JP2009259214A - 監査システム、外部監査装置、外部監査方法および外部監査プログラム - Google Patents
監査システム、外部監査装置、外部監査方法および外部監査プログラム Download PDFInfo
- Publication number
- JP2009259214A JP2009259214A JP2009015658A JP2009015658A JP2009259214A JP 2009259214 A JP2009259214 A JP 2009259214A JP 2009015658 A JP2009015658 A JP 2009015658A JP 2009015658 A JP2009015658 A JP 2009015658A JP 2009259214 A JP2009259214 A JP 2009259214A
- Authority
- JP
- Japan
- Prior art keywords
- audit
- data
- business
- input
- external
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012550 audit Methods 0.000 title claims abstract description 188
- 238000000034 method Methods 0.000 title claims abstract description 70
- 230000008569 process Effects 0.000 claims abstract description 62
- 238000004891 communication Methods 0.000 claims abstract description 61
- 238000012545 processing Methods 0.000 claims abstract description 34
- 238000012544 monitoring process Methods 0.000 claims abstract description 10
- 238000013475 authorization Methods 0.000 claims description 34
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000010365 information processing Effects 0.000 claims description 2
- 230000004044 response Effects 0.000 abstract description 7
- 230000008859 change Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 10
- 238000011161 development Methods 0.000 description 8
- 230000018109 developmental process Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000033772 system development Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
【課題】ユーザの行為が正当であるか否かを容易に判断することができる監査システムを提供する。
【解決手段】通信端末201〜20Nは、手動入力に応じた業務プロセスをハードウェア資源を用いて実行する業務処理手段と、当該業務プロセスの実行結果を外部監査装置50に宛てて送信するプロセス監視手段とを有する。外部監査装置50は、業務データを受信し、電子認証手段から認証データを取得する。ログ収集部51は、業務データおよび認証データを業務履歴情報として記録媒体に記録する。監査処理部53は、業務履歴情報に基づいて業務プロセスが監査基準情報に適合するか否かを分析して監査レポートを生成する。
【選択図】図1
【解決手段】通信端末201〜20Nは、手動入力に応じた業務プロセスをハードウェア資源を用いて実行する業務処理手段と、当該業務プロセスの実行結果を外部監査装置50に宛てて送信するプロセス監視手段とを有する。外部監査装置50は、業務データを受信し、電子認証手段から認証データを取得する。ログ収集部51は、業務データおよび認証データを業務履歴情報として記録媒体に記録する。監査処理部53は、業務履歴情報に基づいて業務プロセスが監査基準情報に適合するか否かを分析して監査レポートを生成する。
【選択図】図1
Description
本発明は、通信端末で実行された業務プロセスを通信ネットワーク経由で監査する技術に関する。
近年、企業による財務報告等の適正化が要求されている。財務報告等の信頼性向上を目的として、企業に対して内部統制の構築を義務づける法律(金融商品取引法)が2006年に成立した。この法律によれば、上場企業は、事業年度ごとに、財務に関する内部統制の体制について評価した報告書(内部統制報告書)を提出しなければならず、この報告書には、公認会計士または監査法人の監査証明を受けなければならない。内部統制報告書の作成とその監査には、多大な労力と工数が必要であるから、内部統制報告書を効率的に作成または監査するためのコンピュータ・システム(以下「監査システム」と呼ぶ。)が求められている。
このような監査システムに関する先行技術文献としては、たとえば、特許文献1(特開2001−350910号公報)や特許文献2(特開2007−280195号公報)が挙げられる。
また、企業の社員が不正を行ったと判断されると、その企業には大きな不利益が生じてしまう。
しかしながら、従来の監査システムは、効率的に監査結果を得ることができるが、被監査対象の業務プロセスが適正になされたものか否かの点で信頼性に欠ける場合がある。たとえば、ある業務プロセスに関わることが許されない者が、その業務プロセスを不正に実行したときに、従来の監査システムは、その実行結果を監査結果に正確に反映させることが難しい。このため、ユーザが不正を行っているか否かを管理できるようにすることが望まれる。
また上記したように、企業の社員が不正を行ったと判断されると、その企業には大きな不利益が生じてしまう。このため、企業は、社員が不正を行っていないことを証明できるようにするのが望ましい。
本発明は上記に鑑みてなされたものであり、ユーザの行為が正当であるか否かを容易に判断することができる監査システム、外部監査装置、外部監査方法および外部監査プログラムを提供するものである。
本発明によれば、少なくとも1つの通信端末と、
前記通信端末と通信ネットワークを介して通信接続された外部監査装置と、
を備え、
前記通信端末は、
ユーザからの入力があったときに、当該入力があったことを示す入力有データを前記外部監査装置に出力する監視手段を備え、
前記外部監査装置は、
前記通信ネットワークを介して前記通信端末から前記入力有データを受信し、当該入力有データを履歴情報として記録するログ収集手段と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準情報格納手段と、
前記履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するとともに、その分析結果を用いて監査レポートを生成し、当該生成された監査レポートを監査データベースに登録する監査処理手段と、
を含む、監査システムが提供される。
前記通信端末と通信ネットワークを介して通信接続された外部監査装置と、
を備え、
前記通信端末は、
ユーザからの入力があったときに、当該入力があったことを示す入力有データを前記外部監査装置に出力する監視手段を備え、
前記外部監査装置は、
前記通信ネットワークを介して前記通信端末から前記入力有データを受信し、当該入力有データを履歴情報として記録するログ収集手段と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準情報格納手段と、
前記履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するとともに、その分析結果を用いて監査レポートを生成し、当該生成された監査レポートを監査データベースに登録する監査処理手段と、
を含む、監査システムが提供される。
本発明によれば、ユーザが入力を行う少なくとも1つの通信端末から、当該入力があったことを示す入力有データを通信ネットワークを介して受信する外部監査装置であって、
前記通信ネットワークを介して前記通信端末から前記入力有データを受信し、当該入力有データを履歴情報として記録するログ収集手段と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準情報格納手段と、
前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するとともに、その分析結果を用いて監査レポートを生成し、当該生成された監査レポートを監査データベースに登録する監査処理手段と、
を備える外部監査装置が提供される。
前記通信ネットワークを介して前記通信端末から前記入力有データを受信し、当該入力有データを履歴情報として記録するログ収集手段と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準情報格納手段と、
前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するとともに、その分析結果を用いて監査レポートを生成し、当該生成された監査レポートを監査データベースに登録する監査処理手段と、
を備える外部監査装置が提供される。
本発明によれば、ユーザが入力を行う少なくとも1つの通信端末から、当該入力があったことを示す入力有データを通信ネットワークを介して受信する受信するステップと、
受信された前記入力有データを業務履歴情報として記録するステップと、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準データベースを参照し、前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するステップと、
その分析結果を用いて監査レポートを生成するステップと、
当該生成された監査レポートを監査データベースに登録するステップと、
を備える外部監査方法が提供される。
受信された前記入力有データを業務履歴情報として記録するステップと、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準データベースを参照し、前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するステップと、
その分析結果を用いて監査レポートを生成するステップと、
当該生成された監査レポートを監査データベースに登録するステップと、
を備える外部監査方法が提供される。
本発明によれば、ユーザが入力を行う少なくとも1つの通信端末から、当該入力があったことを示す入力有データを通信ネットワークを介して受信する受信する処理と、
受信された前記入力有データを業務履歴情報として記録する処理と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準データベースを参照し、前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析する処理と、
その分析結果を用いて監査レポートを生成する処理と、
当該生成された監査レポートを監査データベースに登録する処理と、
をコンピュータに実行させる外部監査プログラムが提供される。
受信された前記入力有データを業務履歴情報として記録する処理と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準データベースを参照し、前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析する処理と、
その分析結果を用いて監査レポートを生成する処理と、
当該生成された監査レポートを監査データベースに登録する処理と、
をコンピュータに実行させる外部監査プログラムが提供される。
本発明によれば、ユーザの行為が正当であるか否かを容易に判断することができる監査システム、外部監査装置、外部監査方法および外部監査プログラムを提供することができる。
以下、本発明に係る実施の形態について図面を参照しつつ説明する。なお、すべての図面において同一符号を付された構成要素は同一構成および同一機能を有するので、その詳細な説明は重複しないように適宜省略される。
図1は、第1の実施形態に係る監査システム1の概略構成を示す機能ブロック図である。
この監査システム1は、通信端末である業務端末201,...,20N(Nは2以上の正整数)、認証・認可サーバ群10、管理サーバ(業務支援サーバ)15、閲覧端末30および外部監査装置50を含む。業務端末201,...,20N(通信端末)、認証・認可サーバ群10、管理サーバ15および閲覧端末30はいずれも、有線または無線LAN(Local Area Network)40に接続されている。業務端末201〜20Nとサーバ群10とはLAN40を介して相互接続されている。また、LAN40は、ルータなどのノード41を介して、インターネットやイントラネットなどの広域ネットワークNWと接続されている。
一方、外部監査装置50は、ルータなどのノード42を介して広域ネットワークNWと通信接続されている。よって、外部監査装置50は、広域ネットワークNWを介して、業務端末201〜20N、サーバ群10および閲覧端末30と通信接続される。
業務端末201〜20Nの各々は、プロセッサ21、入力部24、表示部25およびLANインターフェース(I/F)26を有する。プロセッサ21は、業務処理部22とプロセス監視部23とを含む。プロセッサ21は、CPU、主メモリ、不揮発性メモリおよび入出力インターフェースなどのハードウェア資源(図示せず)により構成されている。CPUは、不揮発性メモリからアプリケーション・プログラムを読み出し、このアプリケーション・プログラムを実行することで業務処理部22およびプロセス監視部23の機能を実現する。入力部24は、キーボードやポインティングデバイスを含み、表示部25は、プロセッサ21から出力された画像を表示する機能を持つ。このような業務端末201〜20Nは、たとえば、ワークステーションやパーソナルコンピュータで構成すればよい。
ユーザは、入力部24を操作してデータや指示を手動入力することができる。業務処理部22は、その手動入力に応じた業務プロセス(たとえば、会計処理や決済処理)を主メモリなどのハードウェア資源を用いて実行する。各業務プロセスは、少なくとも1つのワークフロー(業務の流れ)を構成している。たとえば、見積もりから受注までのワークフローは、見積もりの受付、見積もりの実行、見積もりの承認、見積書作成、見積書発送および受注といった順に実行される一連の業務プロセスで構成される。この種の業務プロセスは、業務端末201〜20Nのうちの複数台が連携して実行するものである。管理サーバ15は、これら業務端末201〜20Nの業務プロセス全体を司り、かつ一元管理する機能を有する。管理サーバ15は、たとえば、業務端末201〜20Nの各々から受信した業務プロセスの実行結果の記録、業務端末201〜20Nにおける各業務プロセスの進捗状況の記録、並びに、当該進捗状況に応じて業務端末201〜20Nの各々で実行されるべき業務プロセスのスケジューリングを実行する機能を有する。
プロセス監視部23は、業務処理部22の実行結果を監視し、その実行結果を示す業務データをLANインターフェース26を介して外部監査装置50に宛てて送信する。プロセス監視部23は、外部監査装置50からの送信要求に応答して業務データを送信してもよいし、あるいは、送信要求の有無に関わりなく定期的にあるいはリアルタイムに業務データを送信してもよい。
認証・認可サーバ群10は、電子認証サーバ11、電子認可サーバ12およびLANインターフェース(I/F)13を有する。電子認証サーバ11は、各業務端末20k(kは1〜Nのいずれか)に対する電子認証を実行する。電子認証としては、たとえば、ユーザ認証(たとえば、パスワード認証や生体認証)、ネットワーク認証(特定の機器のみLAN40への接続を許可するための認証)および機器認証(機器を特定するための認証)が挙げられる。具体的には、電子認証サーバ11は、業務端末20kがLAN40に接続されると、これに応じて、電子認証用データを業務端末20kに要求する。電子認証サーバ11は、この要求に応じた業務端末20kから電子認証用データを受信すると、この電子認証用データを用いて業務端末20kに対する認証処理を実行し、問題がなければ、業務端末20kのLAN40への接続を許可する。
電子認可サーバ12は、認証を受けた業務端末20kで実行されるべき業務プロセスの範囲を許可する機能を有する。電子認可としては、SSO(シングルサインオン:一度の認証で複数の業務プロセスを許可する処理)や、業務端末20kを利用する認証ユーザの資格や所属組織に応じたアクセス権限の付与が挙げられる。
電子認証サーバ11は、業務端末20kに対する電子認証の実行結果を表す認証データをLANインターフェース13を介して外部監査装置50に宛てて送信する機能を有する。また、電子認可サーバ12は、業務端末20kに対する電子認可の実行結果を表す認可データをLANインターフェース13を介して外部監査装置50に宛てて送信する機能を有している。
図2は、認証処理と認可処理の流れの一例を説明するための図である。図2に示されるように、業務端末20kは、電子認証サーバ11から「あなたは誰ですか?」とのメッセージとともにユーザIDの送信要求を受信する。業務端末20kは、この送信要求に応じて「私のユーザIDはXXです。」との意味を表すユーザIDを電子認証サーバ11に送信する。電子認証サーバ11がそのユーザIDの存在を確認すると、業務端末20kに「XXさんですね。」とのメッセージを送信するとともに証拠(パスワード)を要求する。業務端末20kがこの要求に応じて証拠を送信すると、業務端末20kの認証確認が終了する。電子認証サーバ11は、業務端末20kにおける業務プロセス用のアプリケーション・プログラムの利用管理領域を制御する。
この後、電子認可サーバ12は、認証を受けた業務端末20kに対する電子認可を行い、問題がなければ、業務端末20kの業務処理機能もしくは情報資産(コンテンツ)へのアクセスを制限する。
外部監査装置50は、ログ収集部51、ログデータベース(ログDB)52、監査処理部53、監査基準情報格納部54、監査データベース55、閲覧サーバ56およびネットワークインターフェース(I/F)57を有する。
次に、図3のフローチャートを参照しつつ、ログ収集部51および監査処理部53の機能と動作について説明する。ログ収集部51は、ネットワークインターフェース57を介して、業務端末201〜20Nの各々から業務データを受信し、電子認証サーバ11から認証データを受信し、電子認可サーバ12から認可データを受信する。このようにログ収集部51は、業務データ、認証データおよび認可データを収集する機能を有する(図3のステップS1)。そして、ログ収集部51は、これら業務データ、認証データおよび認可データを業務履歴情報としてログデータベース52に記録する(図3のステップS1)。ログデータベース52は、ハードディスクなどの記録媒体の記録領域に構成されている。
監査基準情報格納部54には、予め規定された業務プロセスにそれぞれ対応した監査基準情報が記録されている。監査処理部53は、業務履歴情報に基づいて、各業務端末20kにより実行された業務プロセスが監査基準情報に適合するか否かを分析する(図3のステップS2)。監査処理部53は、その分析結果を用いて監査レポートを生成し(図3のステップS3)、当該生成された監査レポートを監査データベース(監査DB)55に登録する(図3のステップS4)。この監査データベース55は、ハードディスクなどの記録媒体の記録領域に構成されている。
閲覧サーバ56は、閲覧端末30からの閲覧要求に応じて、監査データベース55から監査レポートを取得し、ネットワークインターフェース57を介して閲覧端末30に監査レポートを所定のファイル形式にて送信する機能を有する。
図1に示されるように、閲覧端末30は、プロセッサ31、入力部33、表示部34およびLANインターフェース(I/F)35を有しており、プロセッサ31は閲覧処理部32を含む。このような閲覧端末30は、業務端末201〜20Nと同様に、ワークステーションやパーソナルコンピュータで構成すればよい。閲覧処理部32は、PKI(Public Key Infrastructure:公開鍵基盤)から厳密な認証を受けて証明書の発行を受けた後に、LANインターフェース35を介して、外部監査装置50の閲覧サーバ56に監査レポートの閲覧要求を発し、所望の監査レポートを閲覧サーバ56から取得することができる。
金融商品取引法に基づいた監査基準(「財務報告に係る内部統制の評価及び監査の基準」)によれば、1)プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じること、2)システムの開発又は変更に際して、当該システムの開発又は変更が既存システムと整合性を保っていることを十分に検討すると共に、開発・変更の過程等の記録を適切に保管すること、がそれぞれ定められている。監査基準情報格納部54に記録されている監査基準情報は、この監査基準に則って定められたものである。たとえば、前記1)については、監査基準情報は、業務端末201〜20Nのユーザにより入力されたIDが電子認証サーバ11により認証されているか否か、電子認可サーバ12から与えられた権限に基づいた入力操作がユーザによりなされているか否か、業務プロセスをワークフローに定められている者とは別の者が承認しているか否か、あるいは、情報へのアクセス管理が一元的に行われているか否か、を決定するための基準情報である。
図4は、管理サーバ15が申請システムとして構成された場合の処理の流れの一例を示す図である。申請システム15は認証基盤(サーバ群)10と連携して動作する。図4に示す「申請者」、「課長」、「部長」および「予算管理者」は、それぞれ、図1の業務端末201,202,203,204を利用するユーザである。申請者は、業務端末201を操作して、「ログイン」、「申請(申請書作成)」および「ログアウト」といった一連の業務プロセスを実行する。そして、業務端末201は、その業務プロセスの実行結果を業務データとして外部監査装置50に宛てて送信することとなる。「課長」、「部長」および「予算管理者」も、それぞれ業務端末202,203,204を操作して業務プロセスを実行し、業務端末202,203,204は、これら業務プロセスの実行結果を業務データとして外部監査装置50に宛てて送信する。図5は、外部監査装置50で生成された監査レポートの一例を示す図である。図5を参照すると、「1.正常処理結果」および「2.異常処理検出」の欄に、それぞれ、業務履歴情報と分析結果とが示されている。
また、前記2)に関する監査基準情報は、ワークフローがコンピュータシステムの開発業務に係るときに適用され得る。監査基準情報は、たとえば、ワークフローシステムの変更が正当権限を付与されかつ認証IDを有するシステム管理者により行われているか否か、正当権限を持たないユーザである開発メンバが管理サーバ15にログインしてワークフローシステムを変更したか否か、あるいは、業務端末201〜20Nの中で、開発環境である端末と運用環境である端末とが明確に分離されているか否か、を決定するための基準情報である。
図6は、ワークフローシステム(以下「システム」と呼ぶ。)の変更手順の一例を示す図である。図6に示されるように、「業務部門」、「IT部門」および「経理部門」に配置された業務端末201〜20N(図1)が連携してシステム変更用の一連の業務プロセスを実行する。このとき、業務端末201〜20Nは、対応する部門に属する者によって入力操作される。図6を参照すると、業務部門の業務端末20iでシステムの開発・変更に関する見積依頼がなされると(ステップS10)、IT部門の業務端末20jで開発・変更見積依頼の受付がなされ(ステップS20)、その後、システムの開発・変更に関する見積が実行される(ステップS21)。業務部門の業務端末20iでシステムの資産性に関する判断依頼がなされると(ステップS11)、その依頼に応答した経理部門の業務端末20kで当該システムの資産性に関する判断がなされる(ステップS30)。その判断結果を受けた業務部門の業務端末20iにおいて、システムの開発・変更の作業依頼がなされると(ステップS12)、その依頼に応答したIT部門の業務端末20jは、その依頼を受け付ける(ステップS22)。次いで、IT部門の業務端末20jを通じて、変更すべきシステムの開発作業が実行される(ステップS23)。
ステップS23で開発作業が終了した後は、IT部門の業務端末20jを通じて、システムの変更作業が実施される(ステップS24)。具体的には、この変更作業は、図6に示されるように、システム管理者ログイン、プログラムのモジュール置換、パラメータ変更、付帯作業およびシステム管理者ログアウトといった一連の業務プロセスを含むものである。IT部門の業務端末20jは、この変更作業の結果を業務データとして外部監査装置50に宛てて送信する。
その後、IT部門の業務端末20jを通じて、変更後のシステムの稼働状況が確認される(ステップS25)。その確認結果を受けた業務部門の業務端末20iでは、稼働状況に問題がなければ、変更作業の完了が確認され(ステップS13)、検収がなされる(ステップS14)。なお、ステップS24以外のステップS10〜S14、S20〜S23,S25およびステップS30の業務プロセスの実行結果も、業務データとして、外部監査装置50に転送されてもよい。以上のシステム変更の履歴は、図5に示した監査レポートの「システム変更履歴」の欄に反映される。
上記実施形態の監査システム1および外部監査装置50が奏する効果は以下の通りである。監査システム1において、外部監査装置50のログ収集部51は、業務端末201〜20Nの各々から受信した業務データだけでなく、これら業務端末201〜20Nに対する電子認証の実行結果および電子認可の実行結果をも業務履歴情報としてログデータベース52に記録する。また、監査処理部53は、この業務履歴情報に基づいて監査レポートを生成し、これを監査データベース55に登録することができる。したがって、不正な業務プロセスの実行結果をも監査結果に反映させて信頼性の高い監査レポートを提供することができる。このような監査レポートに基づいて高品質の内部統制報告書を効率良く作成することが可能である。
図7は、第2の実施形態に係る監査システムの構成を示す図である。この監査システムは、ノード41とLAN40の間にログ収集部60を有する点を除いて、第1の実施形態に示した監査システム1と同様の構成である。ログ収集部60は、業務端末201〜20Nの各々から業務データを受信し、記憶する。そして、ログ収集部51から業務データの要求を受信すると、ログ収集部51に記憶している業務データを送信する。すなわち本実施形態では、業務データの収集をバッチ式で行う。
本実施形態によっても、第1の実施形態と同様の効果を得ることができる。
図8は、第3の実施形態に係る監査システムの構成を示す図である。この監査システムは、入退場ゲート端末70及びデータサーバ80がLAN42に接続されている点を除いて、第2の実施形態と同様の構成である。
入退場ゲート端末70は、LAN40が構築されている施設の入退場ゲート72に設けられており、この施設に入場又は退場するユーザが入退場ゲート72を開くために操作する端末である。入退場ゲート端末70は、ユーザを識別するユーザ識別情報が入力されると、そのユーザ識別情報が正当な場合に入退場ゲート72を開く。そして入退場ゲート端末70は、入力されたユーザ識別情報を、ユーザ識別情報の入力時刻を示す時刻データ、及び入退場ゲート端末70をLAN40に接続されている他の端末から識別する端末識別情報とともに、ログ収集部60に出力する。
本実施形態において業務端末201〜20Nは、入退場ゲート72を操作して入場したユーザが操作すべきコンピュータ端末である。そして、データサーバ80は、業務端末201〜20Nが処理すべきデータを保持している。
施設に入場した後、ユーザは、データサーバ80が保持しているデータを処理したい場合、まず業務端末201〜20Nのいずれかにユーザ識別情報を入力する。業務端末201〜20Nは、入力されたユーザ識別情報を電子認証サーバ11に送信する。電子認証サーバ11によって認証されると、業務端末201〜20Nは、ユーザ識別情報を、ユーザ識別情報の入力時刻を示す時刻データ、及びその業務端末201〜20Nの端末識別情報とともに、ログ収集部60に出力する。
次いでユーザは、業務端末201〜20Nを操作して、データサーバ80にアクセスする。このとき、業務端末201〜20N又はデータサーバ80は、アクセスを試みたユーザのユーザ識別情報を、アクセスを試みた時刻及びデータサーバ80の端末識別情報とともに、ログ収集部60に出力する。
なお、データサーバ80へのアクセスに認証が必要な場合、ユーザは、業務端末201〜20Nを操作して認証に必要な情報を入力する。業務端末201〜20N又はデータサーバ80は、認証に必要な情報を入力したユーザのユーザ識別情報を、認証に必要な情報の入力時刻及びデータサーバ80の端末識別情報とともに、ログ収集部60に出力する。
そしてユーザは、データサーバ80から必要なデータを読み出す。業務端末201〜20N又はデータサーバ80は、データの読み出しが行われた場合、データの読み出しを行ったユーザのユーザ識別情報を、データの読み出し時刻及びデータサーバ80の端末識別情報とともに、ログ収集部60に出力する。
ログ収集部60は、受信したユーザ識別情報、時刻情報、及び端末識別情報を互いに対応付けて記憶し、これらの情報を、ログ収集部51に出力する。ログ収集部51は、ログ収集部60から受信したユーザ識別情報、時刻情報、及び端末識別情報を互いに対応付けてログDB52に記憶させる。
本実施形態において、外部監査装置50の監査基準情報格納部54は、監査基準情報として、複数の端末識別情報の送信順序を示す情報を記憶している。この情報は、例えば入退場ゲート端末70の端末識別情報、業務端末201〜20Nの端末識別情報、及びデータサーバ80の端末識別情報を、この順に示す情報である。これは、ユーザが正当な行動をしていれば、そのユーザのユーザ識別情報に対応付けて、入退場ゲート端末70の端末識別情報、業務端末201〜20Nの端末識別情報、及びデータサーバ80の端末識別情報の順に送信されるからである。
そして外部監査装置50の監査処理部53は、同一のユーザ識別情報に対応する複数の端末識別情報を時刻データとともに読み出し、読み出した複数の端末識別情報を時刻データ順に並べ替え、この並び順が監査基準情報に適合しているか否かを分析する。適合している場合は、そのユーザの行動が正当であることを証明できる。
このように、本実施形態によれば、ユーザ(たとえば企業の社員)の行動が正当であることを証明できる。
図9は、第4の実施形態に係る監査システムの構成を示す図である。この監査システムは、データサーバ80がノード42を介して広域ネットワークNWに接続されている点を除いて、第3の実施形態と同様の構成である。すなわち業務端末201〜20Nは、データサーバ80が保持しているデータを、ノード41、広域ネットワークNW、及びノード42を介して読み出す。
本実施形態によっても、第3の実施形態と同様の効果を得ることができる。
本実施形態によっても、第3の実施形態と同様の効果を得ることができる。
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。たとえば、第1の実施形態において、外部監査装置50の機能ブロック51,53,56は、プログラムまたはプログラムコードによって実現されるが、これに限定されるものではない。機能ブロック51,53,56の全部または一部を半導体集積回路などのハードウェアによって実現してもよい。
上記監査システム1では、電子認証サーバ11と電子認可サーバ12はLAN40に接続されているが、これに限定されるものではない。電子認証サーバ11と電子認可サーバ12の少なくとも一方がノード41を介して広域ネットワークNWに接続されていてもよい。あるいは、電子認証サーバ11および電子認可サーバ12の少なくとも一方を、閲覧端末30に組み込むこともできる。
上記第1の実施形態では、閲覧端末30は、業務端末201〜20Nとは独立した構成を有するが、これに限定されるものではない。閲覧端末30の機能(たとえば、閲覧処理部32)が、業務端末201〜20Nのいずれかに組み込まれてもよい。
更に、監査データベース55は、内部監査用や金融商品取引法などの複数の基準に応じて複数のテンプレートを有し、これらテンプレートの中からユーザにより選択されたテンプレートに適合した監査レポートを生成してもよい。
また第3及び第4の実施形態において、ログ収集部60を設けなくてもよい。この場合、ログ収集部60に一時的に記憶されていた各種情報は、ログ収集部51に直接送られる。
1 監査システム
10 認証・認可サーバ群
11 電子認証サーバ
12 電子認可サーバ
13 LANインターフェース(I/F)
15 管理サーバ
201〜20N 業務端末(通信端末)
21 プロセッサ
22 業務処理部
23 プロセス監視部
24 入力部
25 表示部
26 LANインターフェース(I/F)
30 閲覧端末
31 プロセッサ
32 閲覧処理部
35 LANインターフェース(I/F)
40 LAN
41,42 ノード
50 外部監査装置
51 ログ収集部
52 ログデータベース
53 監査処理部
54 監査基準情報格納部
55 監査データベース
56 閲覧サーバ
60 ログ収集部
70 入退場ゲート端末
72 入退場ゲート
80 データサーバ
10 認証・認可サーバ群
11 電子認証サーバ
12 電子認可サーバ
13 LANインターフェース(I/F)
15 管理サーバ
201〜20N 業務端末(通信端末)
21 プロセッサ
22 業務処理部
23 プロセス監視部
24 入力部
25 表示部
26 LANインターフェース(I/F)
30 閲覧端末
31 プロセッサ
32 閲覧処理部
35 LANインターフェース(I/F)
40 LAN
41,42 ノード
50 外部監査装置
51 ログ収集部
52 ログデータベース
53 監査処理部
54 監査基準情報格納部
55 監査データベース
56 閲覧サーバ
60 ログ収集部
70 入退場ゲート端末
72 入退場ゲート
80 データサーバ
Claims (13)
- 少なくとも1つの通信端末と、
前記通信端末と通信ネットワークを介して通信接続された外部監査装置と、
を備え、
前記通信端末は、
ユーザからの入力があったときに、当該入力があったことを示す入力有データを前記外部監査装置に出力する監視手段を備え、
前記外部監査装置は、
前記通信ネットワークを介して前記通信端末から前記入力有データを受信し、当該入力有データを履歴情報として記録するログ収集手段と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準情報格納手段と、
前記履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するとともに、その分析結果を用いて監査レポートを生成し、当該生成された監査レポートを監査データベースに登録する監査処理手段と、
を含む、監査システム。 - 前記通信端末に対する電子認証を実行し、その実行結果を示す認証データを前記外部監査装置に与える電子認証手段をさらに備え、
前記通信端末は、前記入力に応じた業務プロセスを実行する業務処理手段をさらに備え、
前記通信端末の前記監視手段は、前記入力有データとして、前記業務処理手段の実行結果を監視して当該実行結果を示す業務データを前記外部監査装置に宛てて送信し、
前記外部監査装置の前記ログ収集手段は、前記通信ネットワークを介して前記通信端末から前記業務データを受信するとともに前記電子認証手段から前記認証データを取得し、当該受信された業務データおよび当該取得された認証データを前記履歴情報として記録し、
前記監査処理手段は、前記履歴情報に基づいて、前記通信端末により実行された業務プロセスが前記監査基準情報に適合するか否かを分析するとともに、その分析結果を用いて前記監査レポートを生成する監査システム。 - 請求項2記載の監査システムであって、前記予め規定された業務プロセスは、少なくとも1つのワークフローを構成するプロセスである、監査システム。
- 請求項2または3記載の監査システムであって、前記電子認証手段は、前記通信ネットワークに接続された通信サーバに組み込まれている、監査システム。
- 請求項2から4のうちのいずれか1項に記載の監査システムであって、前記通信端末に対する電子認可を実行し、その実行結果を示す認可データを前記外部監査装置に与える電子認可手段を更に備え、
前記ログ収集手段は、前記通信ネットワークを介して前記電子認可手段から前記認可データを取得し、当該取得された認可データを前記履歴情報の一部として記録する、監査システム。 - 請求項5記載の監査システムであって、前記電子認可手段は、前記通信ネットワークに接続された通信サーバに組み込まれている、監査システム。
- 請求項1に記載の監査システムであって、
複数の前記通信端末を含み、
前記通信端末の前記監視手段は、前記入力有データとして、前記ユーザを識別するユーザ識別情報、前記入力があった時刻を示す時刻データ、及び当該通信端末を他の前記通信端末から識別する端末識別情報を、前記外部監査装置に出力し、
前記外部監査装置の前記ログ収集手段は、前記ユーザ識別情報、前記時刻データ、及び前記端末識別情報を互いに対応付けて記録し、
前記監査基準情報は、複数の前記端末識別情報の送信順序を示す情報であり、
前記監査処理手段は、同一の前記ユーザ識別情報に対応する複数の前記端末識別情報を前記時刻データとともに読み出し、読み出した前記複数の端末識別情報を前記時刻データ順に並べ替え、この並び順が前記監査基準情報に適合しているか否かを分析する監査システム。 - 請求項7に記載の監査システムにおいて、
前記通信端末の一つは施設の入場ゲートに設けられており、
前記通信端末の他の一つは、前記施設内に配置されており、前記ユーザが操作すべきコンピュータ端末である監査システム。 - ユーザが入力を行う少なくとも1つの通信端末から、当該入力があったことを示す入力有データを通信ネットワークを介して受信する外部監査装置であって、
前記通信ネットワークを介して前記通信端末から前記入力有データを受信し、当該入力有データを履歴情報として記録するログ収集手段と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準情報格納手段と、
前記履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するとともに、その分析結果を用いて監査レポートを生成し、当該生成された監査レポートを監査データベースに登録する監査処理手段と、
を備える外部監査装置。 - 請求項9記載の外部監査装置であって、前記予め規定された業務プロセスは、少なくとも1つのワークフローを構成するプロセスである、外部監査装置。
- 請求項9または10記載の外部監査装置であって、
前記ログ収集手段は、前記通信端末に対する電子認可の結果を示す認可データを取得し、当該取得された認可データを前記業務履歴情報の一部として記録する機能を有する、外部監査装置。 - ユーザが入力を行う少なくとも1つの通信端末から、当該入力があったことを示す入力有データを通信ネットワークを介して受信するステップと、
受信された前記入力有データを業務履歴情報として記録するステップと、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準データベースを参照し、前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析するステップと、
その分析結果を用いて監査レポートを生成するステップと、
当該生成された監査レポートを監査データベースに登録するステップと、
を備える外部監査方法。 - ユーザが入力を行う少なくとも1つの通信端末から、当該入力があったことを示す入力有データを通信ネットワークを介して受信する処理と、
受信された前記入力有データを業務履歴情報として記録する処理と、
予め規定された業務プロセスに対応した監査基準情報が記録されている監査基準データベースを参照し、前記業務履歴情報に基づいて、前記通信端末から送信された前記入力有データが前記監査基準情報に適合するか否かを分析する処理と、
その分析結果を用いて監査レポートを生成する処理と、
当該生成された監査レポートを監査データベースに登録する処理と、
をコンピュータに実行させる外部監査プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009015658A JP2009259214A (ja) | 2008-03-19 | 2009-01-27 | 監査システム、外部監査装置、外部監査方法および外部監査プログラム |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008071123 | 2008-03-19 | ||
| JP2009015658A JP2009259214A (ja) | 2008-03-19 | 2009-01-27 | 監査システム、外部監査装置、外部監査方法および外部監査プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009259214A true JP2009259214A (ja) | 2009-11-05 |
Family
ID=41386504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009015658A Pending JP2009259214A (ja) | 2008-03-19 | 2009-01-27 | 監査システム、外部監査装置、外部監査方法および外部監査プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009259214A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9965624B2 (en) | 2014-02-12 | 2018-05-08 | Mitsubishi Electric Corporation | Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method |
| CN111400367A (zh) * | 2020-02-28 | 2020-07-10 | 金蝶蝶金云计算有限公司 | 业务报告生成方法、装置、计算机设备和存储介质 |
| CN111428974A (zh) * | 2020-03-12 | 2020-07-17 | 泰康保险集团股份有限公司 | 审计稽核作业调度方法和装置 |
| CN113807955A (zh) * | 2021-09-29 | 2021-12-17 | 腾讯科技(深圳)有限公司 | 信息审核方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09214493A (ja) * | 1996-02-08 | 1997-08-15 | Hitachi Ltd | ネットワークシステム |
| JP2007233661A (ja) * | 2006-02-28 | 2007-09-13 | Intelligent Wave Inc | ログ統合管理システム及びログ統合管理方法 |
| JP4041846B1 (ja) * | 2007-03-30 | 2008-02-06 | クオリティ株式会社 | 管理システム,管理サーバおよび管理プログラム |
-
2009
- 2009-01-27 JP JP2009015658A patent/JP2009259214A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09214493A (ja) * | 1996-02-08 | 1997-08-15 | Hitachi Ltd | ネットワークシステム |
| JP2007233661A (ja) * | 2006-02-28 | 2007-09-13 | Intelligent Wave Inc | ログ統合管理システム及びログ統合管理方法 |
| JP4041846B1 (ja) * | 2007-03-30 | 2008-02-06 | クオリティ株式会社 | 管理システム,管理サーバおよび管理プログラム |
Non-Patent Citations (6)
| Title |
|---|
| CSND200700265002; '個人・企業情報保護対策技術の動向と最新ソリューション' BUSINESS COMMUNICATION 第43巻 第11号, 20061101, p.20-23, 株式会社ビジネスコミュニケーション社 * |
| CSNG200701375015; 表 雄仁: 'コンパイラとOSの連携による強制アクセス制御向けプロセス監視手法' コンピュータセキュリティシンポジウム2007 論文集 , 20071031, p.109-114, 社団法人情報処理学会 * |
| CSNG200800756005; 角田 裕: 'ログの重要度に基づいた適応型送信制御による効率的なログ転送方式の提案' 電子情報通信学会技術研究報告 Vol.107 No.530, 20080228, p.27-32, 社団法人電子情報通信学会 The Institute of Electro * |
| JPN6013006849; 角田 裕: 'ログの重要度に基づいた適応型送信制御による効率的なログ転送方式の提案' 電子情報通信学会技術研究報告 Vol.107 No.530, 20080228, p.27-32, 社団法人電子情報通信学会 The Institute of Electro * |
| JPN6013006850; '個人・企業情報保護対策技術の動向と最新ソリューション' BUSINESS COMMUNICATION 第43巻 第11号, 20061101, p.20-23, 株式会社ビジネスコミュニケーション社 * |
| JPN6013028303; 表 雄仁: 'コンパイラとOSの連携による強制アクセス制御向けプロセス監視手法' コンピュータセキュリティシンポジウム2007 論文集 , 20071031, p.109-114, 社団法人情報処理学会 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9965624B2 (en) | 2014-02-12 | 2018-05-08 | Mitsubishi Electric Corporation | Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method |
| CN111400367A (zh) * | 2020-02-28 | 2020-07-10 | 金蝶蝶金云计算有限公司 | 业务报告生成方法、装置、计算机设备和存储介质 |
| CN111400367B (zh) * | 2020-02-28 | 2023-12-29 | 金蝶蝶金云计算有限公司 | 业务报告生成方法、装置、计算机设备和存储介质 |
| CN111428974A (zh) * | 2020-03-12 | 2020-07-17 | 泰康保险集团股份有限公司 | 审计稽核作业调度方法和装置 |
| CN113807955A (zh) * | 2021-09-29 | 2021-12-17 | 腾讯科技(深圳)有限公司 | 信息审核方法及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Schlatt et al. | Designing a framework for digital KYC processes built on blockchain-based self-sovereign identity | |
| US11436613B2 (en) | Computer-guided corporate governance with document generation and execution | |
| US7734925B2 (en) | System and method for the electronic management and execution of transaction documents | |
| US7823206B2 (en) | Method and apparatus for establishing a security policy, and method and apparatus of supporting establishment of security policy | |
| US20100198863A1 (en) | Career authentication system, career authentication method using the same, and recording medium having program stored therein to execute career authentication method | |
| Cascarino | Auditor's Guide to IT Auditing,+ Software Demo | |
| JP5144340B2 (ja) | 契約内容設定システム及び契約内容設定方法 | |
| KR102095944B1 (ko) | 봉사 인증 시스템 및 이를 이용한 봉사 인증 방법 | |
| US20120109834A1 (en) | Automated business and individual risk management and validation process | |
| KR20230064354A (ko) | 블록체인 기반의 인증 심사 데이터 공유 및 무결성 검증 시스템, 장치 및 방법 | |
| CN102132286A (zh) | 使用身份上下文信息,对文档进行数字签名 | |
| JP2009259214A (ja) | 監査システム、外部監査装置、外部監査方法および外部監査プログラム | |
| JP2008210043A (ja) | サーバ装置及び変換ルール作成プログラム | |
| JP2008199618A (ja) | パーソナル通信機器を用い追加情報を得る方法、システム、及びコンピューター・プログラム | |
| Money | Resolving pressure and stress on governance models from robotic process automation technologies | |
| Agbesi et al. | What will make me trust or not trust will depend upon how secure the technology is: factors influencing trust perceptions of the use of election technologies | |
| JP2023016344A (ja) | ワークフロー管理システム | |
| Harville | Exploring the Print Service Strategies Needed to Secure an Organization's Printer Network | |
| Mutebi et al. | Online Voting System with Reliable Voter Authentication Protocols | |
| JP7509792B2 (ja) | インタラクティブ電子従業員フィードバックシステム及び方法に関する改善 | |
| EP3972216A1 (en) | Information system for the integration of digital certificates and method for operating said information system | |
| Yee et al. | Privacy and trust in e-government | |
| Magonga | A Secure end to end verifiable e-voting system using cryptography: a case of Independent Electoral and Boundaries Commission of Kenya | |
| Morello | Towards standardization of audit procedures for the new version of ISO/IEC 27002 | |
| Vlachos et al. | ASPIDA: An observatory for security and privacy in the Greek e-business sector |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130422 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130611 |