-R), CD rewritable (CD-RW), etc. MO), flexible disk (FD), magnetic tape, hard disk, read only memory (ROM), electrically erasable and rewritable read only memory (EEPROM), flash memory, random access memory (RAM), etc. It is.
The program or a part of the program can be recorded on the recording medium and stored or distributed. Also, by communication, for example, a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), a wired network used for the Internet, an intranet, an extranet, etc., or wireless communication It can be transmitted using a transmission medium such as a network or a combination thereof, and can also be carried on a carrier wave.
Furthermore, the above program may be a part of another program, or may be recorded on a recording medium together with a separate program.
200…データベース
201…WTテストデータ
202…活動データ
203…WTテスト結果
204…RCMデータ
205…資源データ
206…知識・情報データ
211…WT計画調書
212…WT詳細シート
213…WT手続き調書
214…WT詳細シート
215…WT評価調書
221…WT計画調書出力部
222…WT詳細シート(計画)出力部
223…WT手続き調書出力部
224…WT詳細シート(実施)出力部
225…WT評価調書出力部
231…WT計画調書入力部
232…WT詳細シート(計画)入力部
233…WT手続き調書入力部
234…WT詳細シート(実施)入力部
235…WT評価調書入力部
1400…データベース
1401…運用テストデータ
1402…活動データ
1403…運用テスト結果
1404…RCMデータ
1405…資源データ
1406…知識・情報データ
1411…運用計画調書
1412…運用詳細シート
1413…運用手続き調書
1414…運用詳細シート
1415…運用評価調書
1421…運用計画調書出力部
1422…運用詳細シート(計画)出力部
1423…運用手続き調書出力部
1424…運用詳細シート(実施)出力部
1425…運用評価調書出力部
1431…運用計画調書入力部
1432…運用詳細シート(計画)入力部
1433…運用手続き調書入力部
1434…運用詳細シート(実施)入力部
1435…運用評価調書入力部
2510…業務統制支援サーバー
2520…業務統制管理者端末
2531…業務統制作業者端末
2532…業務統制作業者端末
2599…LAN/WAN
2610…統制文書入力部
2620…内部統制文書データDB
2630…文書差分抽出部
2640…整備評価用データDB
2650…整備評価入力部
3010…クライアント
3020…内部統制処理サーバー
3030…通信回線
200 ...
2610 ... Control
2630 ... Document
2650 ... Maintenance
Claims (4)
前記文書データ記憶手段に記憶されている対象とする年度の内部統制文書データと前年度の内部統制文書データの差分を抽出する文書差分抽出手段と、
前記文書差分抽出手段によって抽出された差分の箇所を内部統制における整備評価の対象として出力する評価対象出力手段
を具備することを特徴とする情報処理装置。 Document data storage means for storing internal control document data for each year;
A document difference extracting means for extracting the difference between the internal control document data of the target year stored in the document data storage means and the internal control document data of the previous year;
An information processing apparatus comprising: an evaluation target output unit that outputs a difference portion extracted by the document difference extraction unit as a maintenance evaluation target in internal control.
をさらに具備することを特徴とする請求項1に記載の情報処理装置。 Document data creation means for fetching internal control document data for the previous year of the target year from the document data storage means, creating internal control document data for the target year, and storing it in the document data storage means The information processing apparatus according to claim 1.
前記評価対象出力手段によって出力された整備評価の対象及び前記評価用データ記憶手段に記憶されている整備評価用データに基づいて、対象とする年度における内部統制文書データの整備評価の計画を作成する整備評価計画作成手段
をさらに具備することを特徴とする請求項1又は2に記載の情報処理装置。 Evaluation data storage means for storing data for maintenance evaluation;
Based on the maintenance evaluation target output by the evaluation target output means and the maintenance evaluation data stored in the evaluation data storage means, a maintenance evaluation plan for the internal control document data in the target year is created. The information processing apparatus according to claim 1, further comprising maintenance evaluation plan creation means.
年度毎の内部統制文書データを記憶する文書データ記憶手段と、
前記文書データ記憶手段に記憶されている対象とする年度の内部統制文書データと前年度の内部統制文書データの差分を抽出する文書差分抽出手段と、
前記文書差分抽出手段によって抽出された差分の箇所を内部統制における整備評価の対象として出力する評価対象出力手段
として機能させることを特徴とする情報処理プログラム。 Computer
Document data storage means for storing internal control document data for each year;
A document difference extracting means for extracting the difference between the internal control document data of the target year stored in the document data storage means and the internal control document data of the previous year;
An information processing program that functions as an evaluation target output unit that outputs a difference portion extracted by the document difference extraction unit as a maintenance evaluation target in internal control.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007309623A JP2009134485A (en) | 2007-11-30 | 2007-11-30 | Information processor and information processing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007309623A JP2009134485A (en) | 2007-11-30 | 2007-11-30 | Information processor and information processing program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009134485A true JP2009134485A (en) | 2009-06-18 |
Family
ID=40866310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007309623A Pending JP2009134485A (en) | 2007-11-30 | 2007-11-30 | Information processor and information processing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009134485A (en) |
-
2007
- 2007-11-30 JP JP2007309623A patent/JP2009134485A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10275730B2 (en) | Method for creating and expressing risk-extended business process models | |
US7778720B2 (en) | Method and system for product line management (PLM) | |
JP5218068B2 (en) | Information processing apparatus and information processing program | |
US20100058114A1 (en) | Systems and methods for automated management of compliance of a target asset to predetermined requirements | |
US8160913B2 (en) | Methods and tools to support strategic decision making by specifying, relating and analyzing requirements, solutions, and deployments | |
JP2005521947A (en) | Method and system for enterprise business process management | |
JP2008090758A (en) | Information processing system and information processing program | |
WO2008022223A2 (en) | Methods and tools for creating and evaluating system blueprints | |
US20140046709A1 (en) | Methods and systems for evaluating technology assets | |
US20120209846A1 (en) | Document processing system and computer readable medium | |
US20150039386A1 (en) | Method and system for risk assessment analysis | |
US20160110666A1 (en) | Distributed worker-sourced process engineering | |
JP5195108B2 (en) | Information processing apparatus and information processing program | |
JP2011232874A (en) | Method and device for information security management supporting | |
JP2009134485A (en) | Information processor and information processing program | |
do Nascimento et al. | A method for rewriting legacy systems using business process management technology | |
JP2008052347A (en) | Document processor and document processing program | |
JP4957704B2 (en) | Information processing apparatus and information processing program | |
JP2008117029A (en) | Method for checking out invalid procedure during creation of operational work procedure, method for generating command for preventing occurrence of failure, automatic execution command generation system, and program therefor | |
Eitel | Environmental Aware Vulnerability Scoring. | |
JP2009064385A (en) | Information processing system and information processing program | |
JP7501615B2 (en) | SECURITY INSPECTION DEVICE, SECURITY INSPECTION METHOD, AND PROGRAM | |
JP2008176769A (en) | Document processor and document processing program | |
JP2008090759A (en) | Information processing system and information processing program | |
Zdilar | Towards Automated Detection of Qualitative Spreadsheet Errors in Multi-user Environments |