JP2009151614A - 統制処理システム及び統制処理プログラム - Google Patents
統制処理システム及び統制処理プログラム Download PDFInfo
- Publication number
- JP2009151614A JP2009151614A JP2007329809A JP2007329809A JP2009151614A JP 2009151614 A JP2009151614 A JP 2009151614A JP 2007329809 A JP2007329809 A JP 2007329809A JP 2007329809 A JP2007329809 A JP 2007329809A JP 2009151614 A JP2009151614 A JP 2009151614A
- Authority
- JP
- Japan
- Prior art keywords
- control
- business
- risk
- processing system
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【解決手段】統制処理システムのコントロール・リスク取得手段は、統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得し、評価手段は、前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価し、集計手段は、前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う。
【選択図】図2
Description
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化する必要がある。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
一方、IT全般統制の整備自体にも作業コストが発生するため、全てのITシステムのIT全般統制を整備するのではなく、業務統制の運用テストにおける負担を軽減するのに効果的なITシステムから優先的に全般統制の整備を行うことが望ましい。
[1] 統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
を具備することを特徴とする統制処理システム。
をさらに具備し、
前記評価手段は、前記判断手段によって承認が行われたと判断された場合は、前記コントロール・リスク取得手段によって取得されたコントロール内のキーコントロールに基づいて、前記業務統制の承認後における指標を評価する
ことを特徴とする[1]に記載の統制処理システム。
ことを特徴とする[1]に記載の統制処理システム。
ことを特徴とする[3]に記載の統制処理システム。
統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
として機能させることを特徴とする統制処理プログラム。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書とは、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂に影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目が一般には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。また、財務リスクに対して、アサーションの観点でリスクが網羅されていることが必要で、これら6つのアサーションのいずれかに該当するリスクは重要性が高いといえる。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
また、財務内部統制において、財務に関連した業務を分析しその結果をまとめた文書に対して、その文書の正当性と正確性をチェックする整備評価(以下ウォークスルーともいい、WTとも略す)と文書通りに運用されているかをテストする運用評価の2種類の評価がある。
(1)業務統制におけるITシステムを用いた(自動化された)統制の洗い出し。
(2)前記(1)の統制から、重要な統制を選別する。
(3)前記(2)の統制が依存するITシステムの洗い出し。つまり、IT全般統制の対象を決定する。
しかし、業務統制とIT全般統制はそれぞれ実施担当者が異なり、また統制整備の時期も異なるため、IT全般統制におけるITシステムの対象選択時に前述のフィードバック(前記(3)を行うには前記(1)が必要である)を行うには困難なケースが多く、主観的な選択とならざるを得なかった。本実施の形態は、このような状況の場合に利用するものである。
図1は、本実施の形態を実現するにあたってのシステム全体の構成例を示す構成図である。
本システム全体では、業務統制支援サーバー101、IT全般統制支援サーバー102、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106を有しており、それぞれ通信回線であるLAN/WAN199を介して接続されている。
業務統制支援サーバー101は、IT全般統制支援サーバー102と連携して、業務統制管理者端末103又は業務統制文書化作業者端末105の操作者の操作に基づく指示によって、業務統制に関する処理を行う。より具体的には、図2、図4等を用いて後述する。
IT全般統制支援サーバー102は、業務統制支援サーバー101と連携して、IT全般統制管理者端末104又はIT全般統制文書化作業者端末106の操作者の操作に基づく指示によって、業務に用いられているITシステムに関する処理を行う。より具体的には、図2、図4等を用いて後述する。
IT全般統制管理者端末104は、IT全般統制管理者によって用いられ、IT全般統制支援サーバー102又はIT全般統制文書化作業者端末106に対して、IT全般統制に関する処理を行うように指示する。
業務統制文書化作業者端末105は、業務統制文書化作業者によって用いられ、業務統制支援サーバー101又は業務統制管理者端末103からの指示に基づいて、業務統制用の文書を作成する。そして、その文書を業務統制支援サーバー101に格納する。
IT全般統制文書化作業者端末106は、IT全般統制文書化作業者によって用いられ、IT全般統制支援サーバー102又はIT全般統制管理者端末104からの指示に基づいて、IT全般統制用の文書を作成する。そして、その文書をIT全般統制支援サーバー102に格納する。
なお、各構成部は、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態における構成部はコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、各構成部は機能にほぼ一対一に対応しているが、実装においては、1構成部を1プログラムで構成してもよいし、複数構成部を1プログラムで構成してもよく、逆に1構成部を複数プログラムで構成してもよい。また、複数構成部は1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1構成部が複数コンピュータで実行されてもよい。なお、一つの構成部に他の構成部が含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)を含む。例えば、データとデータが接続されているとは、データの一部が同一のデータであること、ポインタ又はリンク等で一方が他方を指していること等を表す。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、一つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。
なお、操作者をその文脈に応じて、作成者、検証者、ユーザ等ともいう。
入力という用語は、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106に対する操作者の操作によってデータを受け付けること、各構成部が他の構成部からデータを受け付けること等に用いる。
IT全般統制支援システム210は、優先順位評価部220、評価条件保存部230、評価条件入力部240、優先順位表示部250を有しており、IT全般統制支援サーバー102の一部を構成している。ITシステムの統制を支援するシステムであり、統制の対象となっているITシステムの一部又は全部は、業務統制支援システム260が支援する業務統制における統制の対象ともなっている。そして、IT全般統制支援システム210は、統制の文書化過程で蓄積された情報をパラメータにITシステムの重要度を計算し、IT全般統制の対象候補システムの優先順位付け(ランキング)を行う。また、ランキング計算に用いるパラメータの種類はフェーズ(承認前か否か)に応じて適切なものを選択し、業務統制の整備途中でもランキングを提示する。
ITシステムデータ261、業務統制進捗データ262、業務統制文書データ263は、それぞれ優先順位評価部220の業務統制情報取得部221から参照される。ITシステムデータ261は、統制の対象であるITシステムに関する情報を記憶する。業務統制進捗データ262は、業務統制の進捗データを記憶する。業務統制文書データ263は、業務統制における基本4文書を記憶する。
評価条件保存部230は、優先順位評価部220から参照され、また、評価条件入力部240と接続されている。評価条件入力部240が受け付けた評価条件を記憶する。そして、その評価条件は優先順位評価部220によって参照される。
なお、コントロールには、キーコントロールを含む。キーコントロールとは、主要なコントロールであり、これは業務統制の運用テストの際には行われなければならないものである。
なお、統制評価部222が評価するコントロールに関する指標には、統制頻度、統制の性質、証跡の数のいずれか一つ以上を含み、リスクに関する指標として、リスク評価、リスク分類、重要勘定科目、アサーションのいずれか一つ以上を含む。
優先順位表示部250は、優先順位評価部220のITシステム順位集計部223と接続されている。ITシステム順位集計部223による集計結果をIT全般統制管理者端末104に送信する。そして、IT全般統制管理者端末104は集計結果を受け取り、IT全般統制管理者端末104の出力部(例えば、液晶ディスプレイ)に表示し、操作者に提示する。
ステップS302では、評価条件入力部240が、IT全般統制管理者端末104の操作者によって選択されたITシステム及びそのITシステムの統制における評価条件を取得する。
ステップS304では、業務統制情報取得部221が、業務統制進捗データ262より業務統制整備におけるプロセスの進捗データを取得する。
ステップS306では、優先順位評価部220が、ステップS304で取得した進捗データが文書化プロセス承認済であるか否かを判断する。文書化プロセス承認済である場合はステップS318へ進み、文書化プロセス未承認である場合はステップS308へ進む。
ステップS310では、業務統制情報取得部221が、業務統制文書データ263よりステップS308で取得したコントロールに対応するリスクを取得する。コントロールと対応しているリスクを取得するために、RCMを参照して決定する。
ステップS312では、統制評価部222が、承認前における指標の評価を行う。
ステップS318では、業務統制情報取得部221が、業務統制文書データ263より対象としている業務統制のITシステムが関与しているコントロール内のキーコントロールを取得する。
ステップS320では、統制評価部222が、ステップS318で取得したキーコントロールに基づいて各ITシステムのポイントを計算する。
ステップS322では、優先順位評価部220が、全てのプロセスの評価が済んだか否かを判断する。未だ評価が済んでいないプロセスがある場合はステップS304へ戻り、全てのプロセスの評価が済んでいる場合はステップS324へ進む。
ステップS324では、ITシステム順位集計部223が、ITシステムのポイントでソートし、優先順位表示部250が、そのソート結果に基づいて、対象とすべきITシステムの優先順位を表示する。
IT全般統制支援システム410は、IT基盤411、ITシステム412を有しており、IT基盤411とITシステム412は接続されている。ITシステム412は複数あってもよく、各ITシステム412はIT基盤411に接続されている。IT基盤411はITシステム412からなっており、IT全般統制の対象である。
ITシステム421は、コントロール制御部422と接続されている。ITシステム421はITシステム412と同一のものであり、IT全般統制支援システム410においてはIT基盤411を構成するものであり、業務統制支援システム420においてはコントロール制御部422によってコントロールの制御の対象とされるものである。つまり、ITシステム412(421)は、業務統制のコントロールが依存するシステムであり、かつ、IT全般統制の整備対象のシステムでもある。
コントロール制御部422はITシステム421、リスクコントロールマトリックス制御部424と接続されており、リスク制御部423はリスクコントロールマトリックス制御部424と接続されており、リスクコントロールマトリックス制御部424はコントロール制御部422、リスク制御部423と接続されている。
リスクコントロールマトリックス制御部424は、RCMに基づいて、リスク制御部423によって制御されているリスクに対応するコントロールを特定し、そのコントロールに対するコントロール制御部422による制御を管理する。
コントロール510に関する指標として、統制の種類(自動)520、統制頻度531、統制の性質(予防・発見)532、証跡の数533、キーコントロール540がある。
統制の種類(自動)520は、本実施の形態においては必須の指標である。つまり、そのコントロールが、統制の種類(自動)520でなければ指標として採用しない。統制の種類としては、(1)マニュアル(人手のみでコントロールのチェックが行われるもの)、(2)IT依存マニュアル(ITシステムによってコントロールのチェックが行われるが、最終的には人手によりチェックされるもの)、(3)ITシステム(そのITシステムのみで自動的にコントロールのチェックを行うもの)、の3種類がある。図5では、指標として統制の種類(自動)520だけであるが、「統制の種類(IT依存マニュアル)」を含めるようにしてもよい。
統制の性質(予防・発見)532は、そのコントロールの性質、つまり、そのコントロールが予防的なものであるか、発見的なものであるかを示す指標である。
証跡の数533は、そのコントロールにおいて、チェックすべき証跡(例えば請求書等の書類等)の数を示す指標である。多いほど重要度が高いコントロールであると判断される。
リスク評価534は、そのリスクの重要性を示す指標である。例えば、(そのリスクの頻度)×(そのリスクの影響度)等である。
リスク分類(財務・その他)535は、どの分野にかかわるリスクであるかを示す指標である。例えば、J−SOXでは財務にかかわるリスクであることが必要である。
重要勘定科目536は、統制を受けている者(会社を含む)における業務(商売)で重要視している勘定科目である。
アサーション537は、前述のように具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目の観点で、財務リスクを網羅しているかを示す指標である。
また、承認前指標530としては、統制頻度531、統制の性質(予防・発見)532、証跡の数533、リスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537がある。
図6(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C6は1ポイント、コントロールC2、C5は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は1ポイントとなる。業務統制における承認が行われる前(つまり、キーコントロール確定前)は、指標の評価、つまり統制の種類(自動)520、承認前指標530から、各コントロールのポイントを確定する。なお、各システムは、コントロールに依存するITシステムである。また、ここで1ポイントとなっているコントロールは、そのコントロールに対応するリスクの指標が高く、かつ予防的統制であるものである。
これをランキング表示すると、図6(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、2位がSys1、Sys3という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
図7(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C5、C6は1ポイント、コントロールC2は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は2ポイントとなる。ここで1ポイントとなっているコントロールは、キーコントロールであるものである。つまり、承認後はキーコントロールであるか否かだけでポイントの集計を行っている。
これをランキング表示すると、図7(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、Sys3、2位がSys1という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
なお、図6は承認前でのランキングであるが、図7は同様のシステムに対する承認後のランキングである。つまり、承認後であれば、キーコントロールをいくつ含んでいるかによってランキングを決定できるが、承認前はキーコントロールが不明であるので、それに代替できる指標(統制の種類(自動)520、承認前指標530等)を用いている。つまり、承認前であっても承認後のランキングに近づけるような指標となっている。
まず、1番目の計算例を説明する。対象とするコントロールの指標である統制の性質(予防・発見)532が予防的であって、かつリスク評価534の重要性が高い場合に1ポイントとし、それ以外であれば0ポイントとする。
また、2番目の計算例を説明する。リスク評価534の重要性として「高」、「中」、「低」の3段階、統制の性質(予防・発見)532として「予防的」、「発見的」の2種類があるので、これらからポイントを決定するポイント決定表800(図8参照)を予め作成しておく。そして、統制評価部222は、ポイント決定表800を用いて、コントロールの該当するポイントを抽出する。
図15は、従来技術での統制のタイミング例を示す説明図である。なお、会計年度末1599までに、業務統制運用テスト1502を終了させる必要がある。
業務統制整備1501を業務統制整備開始時期1591に開始し、業務統制整備終了時期1593に終了する。同様に、業務統制運用テスト1502を業務統制運用テスト開始時期1596に開始し、業務統制運用テスト終了時期1597に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、AシステムのIT全般統制1520をIT全般統制整備開始時期1594に開始し、IT全般統制運用テスト終了時期1598に終了する。また、BシステムのIT全般統制1510をIT全般統制整備開始時期1592に開始し、IT全般統制運用テスト終了時期1595に終了する。なお、AシステムのIT全般統制1520は、IT全般統制整備1521とIT全般統運用テスト1522からなり、BシステムのIT全般統制1510はIT全般統制整備1511とIT全般統運用テスト1512からなる。
しかし、IT全般統制整備1521の終了が業務統制運用テスト1502の業務統制運用テスト開始時期1596に間に合わないことになる。すなわち、ランキングの低いシステムを選択することは無いが、業務統制運用テスト1502の負荷を軽減することはできない。
業務統制整備901を業務統制整備開始時期991に開始し、業務統制整備終了時期994に終了する。同様に、業務統制運用テスト902を業務統制運用テスト開始時期997に開始し、業務統制運用テスト終了時期998に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、システムのIT全般統制910をIT全般統制整備開始時期992に開始し、IT全般統制運用テスト終了時期996に終了する。なお、システムのIT全般統制910は、IT全般統制整備911とIT全般統制運用テスト912からなる。
そして、業務統制整備901が終了した後(つまり、キーコントロールが確定した後)の期中見直し時期995に、本実施の形態による期中見直し930を行う。この時点では、図7(B)に示したように、ランキングは1位にSys2 931、Sys3 932、2位にSys1 933となっている。この時点で、IT全般統制管理者は1位のSys3 932を、IT全般統制整備911の対象として追加するようにしてもよい。
ランキング画面1100は、ランキング表1110、未承認プロセスを除外チェック欄1120、更新ボタン1130、ダウンロードボタン1140を有している。そして、ランキング表1110は、順位欄1111、システム名欄1112、承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を有している。
順位欄1111とシステム名欄1112は、ITシステム順位集計部223によって集計されたポイントにしたがって対応するITシステムの優先順位を表示するものである。
Key/Ctrl数欄1114は、そのITシステムが関与している統制におけるキーコントロールとコントロールの比を表示するものである。
IT全般統制対象欄1115は、操作者によってIT全般統制の対象とすべきものが選択される欄である。
未承認プロセスを除外チェック欄1120が操作者の操作によって選択された場合に、未承認プロセスを除外して承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を表示する。
更新ボタン1130が操作者の操作によって選択された場合に、現時点での順位を表示し直す。
ダウンロードボタン1140が操作者の操作によって選択された場合に、ランキング表1110の内容を帳票の形式(図12参照)でIT全般統制管理者端末104にダウンロードする。
承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115に表示するデータは、優先順位表示部250が業務統制情報取得部221、統制評価部222、ITシステム順位集計部223から受け取る。
帳票1200は、順位欄1201、システム名欄1202、承認欄1203、プロセス名欄1204、Key欄1205、コントロール1206を有している。
順位欄1201、システム名欄1202は、図11に示したランキング表1110の順位欄1111、システム名欄1112と同様である。
承認欄1203は、プロセス名欄1204に表示しているプロセス毎に承認されているか否かを表示する。
プロセス名欄1204は、そのITシステム内のプロセスを表示する。
Key欄1205は、コントロール1206に表示しているコントロール毎にそのコントロールがキーコントロールであるか否かを表示する。
コントロール1206は、コントロールの内容を表示する。
設定画面1300は、設定項目表1310、OKボタン1320、キャンセルボタン1330を有している。
設定項目表1310は、項目欄1311、設定値欄1312を有している。
図13に示した例では、項目欄1311に表示するものは、「統制の種類(IT依存マニュアル)」、「プロセス承認前コントロール指標」、「プロセス承認前リスク指標」、「承認前キーコントロール」の4つがある。「統制の種類(IT依存マニュアル)」の他に前述したように「統制の種類(ITシステム)」(図5の統制の種類(自動)520参照)を含めてもよい。また、「プロセス承認前コントロール指標」は、設定値欄1312に図5で示した統制頻度531、統制の性質(予防・発見)532、証跡の数533を表示し、操作者によって選択される。「プロセス承認前リスク指標」は、設定値欄1312に図5で示したリスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537を表示し、操作者によって選択される。「承認前キーコントロール」は、設定値欄1312に「含む」、「含まない」を表示し、操作者によって選択される。
なお、図14に示すハードウェア構成は、一つの構成例を示すものであり、本実施の形態は、図14に示す構成に限らず、本実施の形態において説明した構成部を実行可能な構成であればよい。例えば、一部の構成部を専用のハードウェア(例えばASIC等)で構成してもよく、一部の構成部は外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図14に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組合せ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
102…IT全般統制支援サーバー
103…業務統制管理者端末
104…IT全般統制管理者端末
105…業務統制文書化作業者端末
106…IT全般統制文書化作業者端末
199…LAN/WAN
210…IT全般統制支援システム
220…優先順位評価部
221…業務統制情報取得部
222…統制評価部
223…ITシステム順位集計部
230…評価条件保存部
240…評価条件入力部
250…優先順位表示部
260…業務統制支援システム
261…ITシステムデータ
262…業務統制進捗データ
263…業務統制文書データ
410…IT全般統制支援システム
411…IT基盤
412…ITシステム
420…業務統制支援システム
421…ITシステム
422…コントロール制御部
423…リスク制御部
424…リスクコントロールマトリックス制御部
Claims (5)
- 統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
を具備することを特徴とする統制処理システム。 - 前記業務統制における承認が行われたか否かを判断する判断手段
をさらに具備し、
前記評価手段は、前記判断手段によって承認が行われたと判断された場合は、前記コントロール・リスク取得手段によって取得されたコントロール内のキーコントロールに基づいて、前記業務統制の承認後における指標を評価する
ことを特徴とする請求項1に記載の統制処理システム。 - 前記評価手段が評価する指標として、コントロール及びリスクに関する指標を含む
ことを特徴とする請求項1に記載の統制処理システム。 - 前記評価手段が評価するコントロールに関する指標として、統制頻度、統制の性質、証跡の数のいずれか一つ以上を含み、リスクに関する指標として、リスク評価、リスク分類、重要勘定科目、アサーションのいずれか一つ以上を含む
ことを特徴とする請求項3に記載の統制処理システム。 - コンピュータを、
統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
として機能させることを特徴とする統制処理プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007329809A JP5088125B2 (ja) | 2007-12-21 | 2007-12-21 | 統制処理システム及び統制処理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007329809A JP5088125B2 (ja) | 2007-12-21 | 2007-12-21 | 統制処理システム及び統制処理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009151614A true JP2009151614A (ja) | 2009-07-09 |
JP5088125B2 JP5088125B2 (ja) | 2012-12-05 |
Family
ID=40920691
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007329809A Expired - Fee Related JP5088125B2 (ja) | 2007-12-21 | 2007-12-21 | 統制処理システム及び統制処理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5088125B2 (ja) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001250023A (ja) * | 1999-12-30 | 2001-09-14 | Ge Financial Assurance Holdings Inc | コンプライアンス管理システム及びその方法 |
JP2003196435A (ja) * | 2001-12-25 | 2003-07-11 | Hitachi Information Systems Ltd | 業務フロー作成支援方法及びそのシステム |
JP2003256633A (ja) * | 2002-03-05 | 2003-09-12 | Hitachi Ltd | 業務フローデータ検証方法、検証プログラム及び検証システム |
JP2006110978A (ja) * | 2004-12-21 | 2006-04-27 | Dainippon Printing Co Ltd | 統合アセスメント・コントロール表 |
JP2007183807A (ja) * | 2006-01-06 | 2007-07-19 | Hitachi Ltd | 業務プロセス評価システム |
JP2007287132A (ja) * | 2006-04-19 | 2007-11-01 | Metarisk Inc | 情報技術危険管理システム及びその方法 |
-
2007
- 2007-12-21 JP JP2007329809A patent/JP5088125B2/ja not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001250023A (ja) * | 1999-12-30 | 2001-09-14 | Ge Financial Assurance Holdings Inc | コンプライアンス管理システム及びその方法 |
JP2003196435A (ja) * | 2001-12-25 | 2003-07-11 | Hitachi Information Systems Ltd | 業務フロー作成支援方法及びそのシステム |
JP2003256633A (ja) * | 2002-03-05 | 2003-09-12 | Hitachi Ltd | 業務フローデータ検証方法、検証プログラム及び検証システム |
JP2006110978A (ja) * | 2004-12-21 | 2006-04-27 | Dainippon Printing Co Ltd | 統合アセスメント・コントロール表 |
JP2007183807A (ja) * | 2006-01-06 | 2007-07-19 | Hitachi Ltd | 業務プロセス評価システム |
JP2007287132A (ja) * | 2006-04-19 | 2007-11-01 | Metarisk Inc | 情報技術危険管理システム及びその方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5088125B2 (ja) | 2012-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5218068B2 (ja) | 情報処理装置及び情報処理プログラム | |
KR101560259B1 (ko) | 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 | |
Mc Caffery et al. | Risk management capability model for the development of medical device software | |
Maxim et al. | An introduction to modern software quality assurance | |
JP2006235872A (ja) | プロジェクト管理装置 | |
JP4983028B2 (ja) | 財務統制支援プログラムおよび財務統制支援システム | |
JP5195108B2 (ja) | 情報処理装置及び情報処理プログラム | |
JP5088125B2 (ja) | 統制処理システム及び統制処理プログラム | |
JP2011232874A (ja) | 情報セキュリティ管理支援方法及び装置 | |
JP5751376B1 (ja) | 情報処理装置及び情報処理プログラム | |
JP5157309B2 (ja) | 情報処理システム及び情報処理プログラム | |
Nichols et al. | DoD developer’s guidebook for software assurance | |
JP2011028350A (ja) | 情報処理装置及び情報処理プログラム | |
JP2008052347A (ja) | 文書処理装置および文書処理プログラム | |
JP5787017B1 (ja) | 情報処理装置及び情報処理プログラム | |
JP2010287009A (ja) | 情報処理装置及び情報処理プログラム | |
Marchetti | Sarbanes-Oxley ongoing compliance guide: Key processes and summary checklists | |
JP2008234503A (ja) | 情報処理システム及び情報処理プログラム | |
JP2010113389A (ja) | 情報処理装置及び情報処理プログラム | |
JP2009169641A (ja) | 情報処理装置及び情報処理プログラム | |
JP5664816B1 (ja) | 情報処理装置及び情報処理プログラム | |
JP2009042865A (ja) | 情報処理装置、情報処理プログラム及び情報処理システム | |
JP5397111B2 (ja) | 情報処理システム | |
JP2010044705A (ja) | 情報処理装置及び情報処理プログラム | |
JP2008234504A (ja) | 情報処理システム及び情報処理プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101124 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120517 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120726 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120814 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120827 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150921 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |