JP2009151614A - 統制処理システム及び統制処理プログラム - Google Patents
統制処理システム及び統制処理プログラム Download PDFInfo
- Publication number
- JP2009151614A JP2009151614A JP2007329809A JP2007329809A JP2009151614A JP 2009151614 A JP2009151614 A JP 2009151614A JP 2007329809 A JP2007329809 A JP 2007329809A JP 2007329809 A JP2007329809 A JP 2007329809A JP 2009151614 A JP2009151614 A JP 2009151614A
- Authority
- JP
- Japan
- Prior art keywords
- control
- business
- risk
- processing system
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】情報処理システムに対する統制の運用テストの結果を業務統制の運用テストに用いる場合に、業務統制の運用テストにおける負担を軽減させる前記情報処理システムの統制の優先順位を決定する統制処理システムを提供する。
【解決手段】統制処理システムのコントロール・リスク取得手段は、統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得し、評価手段は、前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価し、集計手段は、前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う。
【選択図】図2
【解決手段】統制処理システムのコントロール・リスク取得手段は、統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得し、評価手段は、前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価し、集計手段は、前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う。
【選択図】図2
Description
本発明は、統制処理システム及び統制処理プログラムに関する。
近年、財務内部統制が求められている。その財務内部統制とは、1992年にCOSO(トレッドウェイ委員会組織委員会)が発表した「内部統制−統合的枠組み」が、事実上の標準となっており、「(1)業務の有効性・効率性、(2)財務諸表の信頼性、(3)関連法規の遵守の3つの目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者及びその他の職員によって遂行される一つのプロセス」と定義されている。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化する必要がある。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化する必要がある。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
これらに関する技術として、例えば、特許文献1には、それぞれの業務フローにおける再利用化と品質の均一化の向上を図ることを課題とし、業務条件を取得した業務フロー作成処理機能を有する制御装置に、取得した業務条件に対応する業務階層を、その業務条件と業務階層の対応関係を表す業務条件管理テーブルから取得させ、取得した業務階層に対応する業務フロー図を特定するIDを、その業務階層と業務フロー図IDとの対応関係を表す業務フロー階層テーブルから取得させ、そして、取得した業務フロー図IDにより特定される業務フロー図を予め設けてある種々の業務フロー図の中から収集させて、前記取得した業務条件に該当する業務フロー図の業務フローを作成させることが開示されている。
また、例えば、特許文献2には、業務支援システムにかかる業務フローデータの意味論的正しさを検証するのに好適な検証方法及び検証システムを提供することを課題とし、業務フローデータ検証方法は、支援対象の業務を構成する複数の業務項目と、各業務項目の実施要因となる事象と、事象の組合せによって規定される実施条件からなる業務フローデータの記述内容を表示画面に表示し、当該記述内容の正当性について例えば業務の流れについて熟知しているユーザの承認を求めることにより、業務フローデータの意味論的正しさを検証できることが開示されている。
また、例えば、特許文献3には、RCM帳票のフォーマットが記載されている。つまり、企業に関係する品質、環境、労働安全衛生、CSRの各リスクを一元的に統合し、リスクによる損害から企業活動を守り、さらに企業の社会的責任を高め持続的成長を志向するマネジメントに供する統合アセスメント・コントロール表を提供することを課題とし、リスクとしてコントロールすべき事象を列挙する共通項目の欄と、リスク評価対象となる複数のリスクアセスメント項目の欄と、管理すべき対象のリスク低減活動の結果を記入するリスクコントロール項目の欄とを備え、複数のリスクアセスメント項目が、少なくとも、品質リスクアセスメント、労働安全衛生リスクアセスメント、環境リスクアセスメント、情報セキュリティリスクアセスメント、CSRアセスメントからなり、企業がこれを活用することにより、企業活動におけるリスクをより高度にコントロールでき、企業の存在と存続を守ることができる。
また、J−SOX(日本版企業改革法)では、業務統制を下支えする統制として、IT(情報処理システム)全般統制の整備を求めている。つまり、ITシステムが不適切な動作をしていないことを確認するための統制である。そして、IT全般統制が有効であれば、ITシステムによって自動化された統制の運用テストを簡略化することが認められており、負担軽減による統制実施者(例えば、企業側)のメリットも大きい。
一方、IT全般統制の整備自体にも作業コストが発生するため、全てのITシステムのIT全般統制を整備するのではなく、業務統制の運用テストにおける負担を軽減するのに効果的なITシステムから優先的に全般統制の整備を行うことが望ましい。
特開2003−196435号公報
特開2003−256633号公報
特開2006−110978号公報
一方、IT全般統制の整備自体にも作業コストが発生するため、全てのITシステムのIT全般統制を整備するのではなく、業務統制の運用テストにおける負担を軽減するのに効果的なITシステムから優先的に全般統制の整備を行うことが望ましい。
本発明は、情報処理システムに対する統制の運用テストの結果を業務統制の運用テストに用いる場合に、業務統制の運用テストにおける負担を軽減させる前記情報処理システムの統制の優先順位を決定する統制処理システム及び統制処理プログラムを提供することを目的としている。
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
[1] 統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
を具備することを特徴とする統制処理システム。
[1] 統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
を具備することを特徴とする統制処理システム。
[2] 前記業務統制における承認が行われたか否かを判断する判断手段
をさらに具備し、
前記評価手段は、前記判断手段によって承認が行われたと判断された場合は、前記コントロール・リスク取得手段によって取得されたコントロール内のキーコントロールに基づいて、前記業務統制の承認後における指標を評価する
ことを特徴とする[1]に記載の統制処理システム。
をさらに具備し、
前記評価手段は、前記判断手段によって承認が行われたと判断された場合は、前記コントロール・リスク取得手段によって取得されたコントロール内のキーコントロールに基づいて、前記業務統制の承認後における指標を評価する
ことを特徴とする[1]に記載の統制処理システム。
[3] 前記評価手段が評価する指標として、コントロール及びリスクに関する指標を含む
ことを特徴とする[1]に記載の統制処理システム。
ことを特徴とする[1]に記載の統制処理システム。
[4] 前記評価手段が評価するコントロールに関する指標として、統制頻度、統制の性質、証跡の数のいずれか一つ以上を含み、リスクに関する指標として、リスク評価、リスク分類、重要勘定科目、アサーションのいずれか一つ以上を含む
ことを特徴とする[3]に記載の統制処理システム。
ことを特徴とする[3]に記載の統制処理システム。
[5] コンピュータを、
統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
として機能させることを特徴とする統制処理プログラム。
統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
として機能させることを特徴とする統制処理プログラム。
請求項1に記載の統制処理システムによれば、情報処理システムに対する統制の運用テストの結果を業務統制の運用テストに用いる場合に、業務統制の運用テストにおける負担を軽減させる前記情報処理システムの統制の優先順位を決定することができるようになる。
請求項2に記載の統制処理システムによれば、業務統制の承認後であれば、その業務統制に関するキーコントロールを用いて、前記情報処理システムの統制の優先順位を決定することができるようになる。
請求項3に記載の統制処理システムによれば、コントロール及びリスクに関する指標に基づいて優先順位を決定することができるようになる。
請求項4に記載の統制処理システムによれば、承認前におけるコントロール、リスクに関する指標として、承認後にも反映される可能性の高い指標を含めて優先順位を決定することができるようになる。
請求項5に記載の統制処理プログラムによれば、情報処理システムに対する統制の運用テストの結果を業務統制の運用テストに用いる場合に、業務統制の運用テストにおける負担を軽減させる前記情報処理システムの統制の優先順位を決定することができるようになる。
まず、内部統制の「基本4文書」について説明する。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書とは、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂に影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目が一般には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。また、財務リスクに対して、アサーションの観点でリスクが網羅されていることが必要で、これら6つのアサーションのいずれかに該当するリスクは重要性が高いといえる。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
また、財務内部統制において、財務に関連した業務を分析しその結果をまとめた文書に対して、その文書の正当性と正確性をチェックする整備評価(以下ウォークスルーともいい、WTとも略す)と文書通りに運用されているかをテストする運用評価の2種類の評価がある。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書とは、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂に影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目が一般には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。また、財務リスクに対して、アサーションの観点でリスクが網羅されていることが必要で、これら6つのアサーションのいずれかに該当するリスクは重要性が高いといえる。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
また、財務内部統制において、財務に関連した業務を分析しその結果をまとめた文書に対して、その文書の正当性と正確性をチェックする整備評価(以下ウォークスルーともいい、WTとも略す)と文書通りに運用されているかをテストする運用評価の2種類の評価がある。
業務統制の運用テスト負担軽減とIT全般統制の整備コスト負担増加を効果的にバランスさせるには、以下に示す3つの手順で実施する必要がある。
(1)業務統制におけるITシステムを用いた(自動化された)統制の洗い出し。
(2)前記(1)の統制から、重要な統制を選別する。
(3)前記(2)の統制が依存するITシステムの洗い出し。つまり、IT全般統制の対象を決定する。
しかし、業務統制とIT全般統制はそれぞれ実施担当者が異なり、また統制整備の時期も異なるため、IT全般統制におけるITシステムの対象選択時に前述のフィードバック(前記(3)を行うには前記(1)が必要である)を行うには困難なケースが多く、主観的な選択とならざるを得なかった。本実施の形態は、このような状況の場合に利用するものである。
(1)業務統制におけるITシステムを用いた(自動化された)統制の洗い出し。
(2)前記(1)の統制から、重要な統制を選別する。
(3)前記(2)の統制が依存するITシステムの洗い出し。つまり、IT全般統制の対象を決定する。
しかし、業務統制とIT全般統制はそれぞれ実施担当者が異なり、また統制整備の時期も異なるため、IT全般統制におけるITシステムの対象選択時に前述のフィードバック(前記(3)を行うには前記(1)が必要である)を行うには困難なケースが多く、主観的な選択とならざるを得なかった。本実施の形態は、このような状況の場合に利用するものである。
以下、図面に基づき本発明を実現するにあたっての好適な一実施の形態の例を説明する。
図1は、本実施の形態を実現するにあたってのシステム全体の構成例を示す構成図である。
本システム全体では、業務統制支援サーバー101、IT全般統制支援サーバー102、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106を有しており、それぞれ通信回線であるLAN/WAN199を介して接続されている。
業務統制支援サーバー101は、IT全般統制支援サーバー102と連携して、業務統制管理者端末103又は業務統制文書化作業者端末105の操作者の操作に基づく指示によって、業務統制に関する処理を行う。より具体的には、図2、図4等を用いて後述する。
IT全般統制支援サーバー102は、業務統制支援サーバー101と連携して、IT全般統制管理者端末104又はIT全般統制文書化作業者端末106の操作者の操作に基づく指示によって、業務に用いられているITシステムに関する処理を行う。より具体的には、図2、図4等を用いて後述する。
図1は、本実施の形態を実現するにあたってのシステム全体の構成例を示す構成図である。
本システム全体では、業務統制支援サーバー101、IT全般統制支援サーバー102、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106を有しており、それぞれ通信回線であるLAN/WAN199を介して接続されている。
業務統制支援サーバー101は、IT全般統制支援サーバー102と連携して、業務統制管理者端末103又は業務統制文書化作業者端末105の操作者の操作に基づく指示によって、業務統制に関する処理を行う。より具体的には、図2、図4等を用いて後述する。
IT全般統制支援サーバー102は、業務統制支援サーバー101と連携して、IT全般統制管理者端末104又はIT全般統制文書化作業者端末106の操作者の操作に基づく指示によって、業務に用いられているITシステムに関する処理を行う。より具体的には、図2、図4等を用いて後述する。
業務統制管理者端末103は、業務統制管理者によって用いられ、業務統制支援サーバー101又は業務統制文書化作業者端末105に対して、業務統制に関する処理を行うように指示する。
IT全般統制管理者端末104は、IT全般統制管理者によって用いられ、IT全般統制支援サーバー102又はIT全般統制文書化作業者端末106に対して、IT全般統制に関する処理を行うように指示する。
業務統制文書化作業者端末105は、業務統制文書化作業者によって用いられ、業務統制支援サーバー101又は業務統制管理者端末103からの指示に基づいて、業務統制用の文書を作成する。そして、その文書を業務統制支援サーバー101に格納する。
IT全般統制文書化作業者端末106は、IT全般統制文書化作業者によって用いられ、IT全般統制支援サーバー102又はIT全般統制管理者端末104からの指示に基づいて、IT全般統制用の文書を作成する。そして、その文書をIT全般統制支援サーバー102に格納する。
IT全般統制管理者端末104は、IT全般統制管理者によって用いられ、IT全般統制支援サーバー102又はIT全般統制文書化作業者端末106に対して、IT全般統制に関する処理を行うように指示する。
業務統制文書化作業者端末105は、業務統制文書化作業者によって用いられ、業務統制支援サーバー101又は業務統制管理者端末103からの指示に基づいて、業務統制用の文書を作成する。そして、その文書を業務統制支援サーバー101に格納する。
IT全般統制文書化作業者端末106は、IT全般統制文書化作業者によって用いられ、IT全般統制支援サーバー102又はIT全般統制管理者端末104からの指示に基づいて、IT全般統制用の文書を作成する。そして、その文書をIT全般統制支援サーバー102に格納する。
図2は、本実施の形態の構成例についての概念的なブロック構成図を示している。
なお、各構成部は、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態における構成部はコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、各構成部は機能にほぼ一対一に対応しているが、実装においては、1構成部を1プログラムで構成してもよいし、複数構成部を1プログラムで構成してもよく、逆に1構成部を複数プログラムで構成してもよい。また、複数構成部は1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1構成部が複数コンピュータで実行されてもよい。なお、一つの構成部に他の構成部が含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)を含む。例えば、データとデータが接続されているとは、データの一部が同一のデータであること、ポインタ又はリンク等で一方が他方を指していること等を表す。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、一つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。
なお、操作者をその文脈に応じて、作成者、検証者、ユーザ等ともいう。
入力という用語は、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106に対する操作者の操作によってデータを受け付けること、各構成部が他の構成部からデータを受け付けること等に用いる。
なお、各構成部は、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態における構成部はコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、各構成部は機能にほぼ一対一に対応しているが、実装においては、1構成部を1プログラムで構成してもよいし、複数構成部を1プログラムで構成してもよく、逆に1構成部を複数プログラムで構成してもよい。また、複数構成部は1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1構成部が複数コンピュータで実行されてもよい。なお、一つの構成部に他の構成部が含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)を含む。例えば、データとデータが接続されているとは、データの一部が同一のデータであること、ポインタ又はリンク等で一方が他方を指していること等を表す。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、一つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。
なお、操作者をその文脈に応じて、作成者、検証者、ユーザ等ともいう。
入力という用語は、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106に対する操作者の操作によってデータを受け付けること、各構成部が他の構成部からデータを受け付けること等に用いる。
図2に示す本実施の形態の構成例は、IT全般統制支援システム210、業務統制支援システム260を有している。
IT全般統制支援システム210は、優先順位評価部220、評価条件保存部230、評価条件入力部240、優先順位表示部250を有しており、IT全般統制支援サーバー102の一部を構成している。ITシステムの統制を支援するシステムであり、統制の対象となっているITシステムの一部又は全部は、業務統制支援システム260が支援する業務統制における統制の対象ともなっている。そして、IT全般統制支援システム210は、統制の文書化過程で蓄積された情報をパラメータにITシステムの重要度を計算し、IT全般統制の対象候補システムの優先順位付け(ランキング)を行う。また、ランキング計算に用いるパラメータの種類はフェーズ(承認前か否か)に応じて適切なものを選択し、業務統制の整備途中でもランキングを提示する。
IT全般統制支援システム210は、優先順位評価部220、評価条件保存部230、評価条件入力部240、優先順位表示部250を有しており、IT全般統制支援サーバー102の一部を構成している。ITシステムの統制を支援するシステムであり、統制の対象となっているITシステムの一部又は全部は、業務統制支援システム260が支援する業務統制における統制の対象ともなっている。そして、IT全般統制支援システム210は、統制の文書化過程で蓄積された情報をパラメータにITシステムの重要度を計算し、IT全般統制の対象候補システムの優先順位付け(ランキング)を行う。また、ランキング計算に用いるパラメータの種類はフェーズ(承認前か否か)に応じて適切なものを選択し、業務統制の整備途中でもランキングを提示する。
業務統制支援システム260は、ITシステムデータ261、業務統制進捗データ262、業務統制文書データ263を有しており、業務統制支援サーバー101の一部を構成している。業務統制を支援するシステムであり、統制の対象となっているものの一部にITシステムが含まれており、そのITシステムはIT全般統制支援システム210による統制の対象ともなっている。つまり、IT全般統制支援システム210、業務統制支援システム260の統制の対象(又は統制の対象の一部)となっているITシステムには共通するものが含まれている。
ITシステムデータ261、業務統制進捗データ262、業務統制文書データ263は、それぞれ優先順位評価部220の業務統制情報取得部221から参照される。ITシステムデータ261は、統制の対象であるITシステムに関する情報を記憶する。業務統制進捗データ262は、業務統制の進捗データを記憶する。業務統制文書データ263は、業務統制における基本4文書を記憶する。
ITシステムデータ261、業務統制進捗データ262、業務統制文書データ263は、それぞれ優先順位評価部220の業務統制情報取得部221から参照される。ITシステムデータ261は、統制の対象であるITシステムに関する情報を記憶する。業務統制進捗データ262は、業務統制の進捗データを記憶する。業務統制文書データ263は、業務統制における基本4文書を記憶する。
評価条件入力部240は、評価条件保存部230と接続されており、評価条件を評価条件保存部230に記憶させる。IT全般統制管理者端末104の操作者であるIT全般統制管理者からの指示(ITシステムの統制の運用テストを実行するにあたっての優先順位を決定するための評価条件)を受け付け、受け付けた評価条件を評価条件保存部230に記憶させる。
評価条件保存部230は、優先順位評価部220から参照され、また、評価条件入力部240と接続されている。評価条件入力部240が受け付けた評価条件を記憶する。そして、その評価条件は優先順位評価部220によって参照される。
評価条件保存部230は、優先順位評価部220から参照され、また、評価条件入力部240と接続されている。評価条件入力部240が受け付けた評価条件を記憶する。そして、その評価条件は優先順位評価部220によって参照される。
優先順位評価部220は、業務統制情報取得部221、統制評価部222、ITシステム順位集計部223を有しており、業務統制支援システム260に記憶されているデータ及び評価条件保存部230を参照する。優先順位評価部220は、業務統制支援システム260が支援する業務統制の運用テストにおける負担を軽減するのに効果的なITシステムから優先的に全般統制の整備を行うようにするために、ITシステムの統制における評価を行い、優先順位を算出するものである。
業務統制情報取得部221は、統制評価部222と接続されており、また、業務統制支援システム260のITシステムデータ261、業務統制進捗データ262、業務統制文書データ263を参照する。業務統制情報取得部221は、統制の対象であるITシステムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得する。より具体的には、業務統制情報取得部221は、ITシステムデータ261を参照して、統制の対象であるITシステムに関する情報を取得し、また、業務統制進捗データ262を参照して、そのITシステムを統制の対象として含む業務統制の進捗データを取得し、さらに、業務統制文書データ263内のそのITシステムが関与する基本4文書(少なくともRCMを含んでいるものであればよい)を参照して、コントロールとそのコントロールに対応するリスクを取得する。そして、取得したデータを統制評価部222へ渡す。
なお、コントロールには、キーコントロールを含む。キーコントロールとは、主要なコントロールであり、これは業務統制の運用テストの際には行われなければならないものである。
なお、コントロールには、キーコントロールを含む。キーコントロールとは、主要なコントロールであり、これは業務統制の運用テストの際には行われなければならないものである。
統制評価部222は、業務統制情報取得部221、ITシステム順位集計部223と接続されている。統制評価部222は、業務統制情報取得部221によって取得されたコントロール及びリスクに基づいて、業務統制の承認前における指標を評価する。より具体的には、統制評価部222は、業務統制情報取得部221によって取得された業務統制の進捗データを用いて、その業務統制整備における統制文書化の承認が行われているか否かを判断する。承認が行われた後であると判断された場合は、業務統制情報取得部221によって取得されたコントロール内のキーコントロールに基づいて、業務統制の承認後におけるそのITシステムの指標を評価する。また、未だ承認が行われていないと判断された場合は、業務統制情報取得部221によって取得されたコントロール及びリスクに基づいて、業務統制の承認前におけるそのITシステムの指標を評価する。そして、評価結果をITシステム順位集計部223へ渡す。
なお、統制評価部222が評価するコントロールに関する指標には、統制頻度、統制の性質、証跡の数のいずれか一つ以上を含み、リスクに関する指標として、リスク評価、リスク分類、重要勘定科目、アサーションのいずれか一つ以上を含む。
なお、統制評価部222が評価するコントロールに関する指標には、統制頻度、統制の性質、証跡の数のいずれか一つ以上を含み、リスクに関する指標として、リスク評価、リスク分類、重要勘定科目、アサーションのいずれか一つ以上を含む。
ITシステム順位集計部223は、統制評価部222、優先順位表示部250と接続されている。統制評価部222によって評価された指標に重み付けを行って、ITシステムの統制を実行するにあたっての優先順位を決定するための集計を行う。そして、その集計結果を優先順位表示部250へ渡す。
優先順位表示部250は、優先順位評価部220のITシステム順位集計部223と接続されている。ITシステム順位集計部223による集計結果をIT全般統制管理者端末104に送信する。そして、IT全般統制管理者端末104は集計結果を受け取り、IT全般統制管理者端末104の出力部(例えば、液晶ディスプレイ)に表示し、操作者に提示する。
優先順位表示部250は、優先順位評価部220のITシステム順位集計部223と接続されている。ITシステム順位集計部223による集計結果をIT全般統制管理者端末104に送信する。そして、IT全般統制管理者端末104は集計結果を受け取り、IT全般統制管理者端末104の出力部(例えば、液晶ディスプレイ)に表示し、操作者に提示する。
図3は、本実施の形態による処理例を示すフローチャートである。
ステップS302では、評価条件入力部240が、IT全般統制管理者端末104の操作者によって選択されたITシステム及びそのITシステムの統制における評価条件を取得する。
ステップS304では、業務統制情報取得部221が、業務統制進捗データ262より業務統制整備におけるプロセスの進捗データを取得する。
ステップS306では、優先順位評価部220が、ステップS304で取得した進捗データが文書化プロセス承認済であるか否かを判断する。文書化プロセス承認済である場合はステップS318へ進み、文書化プロセス未承認である場合はステップS308へ進む。
ステップS302では、評価条件入力部240が、IT全般統制管理者端末104の操作者によって選択されたITシステム及びそのITシステムの統制における評価条件を取得する。
ステップS304では、業務統制情報取得部221が、業務統制進捗データ262より業務統制整備におけるプロセスの進捗データを取得する。
ステップS306では、優先順位評価部220が、ステップS304で取得した進捗データが文書化プロセス承認済であるか否かを判断する。文書化プロセス承認済である場合はステップS318へ進み、文書化プロセス未承認である場合はステップS308へ進む。
ステップS308では、業務統制情報取得部221が、業務統制文書データ263より対象としている業務統制のITシステムが関与しているコントロールを取得する。
ステップS310では、業務統制情報取得部221が、業務統制文書データ263よりステップS308で取得したコントロールに対応するリスクを取得する。コントロールと対応しているリスクを取得するために、RCMを参照して決定する。
ステップS312では、統制評価部222が、承認前における指標の評価を行う。
ステップS310では、業務統制情報取得部221が、業務統制文書データ263よりステップS308で取得したコントロールに対応するリスクを取得する。コントロールと対応しているリスクを取得するために、RCMを参照して決定する。
ステップS312では、統制評価部222が、承認前における指標の評価を行う。
ステップS314では、統制評価部222が、ステップS312での評価結果に基づいて各ITシステムのポイント(評価点)を計算する。
ステップS318では、業務統制情報取得部221が、業務統制文書データ263より対象としている業務統制のITシステムが関与しているコントロール内のキーコントロールを取得する。
ステップS320では、統制評価部222が、ステップS318で取得したキーコントロールに基づいて各ITシステムのポイントを計算する。
ステップS318では、業務統制情報取得部221が、業務統制文書データ263より対象としている業務統制のITシステムが関与しているコントロール内のキーコントロールを取得する。
ステップS320では、統制評価部222が、ステップS318で取得したキーコントロールに基づいて各ITシステムのポイントを計算する。
ステップS316では、ITシステム順位集計部223が、ステップS314又はステップS320で計算されたポイントに基づいて、ITシステム別にポイントの集計(合算(重み付けの合算を含む))を行う。
ステップS322では、優先順位評価部220が、全てのプロセスの評価が済んだか否かを判断する。未だ評価が済んでいないプロセスがある場合はステップS304へ戻り、全てのプロセスの評価が済んでいる場合はステップS324へ進む。
ステップS324では、ITシステム順位集計部223が、ITシステムのポイントでソートし、優先順位表示部250が、そのソート結果に基づいて、対象とすべきITシステムの優先順位を表示する。
ステップS322では、優先順位評価部220が、全てのプロセスの評価が済んだか否かを判断する。未だ評価が済んでいないプロセスがある場合はステップS304へ戻り、全てのプロセスの評価が済んでいる場合はステップS324へ進む。
ステップS324では、ITシステム順位集計部223が、ITシステムのポイントでソートし、優先順位表示部250が、そのソート結果に基づいて、対象とすべきITシステムの優先順位を表示する。
図4は、IT全般統制支援システム410と業務統制支援システム420の関係例を示す説明図である。
IT全般統制支援システム410は、IT基盤411、ITシステム412を有しており、IT基盤411とITシステム412は接続されている。ITシステム412は複数あってもよく、各ITシステム412はIT基盤411に接続されている。IT基盤411はITシステム412からなっており、IT全般統制の対象である。
IT全般統制支援システム410は、IT基盤411、ITシステム412を有しており、IT基盤411とITシステム412は接続されている。ITシステム412は複数あってもよく、各ITシステム412はIT基盤411に接続されている。IT基盤411はITシステム412からなっており、IT全般統制の対象である。
業務統制支援システム420は、ITシステム421、コントロール制御部422、リスク制御部423、リスクコントロールマトリックス制御部424を有している。
ITシステム421は、コントロール制御部422と接続されている。ITシステム421はITシステム412と同一のものであり、IT全般統制支援システム410においてはIT基盤411を構成するものであり、業務統制支援システム420においてはコントロール制御部422によってコントロールの制御の対象とされるものである。つまり、ITシステム412(421)は、業務統制のコントロールが依存するシステムであり、かつ、IT全般統制の整備対象のシステムでもある。
コントロール制御部422はITシステム421、リスクコントロールマトリックス制御部424と接続されており、リスク制御部423はリスクコントロールマトリックス制御部424と接続されており、リスクコントロールマトリックス制御部424はコントロール制御部422、リスク制御部423と接続されている。
リスクコントロールマトリックス制御部424は、RCMに基づいて、リスク制御部423によって制御されているリスクに対応するコントロールを特定し、そのコントロールに対するコントロール制御部422による制御を管理する。
ITシステム421は、コントロール制御部422と接続されている。ITシステム421はITシステム412と同一のものであり、IT全般統制支援システム410においてはIT基盤411を構成するものであり、業務統制支援システム420においてはコントロール制御部422によってコントロールの制御の対象とされるものである。つまり、ITシステム412(421)は、業務統制のコントロールが依存するシステムであり、かつ、IT全般統制の整備対象のシステムでもある。
コントロール制御部422はITシステム421、リスクコントロールマトリックス制御部424と接続されており、リスク制御部423はリスクコントロールマトリックス制御部424と接続されており、リスクコントロールマトリックス制御部424はコントロール制御部422、リスク制御部423と接続されている。
リスクコントロールマトリックス制御部424は、RCMに基づいて、リスク制御部423によって制御されているリスクに対応するコントロールを特定し、そのコントロールに対するコントロール制御部422による制御を管理する。
図5は、指標例を示す説明図である。つまり、ここでの指標とは、業務統制の運用テストにおける負担を軽減するのに効果的なITシステムを優先的に選択するために用いるものであり、コントロール510に関する指標とリスク550に関する指標がある。
コントロール510に関する指標として、統制の種類(自動)520、統制頻度531、統制の性質(予防・発見)532、証跡の数533、キーコントロール540がある。
統制の種類(自動)520は、本実施の形態においては必須の指標である。つまり、そのコントロールが、統制の種類(自動)520でなければ指標として採用しない。統制の種類としては、(1)マニュアル(人手のみでコントロールのチェックが行われるもの)、(2)IT依存マニュアル(ITシステムによってコントロールのチェックが行われるが、最終的には人手によりチェックされるもの)、(3)ITシステム(そのITシステムのみで自動的にコントロールのチェックを行うもの)、の3種類がある。図5では、指標として統制の種類(自動)520だけであるが、「統制の種類(IT依存マニュアル)」を含めるようにしてもよい。
コントロール510に関する指標として、統制の種類(自動)520、統制頻度531、統制の性質(予防・発見)532、証跡の数533、キーコントロール540がある。
統制の種類(自動)520は、本実施の形態においては必須の指標である。つまり、そのコントロールが、統制の種類(自動)520でなければ指標として採用しない。統制の種類としては、(1)マニュアル(人手のみでコントロールのチェックが行われるもの)、(2)IT依存マニュアル(ITシステムによってコントロールのチェックが行われるが、最終的には人手によりチェックされるもの)、(3)ITシステム(そのITシステムのみで自動的にコントロールのチェックを行うもの)、の3種類がある。図5では、指標として統制の種類(自動)520だけであるが、「統制の種類(IT依存マニュアル)」を含めるようにしてもよい。
キーコントロール540は、文書化プロセス承認後における指標である。なお、業務統制管理者がキーコントロールか否かを定める。また、統制評価部222が、統制頻度531、統制の性質(予防・発見)532、証跡の数533を全体的に評価して(例えば、コントロール毎に統制頻度531、統制の性質(予防・発見)532、証跡の数533のポイントを集計する)、定めるようにしてもよい。
統制頻度531は、そのコントロールがどのような頻度で統制が実施されるかを示す指標である。例えば、随時、週次、月次、年次、などがある。頻度が高いほど重要度が高いコントロールであると判断される。
統制の性質(予防・発見)532は、そのコントロールの性質、つまり、そのコントロールが予防的なものであるか、発見的なものであるかを示す指標である。
証跡の数533は、そのコントロールにおいて、チェックすべき証跡(例えば請求書等の書類等)の数を示す指標である。多いほど重要度が高いコントロールであると判断される。
統制の性質(予防・発見)532は、そのコントロールの性質、つまり、そのコントロールが予防的なものであるか、発見的なものであるかを示す指標である。
証跡の数533は、そのコントロールにおいて、チェックすべき証跡(例えば請求書等の書類等)の数を示す指標である。多いほど重要度が高いコントロールであると判断される。
リスク550に関する指標として、リスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537がある。
リスク評価534は、そのリスクの重要性を示す指標である。例えば、(そのリスクの頻度)×(そのリスクの影響度)等である。
リスク分類(財務・その他)535は、どの分野にかかわるリスクであるかを示す指標である。例えば、J−SOXでは財務にかかわるリスクであることが必要である。
重要勘定科目536は、統制を受けている者(会社を含む)における業務(商売)で重要視している勘定科目である。
アサーション537は、前述のように具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目の観点で、財務リスクを網羅しているかを示す指標である。
また、承認前指標530としては、統制頻度531、統制の性質(予防・発見)532、証跡の数533、リスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537がある。
リスク評価534は、そのリスクの重要性を示す指標である。例えば、(そのリスクの頻度)×(そのリスクの影響度)等である。
リスク分類(財務・その他)535は、どの分野にかかわるリスクであるかを示す指標である。例えば、J−SOXでは財務にかかわるリスクであることが必要である。
重要勘定科目536は、統制を受けている者(会社を含む)における業務(商売)で重要視している勘定科目である。
アサーション537は、前述のように具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目の観点で、財務リスクを網羅しているかを示す指標である。
また、承認前指標530としては、統制頻度531、統制の性質(予防・発見)532、証跡の数533、リスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537がある。
図6は、承認前におけるランキング例を示す説明図である。
図6(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C6は1ポイント、コントロールC2、C5は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は1ポイントとなる。業務統制における承認が行われる前(つまり、キーコントロール確定前)は、指標の評価、つまり統制の種類(自動)520、承認前指標530から、各コントロールのポイントを確定する。なお、各システムは、コントロールに依存するITシステムである。また、ここで1ポイントとなっているコントロールは、そのコントロールに対応するリスクの指標が高く、かつ予防的統制であるものである。
これをランキング表示すると、図6(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、2位がSys1、Sys3という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
図6(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C6は1ポイント、コントロールC2、C5は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は1ポイントとなる。業務統制における承認が行われる前(つまり、キーコントロール確定前)は、指標の評価、つまり統制の種類(自動)520、承認前指標530から、各コントロールのポイントを確定する。なお、各システムは、コントロールに依存するITシステムである。また、ここで1ポイントとなっているコントロールは、そのコントロールに対応するリスクの指標が高く、かつ予防的統制であるものである。
これをランキング表示すると、図6(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、2位がSys1、Sys3という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
図7は、承認済におけるランキング例を示す説明図である。
図7(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C5、C6は1ポイント、コントロールC2は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は2ポイントとなる。ここで1ポイントとなっているコントロールは、キーコントロールであるものである。つまり、承認後はキーコントロールであるか否かだけでポイントの集計を行っている。
これをランキング表示すると、図7(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、Sys3、2位がSys1という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
なお、図6は承認前でのランキングであるが、図7は同様のシステムに対する承認後のランキングである。つまり、承認後であれば、キーコントロールをいくつ含んでいるかによってランキングを決定できるが、承認前はキーコントロールが不明であるので、それに代替できる指標(統制の種類(自動)520、承認前指標530等)を用いている。つまり、承認前であっても承認後のランキングに近づけるような指標となっている。
図7(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C5、C6は1ポイント、コントロールC2は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は2ポイントとなる。ここで1ポイントとなっているコントロールは、キーコントロールであるものである。つまり、承認後はキーコントロールであるか否かだけでポイントの集計を行っている。
これをランキング表示すると、図7(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、Sys3、2位がSys1という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
なお、図6は承認前でのランキングであるが、図7は同様のシステムに対する承認後のランキングである。つまり、承認後であれば、キーコントロールをいくつ含んでいるかによってランキングを決定できるが、承認前はキーコントロールが不明であるので、それに代替できる指標(統制の種類(自動)520、承認前指標530等)を用いている。つまり、承認前であっても承認後のランキングに近づけるような指標となっている。
次に、コントロールのポイントの計算例を示す。例えば、指標としてリスク評価534、統制の性質(予防・発見)532の2つを評価の対象に選んだ場合の例を説明する。なお、指標の選択は、評価条件入力部240によって受け付けられたものである。
まず、1番目の計算例を説明する。対象とするコントロールの指標である統制の性質(予防・発見)532が予防的であって、かつリスク評価534の重要性が高い場合に1ポイントとし、それ以外であれば0ポイントとする。
また、2番目の計算例を説明する。リスク評価534の重要性として「高」、「中」、「低」の3段階、統制の性質(予防・発見)532として「予防的」、「発見的」の2種類があるので、これらからポイントを決定するポイント決定表800(図8参照)を予め作成しておく。そして、統制評価部222は、ポイント決定表800を用いて、コントロールの該当するポイントを抽出する。
まず、1番目の計算例を説明する。対象とするコントロールの指標である統制の性質(予防・発見)532が予防的であって、かつリスク評価534の重要性が高い場合に1ポイントとし、それ以外であれば0ポイントとする。
また、2番目の計算例を説明する。リスク評価534の重要性として「高」、「中」、「低」の3段階、統制の性質(予防・発見)532として「予防的」、「発見的」の2種類があるので、これらからポイントを決定するポイント決定表800(図8参照)を予め作成しておく。そして、統制評価部222は、ポイント決定表800を用いて、コントロールの該当するポイントを抽出する。
図9、図15を用いて、ランキングのタイミング例を説明する。
図15は、従来技術での統制のタイミング例を示す説明図である。なお、会計年度末1599までに、業務統制運用テスト1502を終了させる必要がある。
業務統制整備1501を業務統制整備開始時期1591に開始し、業務統制整備終了時期1593に終了する。同様に、業務統制運用テスト1502を業務統制運用テスト開始時期1596に開始し、業務統制運用テスト終了時期1597に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、AシステムのIT全般統制1520をIT全般統制整備開始時期1594に開始し、IT全般統制運用テスト終了時期1598に終了する。また、BシステムのIT全般統制1510をIT全般統制整備開始時期1592に開始し、IT全般統制運用テスト終了時期1595に終了する。なお、AシステムのIT全般統制1520は、IT全般統制整備1521とIT全般統運用テスト1522からなり、BシステムのIT全般統制1510はIT全般統制整備1511とIT全般統運用テスト1512からなる。
図15は、従来技術での統制のタイミング例を示す説明図である。なお、会計年度末1599までに、業務統制運用テスト1502を終了させる必要がある。
業務統制整備1501を業務統制整備開始時期1591に開始し、業務統制整備終了時期1593に終了する。同様に、業務統制運用テスト1502を業務統制運用テスト開始時期1596に開始し、業務統制運用テスト終了時期1597に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、AシステムのIT全般統制1520をIT全般統制整備開始時期1594に開始し、IT全般統制運用テスト終了時期1598に終了する。また、BシステムのIT全般統制1510をIT全般統制整備開始時期1592に開始し、IT全般統制運用テスト終了時期1595に終了する。なお、AシステムのIT全般統制1520は、IT全般統制整備1521とIT全般統運用テスト1522からなり、BシステムのIT全般統制1510はIT全般統制整備1511とIT全般統運用テスト1512からなる。
このような場合、BシステムのIT全般統制1510のIT全般統制整備開始時期1592は、業務統制整備1501の最中(すなわち、業務統制整備終了時期1593である統制文書化承認の前の状態)であり、IT全般統制整備1511を行わなければならないので、業務統制整備1501からのフィードバックを受けずに、BシステムのIT全般統制1510のIT全般統制管理者が主観的にシステムを選択しなければならない(図15ではBシステムが選択された)。また、IT全般統制運用テスト終了時期1595は業務統制運用テスト開始時期1596の前であるので、業務統制運用テスト1502の負荷軽減には貢献できる(すなわち、BシステムのIT全般統制1510の結果を業務統制運用テスト1502に適用できる)が、BシステムのIT全般統制1510に無駄が生じる可能性が高い。つまり、IT全般統制整備開始時期1592の時点で、ランキングが低いシステム(図7の例ではSys1)を選択する可能性がある。
また、AシステムのIT全般統制1520のIT全般統制整備開始時期1594は業務統制整備終了時期1593の後であるので、統制文書化が完了してから、確定したキーコントロールを基にして対象とするシステムを選択することができる(図15ではAシステムが選択された)。つまり、システム選択の無駄は少なくなる。
しかし、IT全般統制整備1521の終了が業務統制運用テスト1502の業務統制運用テスト開始時期1596に間に合わないことになる。すなわち、ランキングの低いシステムを選択することは無いが、業務統制運用テスト1502の負荷を軽減することはできない。
しかし、IT全般統制整備1521の終了が業務統制運用テスト1502の業務統制運用テスト開始時期1596に間に合わないことになる。すなわち、ランキングの低いシステムを選択することは無いが、業務統制運用テスト1502の負荷を軽減することはできない。
図9は、本実施の形態を用いた場合のランキングのタイミング例を示す説明図である。なお、会計年度末999までに、業務統制運用テスト902を終了させる必要がある。
業務統制整備901を業務統制整備開始時期991に開始し、業務統制整備終了時期994に終了する。同様に、業務統制運用テスト902を業務統制運用テスト開始時期997に開始し、業務統制運用テスト終了時期998に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、システムのIT全般統制910をIT全般統制整備開始時期992に開始し、IT全般統制運用テスト終了時期996に終了する。なお、システムのIT全般統制910は、IT全般統制整備911とIT全般統制運用テスト912からなる。
業務統制整備901を業務統制整備開始時期991に開始し、業務統制整備終了時期994に終了する。同様に、業務統制運用テスト902を業務統制運用テスト開始時期997に開始し、業務統制運用テスト終了時期998に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、システムのIT全般統制910をIT全般統制整備開始時期992に開始し、IT全般統制運用テスト終了時期996に終了する。なお、システムのIT全般統制910は、IT全般統制整備911とIT全般統制運用テスト912からなる。
このような場合、IT全般統制整備911の初期段階のITシステム選択時期993で本実施の形態によるITシステムの選択が行われる。本実施の形態は、図6(B)に示したように、ランキングは1位にSys2 921、2位にSys1 922、Sys3 923を表示する。ここで、IT全般統制管理者は1位のSys2 921を選択してシステムのIT全般統制910を行うように指示する。
そして、業務統制整備901が終了した後(つまり、キーコントロールが確定した後)の期中見直し時期995に、本実施の形態による期中見直し930を行う。この時点では、図7(B)に示したように、ランキングは1位にSys2 931、Sys3 932、2位にSys1 933となっている。この時点で、IT全般統制管理者は1位のSys3 932を、IT全般統制整備911の対象として追加するようにしてもよい。
そして、業務統制整備901が終了した後(つまり、キーコントロールが確定した後)の期中見直し時期995に、本実施の形態による期中見直し930を行う。この時点では、図7(B)に示したように、ランキングは1位にSys2 931、Sys3 932、2位にSys1 933となっている。この時点で、IT全般統制管理者は1位のSys3 932を、IT全般統制整備911の対象として追加するようにしてもよい。
そして、システムのIT全般統制910のIT全般統制運用テスト終了時期996は、業務統制運用テスト902の業務統制運用テスト開始時期997よりも前であるので、業務統制運用テスト902においては、IT全般統制運用テスト912の結果を用いることができる。つまり、ITシステム選択時920での1位であるSys2 921だけを選択した場合は、図10に示すようにコントロールC3とC4の簡略化が可能である。また、期中見直し930によってSys3 932を追加した場合は、図10に示すようにコントロールC3、C4、C5、C6の簡略化が可能である。つまり、ITシステム選択時に上位2システム、つまり、Sys2とSys1の組み合わせ、又はSys2とSys3の組み合わせのいずれか一方を選択し、期中見直し930を行わなかった場合は、コントロールC1、C3、C4、又はC1、C5、C6のいずれか一方が簡略化できるだけであるが、ランキングに応じた期中見直しを行えば、それ以上の簡略化が可能となる。
図11は、ランキング画面1100の表示例を示す説明図である。優先順位表示部250が、IT全般統制管理者端末104の出力部に表示するものである。IT全般統制管理者端末104の操作者であるIT全般統制管理者は、統制の対象として順位の高いものを選択する。
ランキング画面1100は、ランキング表1110、未承認プロセスを除外チェック欄1120、更新ボタン1130、ダウンロードボタン1140を有している。そして、ランキング表1110は、順位欄1111、システム名欄1112、承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を有している。
順位欄1111とシステム名欄1112は、ITシステム順位集計部223によって集計されたポイントにしたがって対応するITシステムの優先順位を表示するものである。
ランキング画面1100は、ランキング表1110、未承認プロセスを除外チェック欄1120、更新ボタン1130、ダウンロードボタン1140を有している。そして、ランキング表1110は、順位欄1111、システム名欄1112、承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を有している。
順位欄1111とシステム名欄1112は、ITシステム順位集計部223によって集計されたポイントにしたがって対応するITシステムの優先順位を表示するものである。
承認/プロセス欄1113は、承認済みの数とそのITシステムが関与している全てのプロセスの数の比を表示するものである。
Key/Ctrl数欄1114は、そのITシステムが関与している統制におけるキーコントロールとコントロールの比を表示するものである。
IT全般統制対象欄1115は、操作者によってIT全般統制の対象とすべきものが選択される欄である。
未承認プロセスを除外チェック欄1120が操作者の操作によって選択された場合に、未承認プロセスを除外して承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を表示する。
更新ボタン1130が操作者の操作によって選択された場合に、現時点での順位を表示し直す。
ダウンロードボタン1140が操作者の操作によって選択された場合に、ランキング表1110の内容を帳票の形式(図12参照)でIT全般統制管理者端末104にダウンロードする。
承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115に表示するデータは、優先順位表示部250が業務統制情報取得部221、統制評価部222、ITシステム順位集計部223から受け取る。
Key/Ctrl数欄1114は、そのITシステムが関与している統制におけるキーコントロールとコントロールの比を表示するものである。
IT全般統制対象欄1115は、操作者によってIT全般統制の対象とすべきものが選択される欄である。
未承認プロセスを除外チェック欄1120が操作者の操作によって選択された場合に、未承認プロセスを除外して承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を表示する。
更新ボタン1130が操作者の操作によって選択された場合に、現時点での順位を表示し直す。
ダウンロードボタン1140が操作者の操作によって選択された場合に、ランキング表1110の内容を帳票の形式(図12参照)でIT全般統制管理者端末104にダウンロードする。
承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115に表示するデータは、優先順位表示部250が業務統制情報取得部221、統制評価部222、ITシステム順位集計部223から受け取る。
図12は、帳票1200の例を示す説明図である。図12は、図11に示したダウンロードボタン1140が選択された場合に、ダウンロードされる帳票1200の内容を示している。
帳票1200は、順位欄1201、システム名欄1202、承認欄1203、プロセス名欄1204、Key欄1205、コントロール1206を有している。
順位欄1201、システム名欄1202は、図11に示したランキング表1110の順位欄1111、システム名欄1112と同様である。
承認欄1203は、プロセス名欄1204に表示しているプロセス毎に承認されているか否かを表示する。
プロセス名欄1204は、そのITシステム内のプロセスを表示する。
Key欄1205は、コントロール1206に表示しているコントロール毎にそのコントロールがキーコントロールであるか否かを表示する。
コントロール1206は、コントロールの内容を表示する。
帳票1200は、順位欄1201、システム名欄1202、承認欄1203、プロセス名欄1204、Key欄1205、コントロール1206を有している。
順位欄1201、システム名欄1202は、図11に示したランキング表1110の順位欄1111、システム名欄1112と同様である。
承認欄1203は、プロセス名欄1204に表示しているプロセス毎に承認されているか否かを表示する。
プロセス名欄1204は、そのITシステム内のプロセスを表示する。
Key欄1205は、コントロール1206に表示しているコントロール毎にそのコントロールがキーコントロールであるか否かを表示する。
コントロール1206は、コントロールの内容を表示する。
図13は、設定画面1300の表示例を示す説明図である。評価条件入力部240が、IT全般統制管理者端末104の出力部に表示するものである。IT全般統制管理者端末104の操作者であるIT全般統制管理者は、統制の対象を選択するための評価条件として指標を入力する。
設定画面1300は、設定項目表1310、OKボタン1320、キャンセルボタン1330を有している。
設定項目表1310は、項目欄1311、設定値欄1312を有している。
設定画面1300は、設定項目表1310、OKボタン1320、キャンセルボタン1330を有している。
設定項目表1310は、項目欄1311、設定値欄1312を有している。
項目欄1311は、指標を表示する。設定値欄1312は、その指標に対応する設定値を表示する。
図13に示した例では、項目欄1311に表示するものは、「統制の種類(IT依存マニュアル)」、「プロセス承認前コントロール指標」、「プロセス承認前リスク指標」、「承認前キーコントロール」の4つがある。「統制の種類(IT依存マニュアル)」の他に前述したように「統制の種類(ITシステム)」(図5の統制の種類(自動)520参照)を含めてもよい。また、「プロセス承認前コントロール指標」は、設定値欄1312に図5で示した統制頻度531、統制の性質(予防・発見)532、証跡の数533を表示し、操作者によって選択される。「プロセス承認前リスク指標」は、設定値欄1312に図5で示したリスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537を表示し、操作者によって選択される。「承認前キーコントロール」は、設定値欄1312に「含む」、「含まない」を表示し、操作者によって選択される。
図13に示した例では、項目欄1311に表示するものは、「統制の種類(IT依存マニュアル)」、「プロセス承認前コントロール指標」、「プロセス承認前リスク指標」、「承認前キーコントロール」の4つがある。「統制の種類(IT依存マニュアル)」の他に前述したように「統制の種類(ITシステム)」(図5の統制の種類(自動)520参照)を含めてもよい。また、「プロセス承認前コントロール指標」は、設定値欄1312に図5で示した統制頻度531、統制の性質(予防・発見)532、証跡の数533を表示し、操作者によって選択される。「プロセス承認前リスク指標」は、設定値欄1312に図5で示したリスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537を表示し、操作者によって選択される。「承認前キーコントロール」は、設定値欄1312に「含む」、「含まない」を表示し、操作者によって選択される。
OKボタン1320が操作者によって選択されると、評価条件入力部240は設定項目表1310の状態を評価条件保存部230に記憶させる。また、キャンセルボタン1330が同様に選択されると、設定項目表1310の状態を初期化する。
なお、本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図14に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバーとなり得るコンピュータ等である。業務統制情報取得部221、統制評価部222、ITシステム順位集計部223等のプログラムを実行するCPU1401と、そのプログラムやデータを記憶するRAM1402と、本コンピュータを起動するためのプログラム等が格納されているROM1403と、補助記憶装置であるHD1404(例えばハードディスクを用いることができる)と、キーボード、マウス等のデータを入力する入力装置1406と、CRTや液晶ディスプレイ等の出力装置1405と、通信ネットワークと接続するための通信回線インタフェース1407(例えばネットワークインタフェースカードを用いることができる)、そして、それらをつないでデータのやりとりをするためのバス1408により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図14に示すハードウェア構成は、一つの構成例を示すものであり、本実施の形態は、図14に示す構成に限らず、本実施の形態において説明した構成部を実行可能な構成であればよい。例えば、一部の構成部を専用のハードウェア(例えばASIC等)で構成してもよく、一部の構成部は外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図14に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
なお、図14に示すハードウェア構成は、一つの構成例を示すものであり、本実施の形態は、図14に示す構成に限らず、本実施の形態において説明した構成部を実行可能な構成であればよい。例えば、一部の構成部を専用のハードウェア(例えばASIC等)で構成してもよく、一部の構成部は外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図14に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
前記実施の形態においては、本実施の形態の利用時期として、ITシステムの統制における初期選択時期、期中見直し時期を示したが、翌年の整備計画時期等としてもよい。また、業務統制情報取得部221が、業務統制支援システム260の業務統制進捗データ262から業務統制の進捗状況に関する情報を取得し、取得した進捗状況及び本実施の形態の実施時期に応じて、統制評価部222が指標を異ならせて評価するようにしてもよい。つまり、全般統制の進捗状況及びITシステムの統制の実施時期に応じて、統制を行うべきITシステムの優先順位を決定するようにしてもよい。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組合せ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組合せ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
101…業務統制支援サーバー
102…IT全般統制支援サーバー
103…業務統制管理者端末
104…IT全般統制管理者端末
105…業務統制文書化作業者端末
106…IT全般統制文書化作業者端末
199…LAN/WAN
210…IT全般統制支援システム
220…優先順位評価部
221…業務統制情報取得部
222…統制評価部
223…ITシステム順位集計部
230…評価条件保存部
240…評価条件入力部
250…優先順位表示部
260…業務統制支援システム
261…ITシステムデータ
262…業務統制進捗データ
263…業務統制文書データ
410…IT全般統制支援システム
411…IT基盤
412…ITシステム
420…業務統制支援システム
421…ITシステム
422…コントロール制御部
423…リスク制御部
424…リスクコントロールマトリックス制御部
102…IT全般統制支援サーバー
103…業務統制管理者端末
104…IT全般統制管理者端末
105…業務統制文書化作業者端末
106…IT全般統制文書化作業者端末
199…LAN/WAN
210…IT全般統制支援システム
220…優先順位評価部
221…業務統制情報取得部
222…統制評価部
223…ITシステム順位集計部
230…評価条件保存部
240…評価条件入力部
250…優先順位表示部
260…業務統制支援システム
261…ITシステムデータ
262…業務統制進捗データ
263…業務統制文書データ
410…IT全般統制支援システム
411…IT基盤
412…ITシステム
420…業務統制支援システム
421…ITシステム
422…コントロール制御部
423…リスク制御部
424…リスクコントロールマトリックス制御部
Claims (5)
- 統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
を具備することを特徴とする統制処理システム。 - 前記業務統制における承認が行われたか否かを判断する判断手段
をさらに具備し、
前記評価手段は、前記判断手段によって承認が行われたと判断された場合は、前記コントロール・リスク取得手段によって取得されたコントロール内のキーコントロールに基づいて、前記業務統制の承認後における指標を評価する
ことを特徴とする請求項1に記載の統制処理システム。 - 前記評価手段が評価する指標として、コントロール及びリスクに関する指標を含む
ことを特徴とする請求項1に記載の統制処理システム。 - 前記評価手段が評価するコントロールに関する指標として、統制頻度、統制の性質、証跡の数のいずれか一つ以上を含み、リスクに関する指標として、リスク評価、リスク分類、重要勘定科目、アサーションのいずれか一つ以上を含む
ことを特徴とする請求項3に記載の統制処理システム。 - コンピュータを、
統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての優先順位を決定するための集計を行う集計手段
として機能させることを特徴とする統制処理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007329809A JP5088125B2 (ja) | 2007-12-21 | 2007-12-21 | 統制処理システム及び統制処理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007329809A JP5088125B2 (ja) | 2007-12-21 | 2007-12-21 | 統制処理システム及び統制処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009151614A true JP2009151614A (ja) | 2009-07-09 |
| JP5088125B2 JP5088125B2 (ja) | 2012-12-05 |
Family
ID=40920691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007329809A Expired - Fee Related JP5088125B2 (ja) | 2007-12-21 | 2007-12-21 | 統制処理システム及び統制処理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5088125B2 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001250023A (ja) * | 1999-12-30 | 2001-09-14 | Ge Financial Assurance Holdings Inc | コンプライアンス管理システム及びその方法 |
| JP2003196435A (ja) * | 2001-12-25 | 2003-07-11 | Hitachi Information Systems Ltd | 業務フロー作成支援方法及びそのシステム |
| JP2003256633A (ja) * | 2002-03-05 | 2003-09-12 | Hitachi Ltd | 業務フローデータ検証方法、検証プログラム及び検証システム |
| JP2006110978A (ja) * | 2004-12-21 | 2006-04-27 | Dainippon Printing Co Ltd | 統合アセスメント・コントロール表 |
| JP2007183807A (ja) * | 2006-01-06 | 2007-07-19 | Hitachi Ltd | 業務プロセス評価システム |
| JP2007287132A (ja) * | 2006-04-19 | 2007-11-01 | Metarisk Inc | 情報技術危険管理システム及びその方法 |
-
2007
- 2007-12-21 JP JP2007329809A patent/JP5088125B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001250023A (ja) * | 1999-12-30 | 2001-09-14 | Ge Financial Assurance Holdings Inc | コンプライアンス管理システム及びその方法 |
| JP2003196435A (ja) * | 2001-12-25 | 2003-07-11 | Hitachi Information Systems Ltd | 業務フロー作成支援方法及びそのシステム |
| JP2003256633A (ja) * | 2002-03-05 | 2003-09-12 | Hitachi Ltd | 業務フローデータ検証方法、検証プログラム及び検証システム |
| JP2006110978A (ja) * | 2004-12-21 | 2006-04-27 | Dainippon Printing Co Ltd | 統合アセスメント・コントロール表 |
| JP2007183807A (ja) * | 2006-01-06 | 2007-07-19 | Hitachi Ltd | 業務プロセス評価システム |
| JP2007287132A (ja) * | 2006-04-19 | 2007-11-01 | Metarisk Inc | 情報技術危険管理システム及びその方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5088125B2 (ja) | 2012-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5218068B2 (ja) | 情報処理装置及び情報処理プログラム | |
| KR101560259B1 (ko) | 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 | |
| Mc Caffery et al. | Risk management capability model for the development of medical device software | |
| Maxim et al. | An introduction to modern software quality assurance | |
| JP2006235872A (ja) | プロジェクト管理装置 | |
| JP4983028B2 (ja) | 財務統制支援プログラムおよび財務統制支援システム | |
| JP5195108B2 (ja) | 情報処理装置及び情報処理プログラム | |
| JP5088125B2 (ja) | 統制処理システム及び統制処理プログラム | |
| JP2011232874A (ja) | 情報セキュリティ管理支援方法及び装置 | |
| JP5751376B1 (ja) | 情報処理装置及び情報処理プログラム | |
| JP5157309B2 (ja) | 情報処理システム及び情報処理プログラム | |
| Nichols et al. | DoD developer’s guidebook for software assurance | |
| JP2011028350A (ja) | 情報処理装置及び情報処理プログラム | |
| JP2008052347A (ja) | 文書処理装置および文書処理プログラム | |
| JP5787017B1 (ja) | 情報処理装置及び情報処理プログラム | |
| JP2010287009A (ja) | 情報処理装置及び情報処理プログラム | |
| Marchetti | Sarbanes-Oxley ongoing compliance guide: Key processes and summary checklists | |
| JP2008234503A (ja) | 情報処理システム及び情報処理プログラム | |
| JP2010113389A (ja) | 情報処理装置及び情報処理プログラム | |
| JP2009169641A (ja) | 情報処理装置及び情報処理プログラム | |
| JP5664816B1 (ja) | 情報処理装置及び情報処理プログラム | |
| JP2009042865A (ja) | 情報処理装置、情報処理プログラム及び情報処理システム | |
| JP5397111B2 (ja) | 情報処理システム | |
| JP2010044705A (ja) | 情報処理装置及び情報処理プログラム | |
| JP2008234504A (ja) | 情報処理システム及び情報処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101124 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120517 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120726 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120814 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120827 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150921 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |