JP2010231600A - 事務品質管理装置および事務品質管理処理プログラム - Google Patents

事務品質管理装置および事務品質管理処理プログラム Download PDF

Info

Publication number
JP2010231600A
JP2010231600A JP2009079698A JP2009079698A JP2010231600A JP 2010231600 A JP2010231600 A JP 2010231600A JP 2009079698 A JP2009079698 A JP 2009079698A JP 2009079698 A JP2009079698 A JP 2009079698A JP 2010231600 A JP2010231600 A JP 2010231600A
Authority
JP
Japan
Prior art keywords
information
loss
evaluation
control
classification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009079698A
Other languages
English (en)
Other versions
JP4970484B2 (ja
Inventor
Masakazu Kurihara
正和 栗原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2009079698A priority Critical patent/JP4970484B2/ja
Publication of JP2010231600A publication Critical patent/JP2010231600A/ja
Application granted granted Critical
Publication of JP4970484B2 publication Critical patent/JP4970484B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】リスク管理自己評価情報における評価項目に関する評価作業にかかる効率を向上させる。
【解決手段】事務処理のための資産に関わる区分情報、当該区分の資産に関する予め想定した損失(リスク)、当該損失の評価、当該損失が発生することを回避するための施策(コントロール)、および当該施策の有効性の有無を示す情報を関連付けた管理情報を記憶装置4に記憶しておく。この管理情報で示される資産の区分のうち、損失の評価対象となる資産の区分および施策の有効性の評価対象となる資産に関わる区分情報を入力すると、この区分に関わる損失や施策の一覧を抽出し、出力装置3に表示させ、これら損失や施策の評価値の入力を受け付ける。
【選択図】 図1

Description

本発明は、金融機関等の組織における事務処理の品質を管理する事務品質管理装置および事務品質管理処理プログラムに関する。
近年、金融機関において、信用リスク・市場リスクに加え、オペレーショナルリスクを独立してとらえ、リスクの定量化をもとに所要自己資本比率を割り当てることが画策されている。その際、オペレーショナルリスクに関するマネジメントシステムが適格用件のひとつとなっている。
これにしたがい、各金融機関ではオペレーショナル・リスク・マネジメントシステムの構築が進められている。
また、銀行業界においては、バーゼルII規制によりオペレーショナル・リスク管理の高度化が要求され、これに伴う金融検査マニュアルへの対応や金融商取引法(J-SOX)による内部統制関係業務の負荷が増大しており、制度対応にとどまらない実効的な内部統制管理が必要とされている。
金融機関では、オペレーショナル・リスク・マネジメントシステムを用いて、事務処理において過去に発生した損失の事例情報を管理して、当該損失の再発を防ぐための情報を管理するが、この管理とは別に、例えば特許文献1に開示されるように、予め想定した規模の損失の発生を回避するための情報であるリスク管理自己評価(Risk Control Self Assessment:RCSA)情報の管理を行っている。
特開2008−287604号公報
従来のリスク管理自己評価情報では、評価対象の資産に対し、どのようなリスクとコントロールがあるかを現在の事務規程から総当りで定義しており、評価の入力や評価項目の見直しを行なうためには、事務規定を参照しながら目的のリスクやコントロールを探し出す必要があり、事務規定の項目が多くなるほど評価の入力や評価項目の見直しにかかる効率が低下していた。
そこで、本発明の目的は、リスク管理自己評価情報における評価項目に関する評価作業にかかる効率を向上させることが可能になる事務品質管理装置および事務品質管理処理プログラムを提供することにある。
すなわち、本発明に係わる事務品質管理装置は、事務処理のための資産に関わる区分情報、当該区分の資産に関する予め想定した損失を特定するための損失情報、および当該損失が発生することを回避するための施策を特定するための施策情報を関連付けた管理情報を記憶する管理情報記憶手段と、前記管理情報で示される区分情報のうち、前記損失の評価対象または当該損失を回避するための施策の有効性の評価対象の資産に関わる区分情報を入力する区分情報入力手段と、前記管理情報のうち、前記区分情報入力手段により入力した区分情報と関連付けられる前記損失情報および前記区分情報入力手段により入力した区分情報と関連付けられる前記施策情報を抽出する抽出手段と、前記抽出手段により抽出した損失情報で特定される損失の規模を入力する損失規模入力手段と、前記抽出手段により抽出した施策情報で特定される施策のうち有効性がある施策を示す情報を入力する施策有効性入力手段と、前記損失規模入力手段により入力した情報を当該情報に関わる損失情報とともに出力し、前記施策有効性入力手段により入力した情報を当該情報に関わる施策情報とともに出力する出力手段とを備えたことを特徴とする。
本発明によれば、リスク管理自己評価情報における評価項目に関する評価作業にかかる効率を向上させることができる。
本発明の実施形態における事務品質管理装置の構成例を示すブロック図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるリスク分類テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価第1テーブル(その1)の構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価第1テーブル(その2)の構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価第2テーブル(その1)の構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価第2テーブル(その2)の構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶される潜在リスク分類テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるリスク発生分類テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失シナリオ−損失事象種類関連テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロールグループ−損失シナリオ関連テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失シナリオ−潜在リスク分類関連テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるサブコントロール内容テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価大分類テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価小分類テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失事象テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるメインコントロール文書テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失シナリオテーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロールグループパターンテーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置の処理動作の一例を示すフローチャート。 本発明の実施形態における事務品質管理装置による評価対象入力処理の一例を示すフローチャート。 本発明の実施形態における事務品質管理装置による評価対象種別選択画面の一例を示す図。 本発明の実施形態における事務品質管理装置による評価対象システム・形態登録画面の一例を示す図。 本発明の実施形態における事務品質管理装置による評価対象管理組織・分類登録画面の一例を示す図。 本発明の実施形態における事務品質管理装置によるリスク・コントロール抽出処理の一例を示すフローチャート。 本発明の実施形態における事務品質管理装置によるパターンID生成の手順を説明するための図。 本発明の実施形態における事務品質管理装置によるリスク一覧取得の手順を説明するための図。 本発明の実施形態における事務品質管理装置によるコントロール一覧取得の手順を説明するための図。 本発明の実施形態における事務品質管理装置による評価対象リスク管理テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置による評価対象コントロール管理テーブルの構成例を表形式で示す図。 本発明の実施形態における事務品質管理装置による評価入力処理の一例を示すフローチャート。 本発明の実施形態における事務品質管理装置による評価入力種別選択画面の一例を示す図。 本発明の実施形態における事務品質管理装置によるリスク評価入力画面の表示例を示す図。 本発明の実施形態における事務品質管理装置によるコントロール評価入力画面の表示例を示す図。 本発明の実施形態における事務品質管理装置によるリスク管理自己評価データベース帳票の表示例を示す図。
以下、図面により本発明の実施形態について説明する。
図1は、本発明の実施形態における事務品質管理装置の構成例を示すブロック図である。
図1に示すように、本発明の実施形態における事務品質管理装置は、装置全体の処理動作を司る制御部1、入力装置2、出力装置3、記憶装置4、パターンID生成部5、評価対象区分情報処理部6、評価対象リスク一覧抽出部7、評価対象リスク一覧出力制御部8、評価対象コントロール一覧抽出部9、評価対象コントロール一覧出力制御部10、画面出力制御部11、演算処理部12を備え、それぞれがバス13を介して相互に接続される。
記憶装置4は、ハードディスクドライブや不揮発性メモリなどの記憶媒体であり、制御部1、パターンID生成部5、評価対象区分情報処理部6、評価対象リスク一覧抽出部7、評価対象リスク一覧出力制御部8、評価対象コントロール一覧抽出部9、評価対象コントロール一覧出力制御部10、画面出力制御部11、演算処理部12による実行対象の制御用プログラムを記憶する他、リスク管理情報記憶部41、評価対象情報記憶部42、評価対象リスク一覧記憶部43および評価対象コントロール一覧記憶部44を有する。
リスク管理情報記憶部41は、事務処理のための資産に関わる区分情報、当該区分の資産に関する予め想定した損失(リスク)を特定するための損失情報、当該損失の評価値、当該損失が発生することを回避するための施策(コントロール)を特定するための施策情報、および当該施策の評価値を示す情報を関連付けた管理情報を記憶する管理情報記憶手段である。
事務処理のための資産の区分とは、リスク管理情報記憶部41に記憶される管理情報における当該資産に関わる機器の形態を示す情報、もしくはリスク管理情報記憶部41に管理情報における、資産の所管組織の分類を示す情報である。
損失の評価値とは、想定される損失額の最大値であり、施策の評価とは当該施策の有効性の有無の評価結果である。
評価対象情報記憶部42は、管理情報で示される区分情報のうち、損失や施策の評価対象として指定された区分情報を記憶する。
評価対象リスク一覧記憶部43は、管理情報で示される損失のうち、前述したように指定された評価対象となる資産の区分に関わる損失および当該損失の評価値の一覧を記憶する。
評価対象コントロール一覧記憶部44は、管理情報で示される施策のうち、前述したように指定された評価対象となる資産の区分に関わる損失が発生することを回避するための施策および当該施策の評価値の一覧を記憶する。
入力装置2は、例えばキーボードやマウスであり、出力装置3は例えばディスプレイ装置やプリンタ装置である。以後、出力装置3はディスプレイ装置であるとして説明を行なう。入力装置2は、管理情報で示される区分情報のうち、損失の評価対象または当該損失を回避するための施策の有効性の評価対象の資産に関わる区分情報を入力する区分情報入力手段である。
パターンID生成部5は、前述したように指定された評価対象の区分を示す情報をもとにしたパターンIDを生成する。
評価対象区分情報処理部6は、パターンID生成部5により生成したパターンIDを評価対象情報記憶部42に記憶する。
評価対象リスク一覧抽出部7は、パターンIDおよびリスク管理情報記憶部41に記憶された管理情報をもとに、前述したように指定された評価対象の区分に対応するリスクの一覧を抽出する。
評価対象リスク一覧出力制御部8は、評価対象リスク一覧抽出部7により抽出したリスクの一覧を出力装置3に出力する。
評価対象コントロール一覧抽出部9は、パターンIDおよびリスク管理情報記憶部41に記憶された管理情報をもとに、前述したように指定された評価対象の区分に対応するコントロールの一覧を抽出する。
評価対象コントロール一覧出力制御部10は、評価対象コントロール一覧抽出部9により抽出したコントロールの一覧を出力装置3に出力する。
入力装置2は、抽出された損失情報で特定される損失の規模を入力する損失規模入力手段であり、抽出した施策情報で特定される施策のうち有効性がある施策を示す情報を入力する施策有効性入力手段でもある。
図2は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるリスク分類テーブルの構成例を表形式で示す図である。
このリスク分類テーブルは、記憶装置4のリスク管理情報記憶部41に記憶され、リスク分類テーブル上のリスク発生分類、潜在リスク分類、損失シナリオ、想定損失規模(最大)、損失事象マッピング情報が関連付けられる。前述した、損失を特定するための損失情報とは、リスク発生分類、潜在リスク分類、損失シナリオ、想定損失規模(最大)および損失事象マッピング情報である。
図2に示すように、リスク分類テーブル上のリスク発生分類は、「災害、施設破壊(テロ等)」、「不正アクセス・なりすまし」、「ハードウェア障害」、「ソフトウェア障害」、「ネットワーク障害」、「コンピュータウイルス」、「外部委託先の問題」、「開発工程上の問題」、「運用上の事故、過誤」、「インターネット業務取引の不正」、「ハードウェア/ソフトウェア障害」に区分される。
リスク分類テーブル上の潜在リスク分類の情報は、リスク分類テーブル上のリスク発生分類に対し複数種類の潜在リスク分類のいずれが該当するかを示す情報であり、図2に示すように、「情報漏洩/改ざん」、「システム停止/復旧遅延」および「リリース遅延」に区分される。
また、リスク分類テーブル上の損失事象マッピング情報は、リスク分類テーブル上の損失シナリオに対し、複数種類の損失事象のいずれが該当するかを示す情報である。図2に示すように、損失事象は、「内部の不正」、「外部からの不正」、「顧客、商品および取引慣行」、「有形資産に対する損傷」、「事業活動の中断およびシステム障害」、「注文等の執行、送達プロセスの管理」に区分される。
図3および図4は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価第1テーブルの構成例を表形式で示す図である。ここでは、コントロール評価第1テーブルは図3に示したテーブルと図4に示したテーブルとに分かれているが、これらをあわせた単一のテーブルとしてもよい。
コントロール評価第1テーブルは、資産であるシステムのシステムリスクに関するコントロールについて記述したテーブルであり、図3および図4に示すように、「損失シナリオ」、「コントロール評価」、「システム重要度」、「情報重要度」、「形態」、「ネットワーク」、「会社区分」、「拠点区分」が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
コントロール評価第1テーブル上のコントロール評価は、図3に示すように「大分類」、「小分類」、「規定へのREF(関連会社除く)」、「コントロールグループID」、「メインコントロール」、「メインコントロール評価」、「サブコントロール」、「サブコントロール評価」に区分される。規定へのREF(関連会社除く)は、事務規定の参照情報である。
コントロール評価第1テーブル上のコントロールグループIDは、メインコントロールごとに一意に付与される識別情報である。また、サブコントロールとは、メインコントロールが有効でない、つまり現時点で実施されていない、もしくは実施の予定が無い場合に用いる施策である。
前述した、施策を特定するための施策情報とは、コントロール評価第1テーブル上のコントロール評価の「大分類」、「小分類」、「規定へのREF(関連会社除く)」、「コントロールグループID」、「メインコントロール」、「メインコントロール評価」、「サブコントロール」、「サブコントロール評価」である。
コントロール評価第1テーブル上のコントロール評価の大分類、小分類、規定へのREF(関連会社除く)は、当該テーブル上のコントロールグループIDごとに定められる。
コントロール評価第1テーブル上の「損失シナリオ」は、当該テーブル上のサブコントロールごとに定められる。
コントロール評価第1テーブル上の「システム重要度」は、当該テーブル上で関連付けられるメインコントロールが関わるシステムの重要度を示し、図3に示すように「最重要」、「重要」、「一般」に区分される。
コントロール評価第1テーブル上の「情報重要度」は、当該テーブル上で関連付けられるメインコントロールが関わる情報の重要度を示し、図3に示すように「最重要」、「重要」、「一般」に区分される。
コントロール評価第1テーブル上の「形態」は、当該テーブル上で関連付けられるコントロールIDに対応するメインコントロールに関わる機器の種別を示し、図4に示すように「サーバー」、「クライアント」、「単体PC」に区分される。また、それぞれの種別の項目には識別番号が対応付けられる。各区分のうち「サーバー」の識別番号は「1」で、「クライアント」の識別番号は「2」で、「単体PC」の識別番号は「3」である。
コントロール評価第1テーブル上の「ネットワーク」は、当該テーブル上で関連付けられるコントロールIDに対応するメインコントロールに関わるネットワークの種別を示し、図4に示すように「接続無」、「行内」、「外部接続(遠隔操作除く)」、「外部からの遠隔操作」、「インターネット接続」、「インバン業務」に区分される。各区分のうち「接続無」の識別番号は「4」で、「行内」の識別番号は「5」で、「外部接続(遠隔操作除く)」の識別番号は「6」で、「外部からの遠隔操作」の識別番号は「7」で、「インターネット接続」の識別番号は「8」で、「インバン業務」の識別番号は「9」である。
コントロール評価第1テーブル上の「会社区分」は、当該テーブル上で関連付けられるコントロールIDに対応するメインコントロールに関わるシステムを運用する会社の種別を示し、図4に示すように「銀行本体」、「関連会社」に区分される。各区分のうち「銀行本体」の識別番号は「10」で、「関連会社」の識別番号は「11」である。
また、コントロール評価第1テーブル上の「拠点区分」は、当該テーブル上で関連付けられるコントロールIDに対応するメインコントロールに関わるシステムの運用拠点の種別を示し、図4に示すように「事務センター」、「本店」、「営業店」、「海外店」、「関連会社」、「外部センター」、「データセンター」に区分される。各区分のうち「事務センター」の識別番号は「12」で、「本店」の識別番号は「13」で、「営業店」の識別番号は「14」で、「海外店」の識別番号は「15」で、「関連会社」の識別番号は「16」で、「外部センター」の識別番号は「17」で、「データセンター」の識別番号は「18」である。
コントロール評価第1テーブル上のメインコントロールは、当該メインコントロールに関連付けられる、「システム重要度」、「情報重要度」、「形態」、「ネットワーク」、「会社区分」、「拠点区分」に格納される条件を満たす場合に評価すべきメインコントロールを意味する。
具体的には、コントロール評価第1テーブル上のメインコントロールに関連付けられる、図4に示した「システム重要度」および「情報重要度」の「最重要」、「重要」、「一般」の欄に「○」が格納されている場合、この欄の重要度はテーブル上で関連付けられるメインコントロールが関わる重要度であることを意味する。
また、コントロール評価第1テーブル上のメインコントロールに関連付けられる、図4に示した「形態」、「ネットワーク」、「会社区分」、「拠点区分」において区分される欄の一部には当該区分に対応する識別番号が格納されている場合、この識別番号に対応する区分は、テーブル上で関連付けられるメインコントロールが関わる区分であることを意味する。
図4に示した例では、コントロールグループID「30001」に関連付けられるシステム重要度の「最重要」および「重要」の欄に「○」が格納され、同じく関連付けられる情報重要度の「最重要」および「重要」の欄に「○」が格納され、同じく関連付けられる「形態」の「サーバー」の欄に当該サーバーの識別番号である「1」が格納されている。これは、評価対象のシステムのシステム重要度が「最重要」および「重要」のいずれかである場合で、かつ、情報重要度が「最重要」および「重要」のいずれかである場合で、かつ、評価対象のシステムの機器がサーバーを含む場合に評価すべきメインコントロールは、コントロールグループID「30001」に対応するメインコントロール「サーバーの物理アクセス制限として、…」を含むことを意味する。
図5および図6は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価第2テーブルの構成例を表形式で示す図である。ここでは、コントロール評価第2テーブルは図5に示したテーブルと図6に示したテーブルとに分かれているが、これらをあわせた単一のテーブルとしてもよい。
コントロール評価第2テーブルは、資産であるシステムの管理組織に関するコントロールについて記述したテーブルであり、「損失シナリオ」、「コントロール評価」、「所管」、「拠点」が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
コントロール評価第2テーブル上のコントロール評価は、コントロール評価第1テーブルと同様に、図5に示すように「大分類」、「小分類」、「規定へのREF(関連会社除く)」、「コントロールグループID」、「メインコントロール」、「メインコントロール評価」、「サブコントロール」、「サブコントロール評価」に区分される。
コントロール評価第2テーブル上の「所管」は、図6に示すように「システム部」、「総務部」、「本部」、「関連会社」に区分される。各区分のうち「システム部」の識別番号は「1」で、「総務部」の識別番号は「2」で、「本部」の識別番号は「3」で、「関連会社」の識別番号は「4」である。
コントロール評価第2テーブル上の「拠点」は、図6に示すように「事務センター」、「本店」、「営業店」、「海外店」、「関連会社」、「外部センター」、「データセンター」に区分される。各区分のうち「事務センター」の識別番号は「5」で、「本店」の識別番号は「6」で、「営業店」の識別番号は「7」で、「海外店」の識別番号は「8」で、「関連会社」の識別番号は「9」で、「外部センター」の識別番号は「10」で、「データセンター」の識別番号は「11」である。
コントロール評価第2テーブル上のメインコントロールは、当該メインコントロールに関連付けられる、「所管」、「組織」、に格納される条件を満たす場合に評価すべきメインコントロールを意味する。
具体的には、コントロール評価第2テーブル上のメインコントロールに関連付けられる、図6に示した「所管」、「組織」において区分される欄の一部には当該区分に対応する識別番号が格納されている場合、この識別番号に対応する区分は、テーブル上で関連付けられるメインコントロールが関わる区分であることを意味する。
図6に示した例では、コントロールグループID「30060」に関連付けられる「所管」の「総務部」の欄に当該総務部の識別番号である「2」が格納されている。これは、評価対象のシステムの管理組織が総務部を含む場合に評価すべきメインコントロールは、コントロールグループID「30060」に対応するメインコントロール「外部者が本店ビル内に立ち入る場合、…」を含むことを意味する。
前述したリスク分類テーブル、コントロール評価第1テーブル、コントロール評価第2テーブルは、以下に述べる各種テーブルに格納される情報を組み合わせて生成されるテーブルである。以下、リスク分類テーブル、コントロール評価第1テーブル、コントロール評価第2テーブルの生成のための各種テーブルの構成について説明する。
図7は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶される潜在リスク分類テーブルの構成例を表形式で示す図である。
この潜在リスク分類テーブルは、図2に示したリスク分類テーブル上の潜在リスク分類に関わる情報を格納するテーブルであり、潜在リスク分類ID、潜在リスク分類の内容、出力装置3への表示順、リスクの種類ID、無効フラグ、作成者ID、最終更新者IDおよび更新日時が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
潜在リスク分類IDは潜在リスク分類の内容について一意に付与される識別情報である。本実施形態では、潜在リスク分類の内容は図2や図7に示すように3種類であるので、潜在リスク分類IDは「30001」〜「30003」の3種類である。リスクの種類IDはリスクの種類の識別情報である。本実施形態では、リスクの種類IDはシステムリスクを示す「3」としている。
無効フラグは、テーブル上で対応付けられる各種項目が入力装置2への所定の操作により削除された場合に「1」となるフラグである。作成者IDはテーブル上で対応付けられる各種項目の作成者のIDであり、最終更新者IDはテーブル上で対応付けられる各種項目の最終更新者のIDである。
図8は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるリスク発生分類テーブルの構成例を表形式で示す図である。
この潜在リスク分類テーブルは、図2に示したリスク分類テーブル上のリスク発生分類に関わる情報を格納するためのテーブルであり、リスク発生分類ID、リスク発生分類の内容、表示順、リスクの種類ID、無効フラグ、作成者ID、最終更新者IDおよび更新日時が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
リスク発生分類IDはリスク発生分類の内容について一意に付与される識別情報である。本実施形態ではリスク発生分類の内容は図2や図8に示すように11種類であるので、リスク発生分類IDは「30001」〜「300011」の11種類である。
図9は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失シナリオ−損失事象種類関連テーブルの構成例を表形式で示す図である。
この損失シナリオ−損失事象種類関連テーブルは、図2に示したリスク分類テーブル、コントロール評価第1テーブルもしくはコントロール評価第2テーブル上の損失シナリオと損失事象との種類の紐付け情報を格納するためのテーブルであり、損失シナリオID、損失事象種類ID、無効フラグ、最終更新者IDおよび更新日時が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
損失シナリオIDは損失シナリオの内容について一意に付与される識別情報であり、損失事象種類IDは、損失事象種類の内容について一意に付与される識別情報である。本実施形態では損失事象の内容は図2に示すように6種類であるので、損失事象種類IDは「1」〜「6」の6種類である。
図10は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロールグループ−損失シナリオ関連テーブルの構成例を表形式で示す図である。
このコントロールグループ−損失シナリオ関連テーブルは、コントロールグループIDと損失シナリオとの紐付け情報を格納するためのテーブルであり、コントロールグループID、損失シナリオID、無効フラグ、最終更新者IDおよび更新日時が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
図11は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失シナリオ−潜在リスク分類関連テーブルの構成例を表形式で示す図である。
この損失シナリオ−潜在リスク分類関連テーブルは、図2に示した損失シナリオと潜在リスク分類との紐付け情報を格納するためのテーブルであり、潜在リスク分類ID、損失シナリオID、無効フラグ、最終更新者IDおよび更新日時が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
図12は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるサブコントロール内容テーブルの構成例を表形式で示す図である。
このコントロール内容テーブルは、コントロール評価第1テーブル、コントロール評価第2テーブル上のサブコントロールの内容であるコントロール内容を格納するためのテーブルであり、コントロール種類ID、評価値、コントロール内容、コントロールグループID、チェックフラグ、表示順、無効フラグ、作成者ID、最終更新者IDおよび更新日時がさらに関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
コントロール種類IDは、サブコントロールの内容に一意に付与される識別情報である。コントロール内容テーブル上の評価値は、テーブル上で関連付けられるサブコントロールの内容における、同一のメインコントロールに関わる別のサブコントロールとの間の重み付けを示す値であり、同一のメインコントロールに対応する各サブコントロールの評価値の和は1である。
コントロール内容テーブル上のチェックフラグは、後述するサブコントロール評価入力画面で、当該サブコントロールの内容が有効である、つまり現時点で実施されている、もしくは実施の予定があると管理者が判断して、当該入力画面上の当該サブコントロールに対応するチェックボックスが選択された場合に「1」となるフラグである。
図13は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価大分類テーブルの構成例を表形式で示す図である。
このコントロール評価大分類テーブルは、コントロール評価第1テーブル、コントロール評価第2テーブル上のコントロール評価の大分類の内容を格納するためのテーブルであり、親の種別ID、親の管理ID、種別ID、管理ID、コントロール評価の大分類を示す値、表示順、無効フラグ、作成者ID、最終更新者IDおよび更新日時が対応付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
親の種別IDは、階層構造として親の種別が存在する場合に設定される種別IDであり、親の種別が存在しない場合には親の種別IDは「0」となる。親の管理IDは、階層構造として管理IDと紐付く親の管理IDである。親の種別が存在しない場合には親の管理IDは「0」となる。
本実施形態では、コントロール評価大分類テーブルの種別IDは当該テーブルに固有の「47」である。当該テーブル上の管理IDは、当該テーブル上のコントロール評価の大分類を示す各行の値に一意に付与される識別番号である。
図14は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロール評価小分類テーブルの構成例を表形式で示す図である。
このコントロール評価小分類テーブルは、コントロール評価第1テーブル、コントロール評価第2テーブル上のコントロール評価の小分類の内容を格納するためのテーブルであり、親の種別ID、親の管理ID、種別ID、管理ID、コントロール評価の小分類を示す値、表示順、無効フラグ、作成者ID、最終更新者IDおよび更新日時が対応付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
本実施形態では、コントロール評価小分類テーブルの親の種別IDは、コントロール評価大分類テーブルの種別IDである「47」である。コントロール評価小分類テーブルの種別IDは当該テーブルに固有の「48」である。当該テーブル上の管理IDは、当該テーブル上のコントロール評価の小分類を示す値に一意に付与される識別番号である。
図15は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失事象テーブルの構成例を表形式で示す図である。
この損失事象テーブルは、図2に示したリスク分類テーブル上の損失事象の内容を格納するためのテーブルであり、親の種別ID、親の管理ID、種別ID、管理ID、損失事情の内容を示す値、表示順、無効フラグ、作成者ID、最終更新者IDおよび更新日時が対応付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
本実施形態では、損失事象テーブルの種別IDは当該テーブルに固有の「51」である。当該テーブル上の管理IDは、当該テーブル上の損失事象の内容に一意に付与される識別番号である。
図16は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるメインコントロール文書テーブルの構成例を表形式で示す図である。
このメインコントロール文書テーブルは、コントロール評価第1テーブル、コントロール評価第2テーブル上のメインコントロールの内容であるコントロール文書およびコントロールグループIDを格納するためのテーブルであり、親のコントロールグループID、親のコントロール種類ID、コントロールグループID、コントロール文書、リスクの種類ID、無効フラグが関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
また、図示は省略するが、このコントロール文書テーブルでは、作成者ID、最終更新者IDおよび更新日時がさらに関連付けられる。
図17は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶される損失シナリオテーブルの構成例を表形式で示す図である。
この損失シナリオテーブルは、図2に示したリスク分類テーブル上の損失シナリオの情報を格納するためのテーブルであり、損失シナリオID、損失シナリオ、リスク発生分類ID、リスクの種類ID、無効フラグ、作成者ID、最終更新者IDおよび更新日時が関連付けられて、記憶装置4のリスク管理情報記憶部41に記憶される。
図18は、本発明の実施形態における事務品質管理装置の記憶装置4に記憶されるコントロールグループパターンテーブルの構成例を表形式で示す図である。
このコントロールグループパターンテーブルは、コントロールグループとシステムとの紐付けのためのコントロールグループパターン情報を格納するためのテーブルであり、コントロールグループパターンID、パターンID、無効フラグ、最終更新者IDおよび更新日時が関連付けられる。パターンIDは、後述する評価対象情報の入力処理により入力された情報をもとに数字およびアンダーバーで構成した識別情報である。パターンID上のアンダーバーはワイルドカードである。
図6乃至図18に示した各種テーブルの内容は入力装置2に対する所定の操作により任意に変更することができる。図2に示したリスク分類テーブル、図3、図4に示したコントロール評価第1テーブル、図5、図6に示したコントロール評価第2テーブルは、図6乃至図18に示した各種テーブルの内容にしたがって演算処理部12により生成されることになる。
次に、図1に示した構成の事務品質管理装置の動作について説明する。
図19は、本発明の実施形態における事務品質管理装置の処理動作の一例を示すフローチャートである。
本実施形態で説明する事務品質管理装置は、当該事務品質管理装置を運用する企業が管理する、事務処理のための資産に関わるリスク及びコントロールに関する複数の評価対象のうち特定の評価対象を指定した際に、当該評価対象に関するリスク及びコントロールの評価作業を支援する機能を有する。
この評価対象となる、事務処理のための資産は、事務品質管理装置を運用する企業が管理するシステム自体、もしくは当該システムを管理する管理組織を意味する。
つまり、本実施形態で説明する事務品質管理装置は、具体的には、前述した企業が管理する複数のシステムのうち特定のシステムを指定して、当該システムに関するリスク及びコントロールの評価作業を支援する機能、および、前述した企業が管理するシステムを管理する複数の管理組織のうち特定の管理組織を指定して、当該管理組織によるシステム運用に関するリスク及びコントロールの評価作業を支援する機能である。
この事務品質管理装置は、まず、評価対象の設定者による入力装置2の操作に従い、評価対象の入力処理を行なう(ステップS1)。この評価対象の設定者は、当該評価対象のリスク及びコントロールの評価者とは異なる者である。
この入力処理の詳細について説明する。図20は、本発明の実施形態における事務品質管理装置による評価対象入力処理の一例を示すフローチャートである。図21は、本発明の実施形態における事務品質管理装置による評価対象種別選択画面の一例を示す図である。
入力装置2に対して所定の操作がなされると、画面出力制御部11は、評価対象種別選択画面を出力装置3に表示させる。
この選択画面では、入力装置2への入力操作により、評価対象とするリスク及びコントロールを、事務品質管理装置を運用する企業が管理する特定のシステムに関するリスク及びコントロールとするか、もしくは事務品質管理装置を運用する企業のシステムを管理する特定の管理組織によるシステム運用に関するリスク及びコントロールとするかを選択することができる。
特定のシステムに関するリスク及びコントロールを評価対象とする場合には、入力装置2により、画面上の「システム」に対応する「選択」アイコンを選択した上で「OK」アイコンを選択する。
また、事務品質管理装置を運用する企業のシステムを管理する特定の管理組織によるシステム運用に関するリスク及びコントロールを評価対象とする場合には、入力装置2により、画面上の「管理組織」に対応する「選択」アイコンを選択した上で「OK」アイコンを選択する(ステップS11)。
図22は、本発明の実施形態における事務品質管理装置による評価対象システム・形態登録画面の一例を示す図である。
図21に示した選択画面上の「システム」に対応する「選択」アイコンが選択された上で「OK」アイコンが選択されると(ステップS12のYES)、画面出力制御部11は、図22に示す評価対象システム・形態登録画面を出力装置3に表示させる。
この評価対象システム・形態登録画面では、入力装置2への入力操作により、リスクやコントロールの評価の対象となる資産であるシステムの名称、業務区分、システム重要度および当該システムの情報重要度を入力することができ、さらに図4に示したような、システムの形態の各種項目のうち評価対象のシステムに該当する項目の複数を選択することができる(ステップS13,S14,S15,S16,S17)。この評価対象システム・形態登録画面における業務区分については入力を省略しても良い。
各種システムの名称や業務区分の名称は記憶装置4に記憶されており、登録画面におけるシステム名称の入力欄では、システムリスクのコントロールの評価対象となる各システムの名称が選択候補としてそれぞれ表示される。また、この画面では、システム重要度や情報重要度は、「最重要」、「重要」および「一般」から選択して入力することができる。
評価対象システム・形態登録画面もしくは評価対象管理組織・分類登録画面で入力内容が決定されると、評価対象区分情報処理部6は、ステップS13〜S16の処理で入力されたシステム名称、業務区分、システム重要度、情報重要度を、評価対象のシステム情報として、一意に付与されるツリーID、更新日時、更新者IDとともに記憶装置4の評価対象情報記憶部42に記憶する。
また、評価対象区分情報処理部6は、ステップS17の処理でシステムの形態の各種項目のうち評価対象のシステムに該当する項目として選択された項目である選択項目に対応する識別番号を、評価対象のシステム形態情報としてツリーID、更新日時、更新者IDとともに記憶装置4の評価対象情報記憶部42に記憶する。以上で評価対象のシステムに関する入力処理が終了する。
図23は、本発明の実施形態における事務品質管理装置による評価対象管理組織・分類登録画面の一例を示す図である。
図21に示した選択画面上の「管理組織」に対応する「選択」アイコンが選択された上で「OK」アイコンが選択されると(ステップS12のNO)、画面出力制御部11は、図23に示す評価対象管理組織・分類登録画面を出力装置3に表示させる。
この評価対象管理組織・分類登録画面では、入力装置2への入力操作により、リスクやコントロールの評価の対象となる資産であるシステムを管理する特定の管理組織名称および業務区分を入力することができ、さらに図6に示したような管理組織の分類の各種項目のうち評価対象の管理組織に該当する項目を複数選択することができる(ステップS18,S19,S20)。この評価対象管理組織・分類登録画面における業務区分については入力を省略しても良い。
各種管理組織の名称や業務区分の名称は記憶装置4に記憶されており、登録画面における管理組織名称や業務区分の入力欄では、システムリスクのコントロールの評価対象となる各システムの名称が選択候補としてそれぞれ表示される。
評価対象システム・形態登録画面もしくは評価対象管理組織・分類登録画面で入力内容が決定されると、評価対象区分情報処理部6は、ステップS18,S19の処理で入力された管理組織名称、業務区分を、評価対象の管理組織情報として、一意に付与されるツリーID、更新日時、更新者IDとともに記憶装置4の評価対象情報記憶部42に記憶する。
また、評価対象区分情報処理部6は、ステップS20の処理で管理組織の分類の各種項目のうち評価対象の管理組織に該当する項目として選択された項目に対応する識別番号を、評価対象の管理組織情報としてツリーID、更新日時、更新者IDとともに記憶装置4の評価対象情報記憶部42に記憶する。以上で評価対象の管理組織に関する入力処理が終了する。
評価対象リスク一覧抽出部7は、評価対象情報記憶部42に記憶された情報のうち、この評価対象システム名称や業務区分以外の各項目の内容をもとに、評価対象リスク一覧抽出部7により、評価対象のシステムもしくは管理組織に関わるリスクの抽出処理がなされ、かつ、評価対象コントロール一覧抽出部9により評価対象のシステムもしくは管理組織に関わるコントロールの抽出処理がなされる(ステップS2)。
ここでは、図22に示す評価対象システム・形態登録画面が出力装置3に表示されて、この画面に対する入力がなされた場合の、リスク・コントロール抽出処理の詳細について説明する。
図24は、本発明の実施形態における事務品質管理装置によるリスク・コントロール抽出処理の一例を示すフローチャートである。図25は、本発明の実施形態における事務品質管理装置によるパターンID生成の手順を説明するための図である。図26は、本発明の実施形態における事務品質管理装置によるリスク一覧取得の手順を説明するための図である。
まず、パターンID生成部5は、評価対象のシステムの形態の各項目の内、ステップS17の処理で評価対象のシステムに該当するとして選択された項目、ステップS15の処理で入力されたシステム重要度、および、ステップS16の処理で入力された情報重要度をもとにパターンIDを生成する(ステップS21)。
具体的には、パターンIDの最上位の桁はシステム重要度の値であり、最上位から1つ下の桁は情報重要度の値である。入力されたシステム重要度や情報重要度が「最重要」である場合の値は「3」で、「重要」である場合の値は「2」で、「一般」である場合の値は「1」である。
パターンIDの最上位から3桁目以降の値は、図4で示した評価対象の形態の各項目の内評価対象のシステムに該当するとして選択された項目の情報を示す値である。各項目のうち、評価対象システム・形態登録画面上で評価対象のシステムに該当するとして選択された項目の値は「1」となり、選択されない項目はアンダーバーで表される。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図18に示すコントロールグループパターンテーブル上のコントロールグループIDのうち、ステップS21の処理で生成されたパターンIDに関連付けられるコントロールグループIDを抽出する(ステップS22)。
この評価対象リスク一覧抽出部7により抽出する情報は、参照先のテーブルの無効フラグが「0」である情報である。以下の評価対象リスク一覧抽出部7や評価対象コントロール一覧抽出部9による各種情報の抽出処理についても同様である。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図10に示すコントロールグループ−損失シナリオ関連テーブル上の損失シナリオIDのうちステップS22の処理で抽出したコントロールグループIDに関連付けられる損失シナリオIDを抽出する(ステップS23)。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図11に示す損失シナリオ−潜在リスク分類関連テーブル上の潜在リスク分類IDのうち、ステップS23の処理で抽出した損失シナリオIDに関連付けられる潜在リスク分類IDを抽出する(ステップS24)。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図7に示す潜在リスク分類テーブル上の潜在リスク分類の内容のうち、ステップS24の処理で抽出した潜在リスク分類IDに関連付けられる潜在リスク分類の内容を抽出する(ステップS25)。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図17に示す損失シナリオテーブル上の損失シナリオのうち、ステップS23の処理で抽出した損失シナリオIDに関連付けられる損失シナリオの情報を抽出する(ステップS26)。
また、評価対象リスク一覧抽出部7は、同じ損失シナリオテーブル上のリスク発生分類IDのうち、ステップS23の処理で抽出した損失シナリオIDに関連付けられるリスク発生分類IDの情報を抽出する(ステップS27)。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図18に示すリスク発生分類テーブル上のリスク発生分類の内容のうち、ステップS27の処理で抽出したリスク発生分類IDに関連付けられるリスク発生分類の内容の情報を抽出する(ステップS28)。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図9に示す損失シナリオ−損失事象種類関連テーブル上の損失事象種類IDのうち、ステップS23の処理で抽出した損失シナリオIDに関連付けられる損失事象種類IDを抽出する(ステップS29)。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図15に示す損失事象テーブル上の損失事象の値、つまり損失事象の内容のうち、ステップS29の処理で抽出した損失事象種類IDと同じ値の管理IDに対応付けられる損失事象の内容を抽出する(ステップS30)。
図27は、本発明の実施形態における事務品質管理装置によるコントロール一覧取得の手順を説明するための図である。
次に、評価対象コントロール一覧抽出部9は、記憶装置4のリスク管理情報記憶部41に記憶される、図16に示すメインコントロール文書テーブル上のメインコントロールであるコントロール文書のうち、ステップS22の処理で評価対象リスク一覧抽出部7により抽出したコントロールグループIDに関連付けられるコントロール文書を抽出する(ステップS31)。
次に、評価対象コントロール一覧抽出部9は、記憶装置4のリスク管理情報記憶部41に記憶される、図13に示すコントロール評価大分類テーブル上のコントロール評価大分類の値のうち、図3に示したコントロール評価第1テーブル上でステップS22の処理で評価対象リスク一覧抽出部7により抽出したコントロールグループIDに対応付けられるコントロール評価大分類の値を抽出する(ステップS32)。
評価対象コントロール一覧抽出部9は、記憶装置4のリスク管理情報記憶部41に記憶される、図14に示すコントロール評価小分類テーブル上のコントロール評価小分類の値のうち、図3に示したコントロール評価第1テーブル上でステップS22の処理で評価対象リスク一覧抽出部7により抽出したコントロールグループIDに対応付けられるコントロール評価小分類の値を抽出する(ステップS33)。
次に、評価対象コントロール一覧抽出部9は、記憶装置4のリスク管理情報記憶部41に記憶される、図12に示すサブコントロール内容テーブル上のサブコントロールであるコントロール内容のうち、ステップS22の処理で評価対象リスク一覧抽出部7により抽出したコントロールグループIDに関連付けられるコントロール内容を抽出する(ステップS34)。
評価対象リスク一覧抽出部7は、記憶装置4のリスク管理情報記憶部41に記憶される、図2に示したリスク発生分類テーブル上の各行のうち、ステップS25の処理により抽出した潜在リスク分類の内容、ステップS26の処理により抽出した損失シナリオの情報、ステップS28の処理により抽出したリスク発生分類の内容の情報、およびステップS30の処理により抽出した損失事象の値が関わる行を抽出し、この抽出行にあるリスク発生分類、潜在リスク分類、損失シナリオおよび損失事象に対し、前述したように入力した評価対象システム名称、業務区分、システム重要度、情報重要度、システムの形態の選択項目の情報をあわせた評価対象リスク管理テーブルを生成して、記憶装置4の評価対象リスク一覧記憶部43に記憶する(ステップS35)。
図28は、本発明の実施形態における事務品質管理装置による評価対象リスク管理テーブルの構成例を表形式で示す図である。
図28に示した例は、図2に示したリスク発生分類テーブル上のリスク発生分類の各行のうち、最上段と2段目が抽出され、この抽出行にあるリスク発生分類、潜在リスク分類、損失シナリオおよび損失事象に対し、前述したように入力した評価対象システム名称、業務区分、システム重要度、情報重要度、システムの形態の選択項目の情報をあわせた評価対象リスク管理テーブルの例である。
この評価対象リスク管理テーブルでは、リスクの評価値である想定損失規模の欄が損失シナリオごとに設けられ、未だ評価がなされていない場合には、想定損失規模の値は空欄となっている。
次に、評価対象コントロール一覧抽出部9は、記憶装置4のリスク管理情報記憶部41に記憶される、コントロール評価第1テーブル上の各行のうち、ステップS22の処理で抽出されたコントロールグループIDが関わる行を抽出し、この抽出行にあるメインコントロール、コントロール評価大分類、コントロール評価小分類、サブコントロール、規定へのREF(関連会社除く)、損失シナリオに対し、前述したように入力した評価対象システム名称、業務区分、システム重要度、情報重要度、システムの形態の選択項目の情報をあわせた評価対象コントロール管理テーブルを生成して、記憶装置4の評価対象コントロール一覧記憶部44に記憶する(ステップS36)。
図29は、本発明の実施形態における事務品質管理装置による評価対象コントロール管理テーブルの構成例を表形式で示す図である。
図29に示した例は、コントロール評価第1テーブル上の各行のうちコントロールID「30001」、「30002」が抽出され、この抽出行にあるメインコントロール、コントロール評価大分類、コントロール評価小分類、サブコントロール、規定へのREF(関連会社除く)、損失シナリオに対し、前述したように入力した評価対象システム名称、業務区分、システム重要度、情報重要度、システムの形態の選択項目の情報をあわせた評価対象コントロール管理テーブルの例である。
この評価対象コントロール管理テーブルでは、各種コントロールの評価値の欄がメインコントロールやサブコントロールのそれぞれについて設けられ、未だ評価がなされていない場合には、この評価値の値は空欄となっている。以上でリスク・コントロール抽出処理が終了する。
次に、事務品質管理装置は、抽出済みのリスクまたはコントロールの評価入力処理を行なう(ステップS3)。本実施形態では抽出済みのリスクの評価入力と抽出済みのコントロールの評価とを別々に行なえるようになっている。
図30は、本発明の実施形態における事務品質管理装置による評価入力処理の一例を示すフローチャートである。図31は、本発明の実施形態における事務品質管理装置による評価入力種別選択画面の一例を示す図である。
画面出力制御部11は、評価入力の対象を評価対象リスクと評価対象コントロールの間で選択するための、図31に示した評価入力種別選択画面を出力装置3に表示させる(ステップS41)。
この選択画面では、入力装置2への入力操作により、評価入力の対象を評価対象のリスクとするか評価対象のコントロールとするかを選択することができる。
評価対象リスクを評価入力対象とする場合には、入力装置2により、画面上の「リスク」に対応する「選択」アイコンを選択した上で「OK」アイコンを選択する。
また、評価対象コントロールを評価入力対象とする場合には、入力装置2により、画面上の「コントロール」に対応する「選択」アイコンを選択した上で「OK」アイコンを選択する。
評価入力種別選択画面上で、評価対象リスクが評価入力対象として選択された場合には(ステップS42のYES)、評価対象リスク一覧出力制御部8は、ステップS35の処理で生成された評価対象リスク管理テーブルの内容をもとに、評価対象リスクとなる複数種類のリスクのうち、評価値の入力対象のリスクを選択させるための画面を出力装置3に表示させる(ステップS43)。この画面の内容は図28に示した評価対象リスク管理テーブルの内容と同内容であり、画面上の各行のうち、評価値の入力対象のリスクを含む行を入力装置2の操作により選択できるようになっている。
評価値の入力対象のリスクの行が選択されると、評価対象リスク一覧出力制御部8は、選択された行に対応するリスクの評価入力のためのリスク評価入力画面を出力装置3に表示させる(ステップS44)。
図32は、本発明の実施形態における事務品質管理装置によるリスク評価入力画面の表示例を示す図である。
この入力画面には、入力済みの評価対象システム名称、業務区分、システム重要度、情報重要度、システムの形態が表示され、さらに評価対象リスク管理テーブルの抽出行のリスク発生分類、潜在リスク分類、損失シナリオ、損失事象の種類が表示され、さらに抽出行のリスクの想定損失規模(最大)の入力欄が表示される。
この想定損失規模(最大)の入力欄に対し、損失による損害額の最大値が入力装置2により入力されて(ステップS45)、画面上のOKアイコンが選択されると評価対象リスク管理テーブルの抽出行のリスクの評価値の入力が終了する。演算処理部12は、この入力結果にしたがって評価対象リスク管理テーブルを更新し、図2に示したリスク分類テーブル上の想定損失規模(最大)も更新する。
図3に示したコントロール評価第1テーブルや図5に示したコントロール評価第2テーブルに示すように、単一種類の損失シナリオが複数種類のメインコントロールに関わる場合がある。この場合で、リスク評価入力画面を、リスクに対応するコントロールを参照して当該参照した情報を紐付けた形態で表示させると、リスク評価入力画面における単一の種類のリスクの表示数が複数となってしまい、単一の種類のリスクの評価値を複数回にわたって入力しなければならない。
しかし、本実施形態におけるリスク評価入力画面に表示されるリスクは、当該リスクを回避するためのコントロールの種別を参照することなく表示されるものであり、画面における単一の種類のリスクの表示数は1つで済む。よって、評価者は、評価対象のシステムに関わる特定の種類のリスクが関わるコントロールを意識することなく、リスク自体を必要最低限の作業により評価することができる。
また、評価入力種別選択画面上で、評価対象コントロールが評価入力対象として選択された場合には(ステップS42のNO)、評価対象コントロール一覧出力制御部10は、ステップS35の処理で生成された評価対象コントロール管理テーブルの内容をもとに、評価対象コントロールとなる複数種類のメインコントロールのうち、評価値の入力対象のメインコントロールを選択させるための画面を出力装置3に表示させる(ステップS46)。この画面の内容は図29に示した評価対象コントロール管理テーブルの内容と同内容であり、画面上の各行のうち、評価値の入力対象のメインコントロールの行を入力装置2の操作により選択できるようになっている。
評価値の入力対象のメインコントロールの行が選択されると、評価対象コントロール一覧出力制御部10は、選択された行に対応するメインコントロールおよび当該メインコントロールに対応するサブコントロールの評価入力のためのコントロール評価入力画面を出力装置3に表示させる(ステップS47)。
図33は、本発明の実施形態における事務品質管理装置によるコントロール評価入力画面の表示例を示す図である。
この入力画面には、入力済みの評価対象システム名称、業務区分、システム重要度、情報重要度、システムの形態に加え、評価対象コントロール管理テーブルの抽出行の損失シナリオ、コントロール評価の大分類、小分類、規定へのREF(関連会社除く)、メインコントロール、メインコントロールの評価入力欄、サブコントロールが表示される。なお、評価対象コントロール管理テーブルの抽出行の損失シナリオは、各種コントロールの内容の理解の補助として表示するものであり、表示を省略しても良い。
メインコントロールの評価入力欄では、メインコントロールの内容の有効性の有無の評価のための「○」および「×」が選択候補として表示される。
メインコントロールが有効である、つまり現時点で実施されている、もしくは実施の予定があると管理者により判断して図33に示すように「○」が選択された場合やメインコントロールが有効でないと管理者により判断して「×」が選択された場合には、当該選択された内容がメインコントロールの評価結果となる(ステップS48)。
また、図33に示すように、入力画面上の各種のサブコントロールの情報には当該サブコントロールの有効性の評価のためのチェックボックスが設けられる。
これらのチェックボックスは画面上のメインコントロールの評価結果が「×」である場合に(ステップS49のNO)用いる欄であって、有効であると管理者により判断されたサブコントロールのチェックボックスが有効とされると(ステップS50)、当該チェックボックスに対応するサブコントロールが有効と評価されたことになる。
一方、メインコントロールの評価結果が「○」とされた場合(ステップS49のYES)、もしくはサブコントロールの評価値が入力装置2により入力されて、画面上のOKアイコンが選択されると評価対象コントロール管理テーブルの抽出行のコントロールの評価値の入力が終了する。演算処理部12は、この入力結果にしたがって評価対象コントロール管理テーブルを更新し、コントロール第1テーブル上のメインコントロール評価やサブコントロール評価も更新する。
このコントロール評価入力画面に表示されるコントロールは、当該コントロールに関わるリスクの種別を参照することなくコントロールグループIDごとに表示されるものである。図3に示したコントロール評価第1テーブルや図5に示したコントロール評価第2テーブルに示すように、単一の種類のメインコントロールが複数種類の損失シナリオに関わる場合があるが、このような場合でも本実施形態のコントロール評価入力画面における単一の種類のメインコントロールの表示数は1つで済むので、評価者は、評価対象のシステムに関わる特定の種類のコントロールが関わるリスクの種類を意識することなく、メインコントロールおよび当該メインコントロールに関わるサブコントロール自体を必要最低限の作業により評価することができる。
図33に示したコントロール評価入力画面では損失シナリオが表示されているが、前述したように生成したパターンIDに関連付けられるメインコントロールは、当該コントロール評価入力画面において表示されるメインコントロールとして決定されるものである。また、この表示される損失シナリオは、前述したように各種のメインコントロールの理解を補助するための情報である。つまり、各種のメインコントロールに関わる損失シナリオの種類の数は、コントロール評価入力画面におけるメインコントロールの表示数に影響を及ぼすものではない。
リスクや各種コントロールの評価入力画面でのOKアイコンが入力装置2により選択されると、画面出力制御部11は、評価入力種別選択画面を出力装置3に再度表示させる(ステップS51)。
この評価入力種別選択画面が表示された場合で、評価者は、評価対象の他のリスクやコントロールの評価を行なう場合には、該当の種別の選択アイコンを選択する。この場合(ステップS52のNO)、前述したステップS42以降の処理が再度なされる。
また、評価者は、評価対象の他のリスクやコントロールの評価を終了する場合には、画面上の「評価終了」の表記に対応する選択アイコンを選択してOKアイコンを選択する。この場合(ステップS52のYES)、評価入力処理が終了する。
図34は、本発明の実施形態における事務品質管理装置によるリスク管理自己評価データベース帳票の表示例を示す図である。
演算処理部12は、評価入力処理により更新された評価対象リスク管理テーブルおよび評価対象コントロール管理テーブルをもとに、評価対象のリスクのリスク発生分類、潜在リスク分類、損失シナリオ、想定損失規模(最大)、損失事象、コントロール評価の大分類、小分類、規定へのREF(関連会社除く)、メインコントロール、当該メインコントロール評価、サブコントロール、サブコントロール評価を紐付けた、図34に示したリスク管理自己評価データベース帳票(RCSA帳票)を生成する。
画面出力制御部11は、この生成したRCSA帳票を出力装置3に画面表示させる(ステップS4)。つまり、画面出力制御部11は、損失規模入力手段により入力した情報を当該情報に関わる損失情報とともに出力し、施策有効性入力手段により入力した情報を当該情報に関わる施策情報とともに出力する出力手段である。
これにより、管理者は、評価対象のシステムについてのリスク、リスクの評価値、コントロール、当該コントロールの評価値を把握することができる。
以上のように、本発明の実施形態における事務品質管理装置では、事務処理のための資産に関わる区分情報、当該区分の資産に関する予め想定した損失(リスク)、当該損失の評価、当該損失が発生することを回避するための施策(コントロール)、および当該施策の有効性の有無を示す情報を関連付けた管理情報を記憶しておき、この管理情報で示される資産の区分のうち、損失の評価対象となる資産の区分および施策の有効性の評価対象となる区分情報を入力すると、この区分に関わる損失や当該損失が発生することを回避するための施策(コントロール)の一覧が出力される。よって、評価者は、評価対象となる資産の区分を入力すれば、事務処理の規定を意識することなく、特定の区分の資産の損失や施策の評価作業にかかる効率を向上させることができる。
なお、この発明は前記実施形態そのままに限定されるものではなく実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、前記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を省略してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
1…制御部、2…入力装置、3…出力装置、4…記憶装置、5…パターンID生成部、6…評価対象区分情報処理部、7…評価対象リスク一覧抽出部、8…評価対象リスク一覧出力制御部、9…評価対象コントロール一覧抽出部、10…評価対象コントロール一覧出力制御部、11…画面表示出力部、12…演算処理部、13…バス、41…リスク管理情報記憶部、42…評価対象情報記憶部、43…評価対象リスク一覧記憶部、44…評価対象コントロール一覧記憶部。

Claims (5)

  1. 事務処理のための資産に関わる区分情報、当該区分の資産に関する予め想定した損失を特定するための損失情報、および当該損失が発生することを回避するための施策を特定するための施策情報を関連付けた管理情報を記憶する管理情報記憶手段と、
    前記管理情報で示される区分情報のうち、前記損失の評価対象または当該損失を回避するための施策の有効性の評価対象の資産に関わる区分情報を入力する区分情報入力手段と、
    前記管理情報のうち、前記区分情報入力手段により入力した区分情報と関連付けられる前記損失情報および前記区分情報入力手段により入力した区分情報と関連付けられる前記施策情報を抽出する抽出手段と、
    前記抽出手段により抽出した損失情報で特定される損失の規模を入力する損失規模入力手段と、
    前記抽出手段により抽出した施策情報で特定される施策のうち有効性がある施策を示す情報を入力する施策有効性入力手段と、
    前記損失規模入力手段により入力した情報を当該情報に関わる損失情報とともに出力し、前記施策有効性入力手段により入力した情報を当該情報に関わる施策情報とともに出力する出力手段と
    を備えたことを特徴とする事務品質管理装置。
  2. 前記管理情報記憶手段に記憶される管理情報における、資産に関わる区分情報は、当該資産に関わる機器の形態を示す情報である
    ことを特徴とする請求項1に記載の事務品質管理装置。
  3. 前記管理情報記憶手段に記憶される管理情報における、資産に関わる区分情報は、当該資産の所管組織の分類を示す情報である
    ことを特徴とする請求項1に記載の事務品質管理装置。
  4. 前記抽出手段は、
    前記管理情報記憶手段に記憶される管理情報で示される前記損失情報のうち、前記入力手段により入力した区分情報と関連付けられる損失情報を当該損失情報で特定される損失を回避するための施策を特定するための施策情報を参照することなく抽出し、
    前記管理情報で示される前記施策情報のうち、前記入力手段により入力した区分情報と関連付けられる施策情報を当該施策情報で特定される施策に関わる損失を特定するための損失情報を参照することなく抽出する
    ことを特徴とする請求項1に記載の事務品質管理装置。
  5. 事務処理のための資産に関わる区分情報、当該区分の資産に関する予め想定した損失を特定するための損失情報、および当該損失が発生することを回避するための施策を特定するための施策情報を関連付けた管理情報を記憶する管理情報記憶手段を備えたコンピュータを、
    前記管理情報で示される区分情報のうち、前記損失の評価対象または当該損失を回避するための施策の有効性の評価対象の資産に関わる区分情報を入力する区分情報入力手段、
    前記管理情報のうち、前記入力手段により入力した区分情報と関連付けられる前記損失情報および前記区分情報入力手段により入力した区分情報と関連付けられる前記施策情報を抽出する抽出手段、
    前記抽出手段により抽出した損失情報で特定される損失の規模を入力する損失規模入力手段、
    前記抽出手段により抽出した施策情報で特定される施策のうち有効性がある施策を示す情報を入力する施策有効性入力手段、
    前記損失規模入力手段により入力した情報を当該情報に関わる損失情報とともに出力し、前記施策有効性入力手段により入力した情報を当該情報に関わる施策情報とともに出力する出力手段
    として機能させるようにした事務品質管理処理プログラム。
JP2009079698A 2009-03-27 2009-03-27 事務品質管理装置、事務品質管理処理プログラムおよび事務品質管理処理方法 Active JP4970484B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009079698A JP4970484B2 (ja) 2009-03-27 2009-03-27 事務品質管理装置、事務品質管理処理プログラムおよび事務品質管理処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009079698A JP4970484B2 (ja) 2009-03-27 2009-03-27 事務品質管理装置、事務品質管理処理プログラムおよび事務品質管理処理方法

Publications (2)

Publication Number Publication Date
JP2010231600A true JP2010231600A (ja) 2010-10-14
JP4970484B2 JP4970484B2 (ja) 2012-07-04

Family

ID=43047339

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009079698A Active JP4970484B2 (ja) 2009-03-27 2009-03-27 事務品質管理装置、事務品質管理処理プログラムおよび事務品質管理処理方法

Country Status (1)

Country Link
JP (1) JP4970484B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6353612B1 (ja) * 2017-03-17 2018-07-04 株式会社三井住友銀行 経営情報システム、方法、およびプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001101135A (ja) * 1999-09-29 2001-04-13 Hitachi Ltd セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
JP2003196476A (ja) * 2001-12-27 2003-07-11 Hitachi Ltd セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム
JP2005216003A (ja) * 2004-01-29 2005-08-11 Ricoh Co Ltd リスク管理支援方法及びリスク管理支援プログラム
JP2008129648A (ja) * 2006-11-16 2008-06-05 Nec Corp セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001101135A (ja) * 1999-09-29 2001-04-13 Hitachi Ltd セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置
JP2003196476A (ja) * 2001-12-27 2003-07-11 Hitachi Ltd セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム
JP2005216003A (ja) * 2004-01-29 2005-08-11 Ricoh Co Ltd リスク管理支援方法及びリスク管理支援プログラム
JP2008129648A (ja) * 2006-11-16 2008-06-05 Nec Corp セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6353612B1 (ja) * 2017-03-17 2018-07-04 株式会社三井住友銀行 経営情報システム、方法、およびプログラム
WO2018167983A1 (ja) * 2017-03-17 2018-09-20 株式会社三井住友銀行 経営情報システム、方法、およびプログラム

Also Published As

Publication number Publication date
JP4970484B2 (ja) 2012-07-04

Similar Documents

Publication Publication Date Title
US10572236B2 (en) System and method for updating or modifying an application without manual coding
US7353228B2 (en) Method and product for calculating a net operating income audit and for enabling substantially identical audit practices among a plurality of audit firms
US20160246991A1 (en) Systems and Methods for Automated Data Privacy Compliance
JP2007304660A (ja) コマンド実行結果記録システム及びコマンド実行結果記録方法
JP5439275B2 (ja) 情報処理装置、原価見通し算出方法、および原価見通し算出プログラム
JPWO2020054612A1 (ja) トランザクション監査システム
JP5952518B1 (ja) コーポレートファイナンスの海外与信管理のための銀行システム、方法およびプログラム
JP2004054954A (ja) リスク診断システム、リスクマップデータ生成方法及びプログラム
JP5049457B2 (ja) 情報処理システム、情報処理方法および情報処理プログラム
JP4970484B2 (ja) 事務品質管理装置、事務品質管理処理プログラムおよび事務品質管理処理方法
JP5963998B1 (ja) 与信事務管理システムおよびその方法
JP2007179125A (ja) 有価証券担保管理システム
JP4034284B2 (ja) 企業診断報告作成装置
JP5300824B2 (ja) 情報処理システム、情報処理方法および情報処理プログラム
JP5970505B2 (ja) 復旧曲線作成システム、復旧曲線作成方法、及びプログラム
JP2009205297A (ja) 開発予算管理装置
JP2005242676A (ja) 不動産担保管理システム
JP2009086723A (ja) 期日管理支援処理システム、期日管理支援処理方法及び期日管理支援処理プログラム
JP5336906B2 (ja) 設計工程管理装置
JP2005084924A (ja) 情報処理システム
JP5053769B2 (ja) 事務品質管理装置
JP5199722B2 (ja) 事務品質管理装置および事務品質管理処理プログラム
JP2009048500A (ja) 注記表作成支援装置及びシステム
JP7241362B2 (ja) 会計処理システム、会計処理方法及び会計処理プログラム
US20240185199A1 (en) Payment remittance support system, information processing apparatus, payment remittance support method, and storage medium

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110704

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110712

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110912

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120404

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150413

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4970484

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350