JP5088125B2 - Control processing system and control processing program - Google Patents
Control processing system and control processing program Download PDFInfo
- Publication number
- JP5088125B2 JP5088125B2 JP2007329809A JP2007329809A JP5088125B2 JP 5088125 B2 JP5088125 B2 JP 5088125B2 JP 2007329809 A JP2007329809 A JP 2007329809A JP 2007329809 A JP2007329809 A JP 2007329809A JP 5088125 B2 JP5088125 B2 JP 5088125B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- business
- risk
- index
- approval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、統制処理システム及び統制処理プログラムに関する。 The present invention relates to a control processing system and a control processing program.
近年、財務内部統制が求められている。その財務内部統制とは、1992年にCOSO(トレッドウェイ委員会組織委員会)が発表した「内部統制−統合的枠組み」が、事実上の標準となっており、「(1)業務の有効性・効率性、(2)財務諸表の信頼性、(3)関連法規の遵守の3つの目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者及びその他の職員によって遂行される一つのプロセス」と定義されている。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化する必要がある。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
In recent years, financial internal control has been required. With regard to the financial internal control, “Internal Control – Integrated Framework” announced by COSO (Treadway Committee Organizing Committee) in 1992 has become the de facto standard.・ Board of Directors, Management and other organizations intended to provide reasonable assurance to achieve three objectives: efficiency, (2) reliability of financial statements, and (3) compliance with relevant laws and regulations. It is defined as a single process carried out by staff.
In financial internal control, it is necessary to organize the relationship between activities / systems / resources / knowledge information and document business processes. There are four documents for financial internal control: business description, business flow diagram, RCM (risk control matrix), and separation of duties table.
これらに関する技術として、例えば、特許文献1には、それぞれの業務フローにおける再利用化と品質の均一化の向上を図ることを課題とし、業務条件を取得した業務フロー作成処理機能を有する制御装置に、取得した業務条件に対応する業務階層を、その業務条件と業務階層の対応関係を表す業務条件管理テーブルから取得させ、取得した業務階層に対応する業務フロー図を特定するIDを、その業務階層と業務フロー図IDとの対応関係を表す業務フロー階層テーブルから取得させ、そして、取得した業務フロー図IDにより特定される業務フロー図を予め設けてある種々の業務フロー図の中から収集させて、前記取得した業務条件に該当する業務フロー図の業務フローを作成させることが開示されている。
As a technology related to these, for example,
また、例えば、特許文献2には、業務支援システムにかかる業務フローデータの意味論的正しさを検証するのに好適な検証方法及び検証システムを提供することを課題とし、業務フローデータ検証方法は、支援対象の業務を構成する複数の業務項目と、各業務項目の実施要因となる事象と、事象の組合せによって規定される実施条件からなる業務フローデータの記述内容を表示画面に表示し、当該記述内容の正当性について例えば業務の流れについて熟知しているユーザの承認を求めることにより、業務フローデータの意味論的正しさを検証できることが開示されている。
Further, for example,
また、例えば、特許文献3には、RCM帳票のフォーマットが記載されている。つまり、企業に関係する品質、環境、労働安全衛生、CSRの各リスクを一元的に統合し、リスクによる損害から企業活動を守り、さらに企業の社会的責任を高め持続的成長を志向するマネジメントに供する統合アセスメント・コントロール表を提供することを課題とし、リスクとしてコントロールすべき事象を列挙する共通項目の欄と、リスク評価対象となる複数のリスクアセスメント項目の欄と、管理すべき対象のリスク低減活動の結果を記入するリスクコントロール項目の欄とを備え、複数のリスクアセスメント項目が、少なくとも、品質リスクアセスメント、労働安全衛生リスクアセスメント、環境リスクアセスメント、情報セキュリティリスクアセスメント、CSRアセスメントからなり、企業がこれを活用することにより、企業活動におけるリスクをより高度にコントロールでき、企業の存在と存続を守ることができる。
For example,
また、J−SOX(日本版企業改革法)では、業務統制を下支えする統制として、IT(情報処理システム)全般統制の整備を求めている。つまり、ITシステムが不適切な動作をしていないことを確認するための統制である。そして、IT全般統制が有効であれば、ITシステムによって自動化された統制の運用テストを簡略化することが認められており、負担軽減による統制実施者(例えば、企業側)のメリットも大きい。
一方、IT全般統制の整備自体にも作業コストが発生するため、全てのITシステムのIT全般統制を整備するのではなく、業務統制の運用テストにおける負担を軽減するのに効果的なITシステムから優先的に全般統制の整備を行うことが望ましい。
On the other hand, since the maintenance of IT general control itself also involves work costs, it is not an IT general control of all IT systems, but an IT system that is effective in reducing the burden of operational control operation tests. It is desirable to develop general controls with priority.
本発明は、情報処理システムに対する統制の運用テストの結果を業務統制の運用テストに用いる場合に、業務統制の運用テストにおける負担を軽減させる前記情報処理システムの統制の優先順位を決定する統制処理システム及び統制処理プログラムを提供することを目的としている。 The present invention relates to a control processing system that determines the priority of control of the information processing system that reduces the burden on the operation test of the business control when the result of the control operation test on the information processing system is used for the business control operation test. And to provide a control processing program.
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
[1] 統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを、該業務統制に関するコントロールとリスクの関係を記載した文書を記憶している記憶手段から取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての該情報処理システムの優先順位を決定するための集計を行う集計手段
を具備し、
前記取得されたコントロールに関する指標として、該コントロールが予防的なものであるか発見的なものであるかを示す指標である統制の性質を含み、リスクに関する指標として、該リスクの重要性を示す指標であるリスク評価を含み、前記評価手段は、該コントロールに関する指標と該リスクに関する指標の点数を集計することによって前記業務統制の承認前における指標の評価を行い、
前記集計手段は、前記情報処理システムのコントロールに対して、該コントロールの指標である統制の性質が予防的であって、かつ該コントロールに対応するリスクの指標であるリスク評価の重要性が高いコントロールは、高い重み付けを行い、該重み付けした結果を集計し、該集計結果で順位付けを行うことによって優先順位を決定する
ことを特徴とする統制処理システム。
The gist of the present invention for achieving the object lies in the inventions of the following items.
[1] The control for the business control related to the information processing system to be controlled and the risk corresponding to the control are acquired from the storage means storing the document describing the relationship between the control related to the business control and the risk. Control risk acquisition means;
Evaluation means for evaluating an index before approval of the business control based on the control and risk acquired by the control / risk acquisition means;
A tally unit that performs tally for weighting the index evaluated by the evaluator and determining the priority of the information processing system in executing control of the information processing system ;
An index indicating the importance of the risk as an index relating to risk, including the nature of the control as an index indicating whether the control is preventive or heuristic as the index regarding the acquired control The evaluation means evaluates the index before the approval of the business control by counting the index of the control and the score of the index of the risk,
The tabulation means is a control in which the nature of the control that is an index of the control is preventive with respect to the control of the information processing system, and the risk evaluation that is an index of the risk corresponding to the control is highly important Is a control processing system characterized in that priority is determined by performing high weighting, totaling the weighted results, and ranking the results .
[2] 前記業務統制における承認が行われたか否かを前記業務統制の進捗データを用いて判断する判断手段
をさらに具備し、
前記評価手段は、前記判断手段によって承認が行われたと判断された場合は、前記コントロール・リスク取得手段によって取得されたコントロール内のキーコントロールに基づいて、該キーコントロールとなっているコントロールだけの点数を集計することによって、前記業務統制の承認後における指標を評価する
ことを特徴とする[1]に記載の統制処理システム。
[2] It further comprises a judging means for judging whether or not the approval in the business control has been performed using the progress data of the business control ,
If the evaluation means determines that the approval has been made by the determination means, based on the key control in the control acquired by the control / risk acquisition means, the score of only the control that is the key control The control processing system according to [1] , wherein the index after the approval of the business control is evaluated by summing up the business control.
[3] コンピュータを、
統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを、該業務統制に関するコントロールとリスクの関係を記載した文書を記憶している記憶手段から取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての該情報処理システムの優先順位を決定するための集計を行う集計手段
として機能させ、
前記取得されたコントロールに関する指標として、該コントロールが予防的なものであるか発見的なものであるかを示す指標である統制の性質を含み、リスクに関する指標として、該リスクの重要性を示す指標であるリスク評価を含み、前記評価手段は、該コントロールに関する指標と該リスクに関する指標の点数を集計することによって前記業務統制の承認前における指標の評価を行い、
前記集計手段は、前記情報処理システムのコントロールに対して、該コントロールの指標である統制の性質が予防的であって、かつ該コントロールに対応するリスクの指標であるリスク評価の重要性が高いコントロールは、高い重み付けを行い、該重み付けした結果を集計し、該集計結果で順位付けを行うことによって優先順位を決定する
ことを特徴とする統制処理プログラム。
[ 3 ] Connect the computer
Control risk for acquiring control over the business control related to the information processing system that is the subject of control and the risk corresponding to the control from the storage means storing the document describing the relationship between the control related to the business control and the risk Acquisition means;
Evaluation means for evaluating an index before approval of the business control based on the control and risk acquired by the control / risk acquisition means;
The index evaluated by the evaluation means is weighted to function as an aggregation means for performing aggregation for determining the priority order of the information processing system in executing the control of the information processing system ,
An index indicating the importance of the risk as an index relating to risk, including the nature of the control as an index indicating whether the control is preventive or heuristic as the index regarding the acquired control The evaluation means evaluates the index before the approval of the business control by counting the index of the control and the score of the index of the risk,
The tabulation means is a control in which the nature of the control that is an index of the control is preventive with respect to the control of the information processing system, and the risk evaluation that is an index of the risk corresponding to the control is highly important Is a control processing program characterized in that priority is determined by performing high weighting, totaling the weighted results, and ranking the results .
請求項1に記載の統制処理システムによれば、情報処理システムに対する統制の運用テストの結果を業務統制の運用テストに用いる場合に、業務統制の運用テストにおける負担を軽減させる前記情報処理システムの統制の優先順位を決定することができるようになる。コントロール及びリスクに関する指標に基づいて優先順位を決定することができるようになる。承認前におけるコントロール、リスクに関する指標として、承認後にも反映される可能性の高い指標を含めて優先順位を決定することができるようになる。
According to the control processing system of
請求項2に記載の統制処理システムによれば、業務統制の承認後であれば、その業務統制に関するキーコントロールを用いて、前記情報処理システムの統制の優先順位を決定することができるようになる。 According to the control processing system of the second aspect, after the approval of the business control, the priority order of the control of the information processing system can be determined using the key control related to the business control. .
請求項3に記載の統制処理プログラムによれば、情報処理システムに対する統制の運用テストの結果を業務統制の運用テストに用いる場合に、業務統制の運用テストにおける負担を軽減させる前記情報処理システムの統制の優先順位を決定することができるようになる。コントロール及びリスクに関する指標に基づいて優先順位を決定することができるようになる。承認前におけるコントロール、リスクに関する指標として、承認後にも反映される可能性の高い指標を含めて優先順位を決定することができるようになる。
According to the control processing program of
まず、内部統制の「基本4文書」について説明する。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書とは、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂に影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目が一般には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。また、財務リスクに対して、アサーションの観点でリスクが網羅されていることが必要で、これら6つのアサーションのいずれかに該当するリスクは重要性が高いといえる。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
また、財務内部統制において、財務に関連した業務を分析しその結果をまとめた文書に対して、その文書の正当性と正確性をチェックする整備評価(以下ウォークスルーともいい、WTとも略す)と文書通りに運用されているかをテストする運用評価の2種類の評価がある。
First, “Basic 4 Documents” of internal control will be described.
The four basic documents are basic documents created for each business process subject to financial internal control. Specifically, a business description, a business flow diagram, an RCM (risk control matrix), a job There is a separation table.
The business description is also called narrative. This is a documented flow of a series of operations from the start of the transaction to the final entry to the general ledger and reporting. Regulatory documents such as personnel regulations and accounting business regulations are higher-level documents of the business description, and the revision affects the business description. The business manual is a sub-document of the business description and is affected by the revision.
The business flow diagram is a visual flowchart of a series of business flows from the start of a transaction to the final entry to the general ledger and reporting. Risk and control are also placed on this flow.
The RCM (Risk Control Matrix) is a summary of internal control activities related to business processes, a summary of the control points to be achieved (assertion), assumed risks, and corresponding internal control activities. It is.
The segregation of duties table is used to check whether there is a duplication of processing by the same person in charge in the flow of business processes, which causes a problem in financial control.
Assertion is a precondition for financial information to be considered as reliable information. Specifically, reality, completeness, attribution of rights and obligations, validity of evaluation, period allocation The six items of adequacy and validity of display are generally used, but it is desirable that they can be customized because there are some changes by each company or audit corporation. In addition, financial risks need to be covered from the viewpoint of assertion, and it can be said that a risk corresponding to one of these six assertions is highly important.
Risk refers to an impediment to assertions assumed in business processes.
Control refers to internal control activities against risks. Control types include preventive and detective.
In addition, in financial internal control, a maintenance evaluation (hereinafter also referred to as a walk-through, also abbreviated as WT) that checks the legitimacy and accuracy of a document that analyzes financial-related work and summarizes the results. There are two types of evaluations: operational evaluations that test whether they are operating as documented.
業務統制の運用テスト負担軽減とIT全般統制の整備コスト負担増加を効果的にバランスさせるには、以下に示す3つの手順で実施する必要がある。
(1)業務統制におけるITシステムを用いた(自動化された)統制の洗い出し。
(2)前記(1)の統制から、重要な統制を選別する。
(3)前記(2)の統制が依存するITシステムの洗い出し。つまり、IT全般統制の対象を決定する。
しかし、業務統制とIT全般統制はそれぞれ実施担当者が異なり、また統制整備の時期も異なるため、IT全般統制におけるITシステムの対象選択時に前述のフィードバック(前記(3)を行うには前記(1)が必要である)を行うには困難なケースが多く、主観的な選択とならざるを得なかった。本実施の形態は、このような状況の場合に利用するものである。
In order to effectively balance the reduction of operational test burden on business control and the increase in maintenance cost burden on IT general control, the following three procedures are required.
(1) Identification of (automated) control using IT system in business control.
(2) Select important controls from the controls in (1) above.
(3) Identify IT systems on which the control in (2) depends. In other words, the target of IT general control is determined.
However, since the person in charge of the business control and the IT general control are different from each other, and the timing of the control maintenance is also different, when the IT system target selection in the IT general control is selected, the above-mentioned feedback ((1 ) Is necessary) in many cases, it has been a subjective choice. This embodiment is used in such a situation.
以下、図面に基づき本発明を実現するにあたっての好適な一実施の形態の例を説明する。
図1は、本実施の形態を実現するにあたってのシステム全体の構成例を示す構成図である。
本システム全体では、業務統制支援サーバー101、IT全般統制支援サーバー102、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106を有しており、それぞれ通信回線であるLAN/WAN199を介して接続されている。
業務統制支援サーバー101は、IT全般統制支援サーバー102と連携して、業務統制管理者端末103又は業務統制文書化作業者端末105の操作者の操作に基づく指示によって、業務統制に関する処理を行う。より具体的には、図2、図4等を用いて後述する。
IT全般統制支援サーバー102は、業務統制支援サーバー101と連携して、IT全般統制管理者端末104又はIT全般統制文書化作業者端末106の操作者の操作に基づく指示によって、業務に用いられているITシステムに関する処理を行う。より具体的には、図2、図4等を用いて後述する。
Hereinafter, an example of a preferred embodiment for realizing the present invention will be described with reference to the drawings.
FIG. 1 is a configuration diagram showing a configuration example of the entire system for realizing the present embodiment.
The entire system includes a business
The business
The IT general
業務統制管理者端末103は、業務統制管理者によって用いられ、業務統制支援サーバー101又は業務統制文書化作業者端末105に対して、業務統制に関する処理を行うように指示する。
IT全般統制管理者端末104は、IT全般統制管理者によって用いられ、IT全般統制支援サーバー102又はIT全般統制文書化作業者端末106に対して、IT全般統制に関する処理を行うように指示する。
業務統制文書化作業者端末105は、業務統制文書化作業者によって用いられ、業務統制支援サーバー101又は業務統制管理者端末103からの指示に基づいて、業務統制用の文書を作成する。そして、その文書を業務統制支援サーバー101に格納する。
IT全般統制文書化作業者端末106は、IT全般統制文書化作業者によって用いられ、IT全般統制支援サーバー102又はIT全般統制管理者端末104からの指示に基づいて、IT全般統制用の文書を作成する。そして、その文書をIT全般統制支援サーバー102に格納する。
The business
The IT general
The business control
The IT general control
図2は、本実施の形態の構成例についての概念的なブロック構成図を示している。
なお、各構成部は、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態における構成部はコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、各構成部は機能にほぼ一対一に対応しているが、実装においては、1構成部を1プログラムで構成してもよいし、複数構成部を1プログラムで構成してもよく、逆に1構成部を複数プログラムで構成してもよい。また、複数構成部は1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1構成部が複数コンピュータで実行されてもよい。なお、一つの構成部に他の構成部が含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)を含む。例えば、データとデータが接続されているとは、データの一部が同一のデータであること、ポインタ又はリンク等で一方が他方を指していること等を表す。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、一つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。
なお、操作者をその文脈に応じて、作成者、検証者、ユーザ等ともいう。
入力という用語は、業務統制管理者端末103、IT全般統制管理者端末104、業務統制文書化作業者端末105、IT全般統制文書化作業者端末106に対する操作者の操作によってデータを受け付けること、各構成部が他の構成部からデータを受け付けること等に用いる。
FIG. 2 is a conceptual block diagram illustrating a configuration example of the present embodiment.
Each component generally refers to components such as software (computer program) and hardware that can be logically separated. Therefore, the component in the present embodiment indicates not only a module in a computer program but also a module in a hardware configuration. Therefore, the present embodiment also serves as an explanation of a computer program, a system, and a method. However, for the sake of explanation, the words “store”, “store”, and equivalents thereof are used. However, when the embodiment is a computer program, these words are stored in a storage device or stored in memory. It is the control to be stored in the device. In addition, each component corresponds to the function almost one-to-one. However, in implementation, one component may be configured by one program, or a plurality of components may be configured by one program. In addition, one component may be composed of a plurality of programs. Further, the plurality of components may be executed by one computer, or one component may be executed by a plurality of computers in a distributed or parallel environment. One component may include other components. In the following, “connection” includes not only physical connection but also logical connection (data exchange, instruction, reference relationship between data, etc.). For example, data being connected to each other means that a part of the data is the same data, that one is pointing to the other by a pointer or a link.
In addition, the system or device is configured by connecting a plurality of computers, hardware, devices, and the like by a communication means such as a network (including one-to-one correspondence communication connection), and the like. The case where it implement | achieves by etc. is also included.
The operator is also referred to as a creator, a verifier, a user, or the like depending on the context.
The term “input” refers to accepting data by an operator's operation on the business
図2に示す本実施の形態の構成例は、IT全般統制支援システム210、業務統制支援システム260を有している。
IT全般統制支援システム210は、優先順位評価部220、評価条件保存部230、評価条件入力部240、優先順位表示部250を有しており、IT全般統制支援サーバー102の一部を構成している。ITシステムの統制を支援するシステムであり、統制の対象となっているITシステムの一部又は全部は、業務統制支援システム260が支援する業務統制における統制の対象ともなっている。そして、IT全般統制支援システム210は、統制の文書化過程で蓄積された情報をパラメータにITシステムの重要度を計算し、IT全般統制の対象候補システムの優先順位付け(ランキング)を行う。また、ランキング計算に用いるパラメータの種類はフェーズ(承認前か否か)に応じて適切なものを選択し、業務統制の整備途中でもランキングを提示する。
The configuration example of the present embodiment illustrated in FIG. 2 includes an IT general
The IT general
業務統制支援システム260は、ITシステムデータ261、業務統制進捗データ262、業務統制文書データ263を有しており、業務統制支援サーバー101の一部を構成している。業務統制を支援するシステムであり、統制の対象となっているものの一部にITシステムが含まれており、そのITシステムはIT全般統制支援システム210による統制の対象ともなっている。つまり、IT全般統制支援システム210、業務統制支援システム260の統制の対象(又は統制の対象の一部)となっているITシステムには共通するものが含まれている。
ITシステムデータ261、業務統制進捗データ262、業務統制文書データ263は、それぞれ優先順位評価部220の業務統制情報取得部221から参照される。ITシステムデータ261は、統制の対象であるITシステムに関する情報を記憶する。業務統制進捗データ262は、業務統制の進捗データを記憶する。業務統制文書データ263は、業務統制における基本4文書を記憶する。
The business
The
評価条件入力部240は、評価条件保存部230と接続されており、評価条件を評価条件保存部230に記憶させる。IT全般統制管理者端末104の操作者であるIT全般統制管理者からの指示(ITシステムの統制の運用テストを実行するにあたっての優先順位を決定するための評価条件)を受け付け、受け付けた評価条件を評価条件保存部230に記憶させる。
評価条件保存部230は、優先順位評価部220から参照され、また、評価条件入力部240と接続されている。評価条件入力部240が受け付けた評価条件を記憶する。そして、その評価条件は優先順位評価部220によって参照される。
The evaluation
The evaluation
優先順位評価部220は、業務統制情報取得部221、統制評価部222、ITシステム順位集計部223を有しており、業務統制支援システム260に記憶されているデータ及び評価条件保存部230を参照する。優先順位評価部220は、業務統制支援システム260が支援する業務統制の運用テストにおける負担を軽減するのに効果的なITシステムから優先的に全般統制の整備を行うようにするために、ITシステムの統制における評価を行い、優先順位を算出するものである。
The
業務統制情報取得部221は、統制評価部222と接続されており、また、業務統制支援システム260のITシステムデータ261、業務統制進捗データ262、業務統制文書データ263を参照する。業務統制情報取得部221は、統制の対象であるITシステムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを取得する。より具体的には、業務統制情報取得部221は、ITシステムデータ261を参照して、統制の対象であるITシステムに関する情報を取得し、また、業務統制進捗データ262を参照して、そのITシステムを統制の対象として含む業務統制の進捗データを取得し、さらに、業務統制文書データ263内のそのITシステムが関与する基本4文書(少なくともRCMを含んでいるものであればよい)を参照して、コントロールとそのコントロールに対応するリスクを取得する。そして、取得したデータを統制評価部222へ渡す。
なお、コントロールには、キーコントロールを含む。キーコントロールとは、主要なコントロールであり、これは業務統制の運用テストの際には行われなければならないものである。
The business control
The control includes key control. Key control is the main control, which must be performed during operational control operational testing.
統制評価部222は、業務統制情報取得部221、ITシステム順位集計部223と接続されている。統制評価部222は、業務統制情報取得部221によって取得されたコントロール及びリスクに基づいて、業務統制の承認前における指標を評価する。より具体的には、統制評価部222は、業務統制情報取得部221によって取得された業務統制の進捗データを用いて、その業務統制整備における統制文書化の承認が行われているか否かを判断する。承認が行われた後であると判断された場合は、業務統制情報取得部221によって取得されたコントロール内のキーコントロールに基づいて、業務統制の承認後におけるそのITシステムの指標を評価する。また、未だ承認が行われていないと判断された場合は、業務統制情報取得部221によって取得されたコントロール及びリスクに基づいて、業務統制の承認前におけるそのITシステムの指標を評価する。そして、評価結果をITシステム順位集計部223へ渡す。
なお、統制評価部222が評価するコントロールに関する指標には、統制頻度、統制の性質、証跡の数のいずれか一つ以上を含み、リスクに関する指標として、リスク評価、リスク分類、重要勘定科目、アサーションのいずれか一つ以上を含む。
The
The control-related indicators evaluated by the
ITシステム順位集計部223は、統制評価部222、優先順位表示部250と接続されている。統制評価部222によって評価された指標に重み付けを行って、ITシステムの統制を実行するにあたっての優先順位を決定するための集計を行う。そして、その集計結果を優先順位表示部250へ渡す。
優先順位表示部250は、優先順位評価部220のITシステム順位集計部223と接続されている。ITシステム順位集計部223による集計結果をIT全般統制管理者端末104に送信する。そして、IT全般統制管理者端末104は集計結果を受け取り、IT全般統制管理者端末104の出力部(例えば、液晶ディスプレイ)に表示し、操作者に提示する。
The IT system
The
図3は、本実施の形態による処理例を示すフローチャートである。
ステップS302では、評価条件入力部240が、IT全般統制管理者端末104の操作者によって選択されたITシステム及びそのITシステムの統制における評価条件を取得する。
ステップS304では、業務統制情報取得部221が、業務統制進捗データ262より業務統制整備におけるプロセスの進捗データを取得する。
ステップS306では、優先順位評価部220が、ステップS304で取得した進捗データが文書化プロセス承認済であるか否かを判断する。文書化プロセス承認済である場合はステップS318へ進み、文書化プロセス未承認である場合はステップS308へ進む。
FIG. 3 is a flowchart showing an example of processing according to this embodiment.
In step S302, the evaluation
In step S <b> 304, the business control
In step S306, the
ステップS308では、業務統制情報取得部221が、業務統制文書データ263より対象としている業務統制のITシステムが関与しているコントロールを取得する。
ステップS310では、業務統制情報取得部221が、業務統制文書データ263よりステップS308で取得したコントロールに対応するリスクを取得する。コントロールと対応しているリスクを取得するために、RCMを参照して決定する。
ステップS312では、統制評価部222が、承認前における指標の評価を行う。
In step S <b> 308, the business control
In step S310, the business control
In step S312, the
ステップS314では、統制評価部222が、ステップS312での評価結果に基づいて各ITシステムのポイント(評価点)を計算する。
ステップS318では、業務統制情報取得部221が、業務統制文書データ263より対象としている業務統制のITシステムが関与しているコントロール内のキーコントロールを取得する。
ステップS320では、統制評価部222が、ステップS318で取得したキーコントロールに基づいて各ITシステムのポイントを計算する。
In step S314, the
In step S318, the business control
In step S320, the
ステップS316では、ITシステム順位集計部223が、ステップS314又はステップS320で計算されたポイントに基づいて、ITシステム別にポイントの集計(合算(重み付けの合算を含む))を行う。
ステップS322では、優先順位評価部220が、全てのプロセスの評価が済んだか否かを判断する。未だ評価が済んでいないプロセスがある場合はステップS304へ戻り、全てのプロセスの評価が済んでいる場合はステップS324へ進む。
ステップS324では、ITシステム順位集計部223が、ITシステムのポイントでソートし、優先順位表示部250が、そのソート結果に基づいて、対象とすべきITシステムの優先順位を表示する。
In step S316, the IT system ranking totaling
In step S322, the
In step S324, the IT system ranking totaling
図4は、IT全般統制支援システム410と業務統制支援システム420の関係例を示す説明図である。
IT全般統制支援システム410は、IT基盤411、ITシステム412を有しており、IT基盤411とITシステム412は接続されている。ITシステム412は複数あってもよく、各ITシステム412はIT基盤411に接続されている。IT基盤411はITシステム412からなっており、IT全般統制の対象である。
FIG. 4 is an explanatory diagram showing an example of the relationship between the IT general
The IT general
業務統制支援システム420は、ITシステム421、コントロール制御部422、リスク制御部423、リスクコントロールマトリックス制御部424を有している。
ITシステム421は、コントロール制御部422と接続されている。ITシステム421はITシステム412と同一のものであり、IT全般統制支援システム410においてはIT基盤411を構成するものであり、業務統制支援システム420においてはコントロール制御部422によってコントロールの制御の対象とされるものである。つまり、ITシステム412(421)は、業務統制のコントロールが依存するシステムであり、かつ、IT全般統制の整備対象のシステムでもある。
コントロール制御部422はITシステム421、リスクコントロールマトリックス制御部424と接続されており、リスク制御部423はリスクコントロールマトリックス制御部424と接続されており、リスクコントロールマトリックス制御部424はコントロール制御部422、リスク制御部423と接続されている。
リスクコントロールマトリックス制御部424は、RCMに基づいて、リスク制御部423によって制御されているリスクに対応するコントロールを特定し、そのコントロールに対するコントロール制御部422による制御を管理する。
The business
The
The
The risk control
図5は、指標例を示す説明図である。つまり、ここでの指標とは、業務統制の運用テストにおける負担を軽減するのに効果的なITシステムを優先的に選択するために用いるものであり、コントロール510に関する指標とリスク550に関する指標がある。
コントロール510に関する指標として、統制の種類(自動)520、統制頻度531、統制の性質(予防・発見)532、証跡の数533、キーコントロール540がある。
統制の種類(自動)520は、本実施の形態においては必須の指標である。つまり、そのコントロールが、統制の種類(自動)520でなければ指標として採用しない。統制の種類としては、(1)マニュアル(人手のみでコントロールのチェックが行われるもの)、(2)IT依存マニュアル(ITシステムによってコントロールのチェックが行われるが、最終的には人手によりチェックされるもの)、(3)ITシステム(そのITシステムのみで自動的にコントロールのチェックを行うもの)、の3種類がある。図5では、指標として統制の種類(自動)520だけであるが、「統制の種類(IT依存マニュアル)」を含めるようにしてもよい。
FIG. 5 is an explanatory diagram illustrating an example of an index. In other words, the index here is used to preferentially select an IT system that is effective in reducing the burden in the operational control operational test, and includes an index related to the
As indices relating to the
The control type (automatic) 520 is an indispensable index in the present embodiment. That is, if the control is not the control type (automatic) 520, it is not adopted as an index. The types of controls are: (1) Manual (controls are checked manually only), (2) IT-dependent manuals (controls are checked by the IT system, but are finally checked manually) (3) IT system (one that automatically checks control only with the IT system). In FIG. 5, only the control type (automatic) 520 is used as an index, but “control type (IT dependent manual)” may be included.
キーコントロール540は、文書化プロセス承認後における指標である。なお、業務統制管理者がキーコントロールか否かを定める。また、統制評価部222が、統制頻度531、統制の性質(予防・発見)532、証跡の数533を全体的に評価して(例えば、コントロール毎に統制頻度531、統制の性質(予防・発見)532、証跡の数533のポイントを集計する)、定めるようにしてもよい。
The
統制頻度531は、そのコントロールがどのような頻度で統制が実施されるかを示す指標である。例えば、随時、週次、月次、年次、などがある。頻度が高いほど重要度が高いコントロールであると判断される。
統制の性質(予防・発見)532は、そのコントロールの性質、つまり、そのコントロールが予防的なものであるか、発見的なものであるかを示す指標である。
証跡の数533は、そのコントロールにおいて、チェックすべき証跡(例えば請求書等の書類等)の数を示す指標である。多いほど重要度が高いコントロールであると判断される。
The
The nature of control (prevention / discovery) 532 is an index indicating the nature of the control, that is, whether the control is preventive or heuristic.
The number of
リスク550に関する指標として、リスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537がある。
リスク評価534は、そのリスクの重要性を示す指標である。例えば、(そのリスクの頻度)×(そのリスクの影響度)等である。
リスク分類(財務・その他)535は、どの分野にかかわるリスクであるかを示す指標である。例えば、J−SOXでは財務にかかわるリスクであることが必要である。
重要勘定科目536は、統制を受けている者(会社を含む)における業務(商売)で重要視している勘定科目である。
アサーション537は、前述のように具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目の観点で、財務リスクを網羅しているかを示す指標である。
また、承認前指標530としては、統制頻度531、統制の性質(予防・発見)532、証跡の数533、リスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537がある。
As indices relating to the
The
The risk classification (finance / others) 535 is an index indicating which field the risk is related to. For example, J-SOX needs to be a financial risk.
The
As described above,
The
図6は、承認前におけるランキング例を示す説明図である。
図6(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C6は1ポイント、コントロールC2、C5は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は1ポイントとなる。業務統制における承認が行われる前(つまり、キーコントロール確定前)は、指標の評価、つまり統制の種類(自動)520、承認前指標530から、各コントロールのポイントを確定する。なお、各システムは、コントロールに依存するITシステムである。また、ここで1ポイントとなっているコントロールは、そのコントロールに対応するリスクの指標が高く、かつ予防的統制であるものである。
これをランキング表示すると、図6(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、2位がSys1、Sys3という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
FIG. 6 is an explanatory diagram showing a ranking example before approval.
As shown in FIG. 6A, each system (Sys1, Sys2, Sys3) has two controls (C1 and C2 for Sys1, C3 and C4 for Sys2, C5 and C6 for Sys3), Since the controls C1, C3, C4, and C6 are 1 point, and the controls C2 and C5 are 0 points, when summed up by system, Sys1 is 1 point, Sys2 is 2 points, and Sys3 is 1 point. Before approval in business control is performed (that is, before key control is determined), each control point is determined from the evaluation of the index, that is, the control type (automatic) 520 and the
When this is displayed as a ranking, as shown in FIG. 6B, the IT system that should be the subject of the control operation test is Sys2, the second is Sys1, and Sys3. This is displayed on the business
図7は、承認済におけるランキング例を示す説明図である。
図7(A)に示すように、各システム(Sys1、Sys2、Sys3)にはコントロールが2つずつあり(Sys1にはC1とC2、Sys2にはC3とC4、Sys3にはC5とC6)、コントロールC1、C3、C4、C5、C6は1ポイント、コントロールC2は0ポイントであるので、これをシステム別に集計すると、Sys1は1ポイント、Sys2は2ポイント、Sys3は2ポイントとなる。ここで1ポイントとなっているコントロールは、キーコントロールであるものである。つまり、承認後はキーコントロールであるか否かだけでポイントの集計を行っている。
これをランキング表示すると、図7(B)に示すように、統制の運用テストの対象とすべきITシステムの1位がSys2、Sys3、2位がSys1という結果になる。これは、優先順位表示部250によって、業務統制管理者端末103に表示される。
なお、図6は承認前でのランキングであるが、図7は同様のシステムに対する承認後のランキングである。つまり、承認後であれば、キーコントロールをいくつ含んでいるかによってランキングを決定できるが、承認前はキーコントロールが不明であるので、それに代替できる指標(統制の種類(自動)520、承認前指標530等)を用いている。つまり、承認前であっても承認後のランキングに近づけるような指標となっている。
FIG. 7 is an explanatory diagram showing an example of ranking in the approved state.
As shown in FIG. 7A, each system (Sys1, Sys2, and Sys3) has two controls (C1 and C2 for Sys1, C3 and C4 for Sys2, C5 and C6 for Sys3), Since the controls C1, C3, C4, C5, and C6 are 1 point and the control C2 is 0 points, if this is totaled by system, Sys1 is 1 point, Sys2 is 2 points, and Sys3 is 2 points. The control that is one point here is a key control. In other words, after approval, points are counted only by whether or not the key control.
When this is displayed as a ranking, as shown in FIG. 7B, the IT system that should be the target of the operation test for the control is Sys2, Sys3, and the second is Sys1. This is displayed on the business
6 shows the ranking before approval, while FIG. 7 shows the ranking after approval for the same system. In other words, after approval, the ranking can be determined depending on how many key controls are included. However, since the key control is unknown before approval, the indicators (control type (automatic) 520, pre-approval indicator 530) can be substituted. Etc.). In other words, the index is such that it is close to the ranking after approval even before approval.
次に、コントロールのポイントの計算例を示す。例えば、指標としてリスク評価534、統制の性質(予防・発見)532の2つを評価の対象に選んだ場合の例を説明する。なお、指標の選択は、評価条件入力部240によって受け付けられたものである。
まず、1番目の計算例を説明する。対象とするコントロールの指標である統制の性質(予防・発見)532が予防的であって、かつリスク評価534の重要性が高い場合に1ポイントとし、それ以外であれば0ポイントとする。
また、2番目の計算例を説明する。リスク評価534の重要性として「高」、「中」、「低」の3段階、統制の性質(予防・発見)532として「予防的」、「発見的」の2種類があるので、これらからポイントを決定するポイント決定表800(図8参照)を予め作成しておく。そして、統制評価部222は、ポイント決定表800を用いて、コントロールの該当するポイントを抽出する。
Next, an example of calculation of control points is shown. For example, an example will be described in which two indicators,
First, the first calculation example will be described. 1 point is given when the control property (prevention / discovery) 532 that is an index of the target control is preventive and the
A second calculation example will be described. There are two types of risk assessment 534: “High”, “Medium”, and “Low”, and the nature of control (prevention / discovery) 532: “Preventive” and “Heuristic”. A point determination table 800 (see FIG. 8) for determining points is created in advance. Then, the
図9、図15を用いて、ランキングのタイミング例を説明する。
図15は、従来技術での統制のタイミング例を示す説明図である。なお、会計年度末1599までに、業務統制運用テスト1502を終了させる必要がある。
業務統制整備1501を業務統制整備開始時期1591に開始し、業務統制整備終了時期1593に終了する。同様に、業務統制運用テスト1502を業務統制運用テスト開始時期1596に開始し、業務統制運用テスト終了時期1597に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、AシステムのIT全般統制1520をIT全般統制整備開始時期1594に開始し、IT全般統制運用テスト終了時期1598に終了する。また、BシステムのIT全般統制1510をIT全般統制整備開始時期1592に開始し、IT全般統制運用テスト終了時期1595に終了する。なお、AシステムのIT全般統制1520は、IT全般統制整備1521とIT全般統運用テスト1522からなり、BシステムのIT全般統制1510はIT全般統制整備1511とIT全般統運用テスト1512からなる。
An example of ranking timing will be described with reference to FIGS.
FIG. 15 is an explanatory diagram showing an example of control timing in the prior art. The business
The
このような場合、BシステムのIT全般統制1510のIT全般統制整備開始時期1592は、業務統制整備1501の最中(すなわち、業務統制整備終了時期1593である統制文書化承認の前の状態)であり、IT全般統制整備1511を行わなければならないので、業務統制整備1501からのフィードバックを受けずに、BシステムのIT全般統制1510のIT全般統制管理者が主観的にシステムを選択しなければならない(図15ではBシステムが選択された)。また、IT全般統制運用テスト終了時期1595は業務統制運用テスト開始時期1596の前であるので、業務統制運用テスト1502の負荷軽減には貢献できる(すなわち、BシステムのIT全般統制1510の結果を業務統制運用テスト1502に適用できる)が、BシステムのIT全般統制1510に無駄が生じる可能性が高い。つまり、IT全般統制整備開始時期1592の時点で、ランキングが低いシステム(図7の例ではSys1)を選択する可能性がある。
In such a case, the IT general control
また、AシステムのIT全般統制1520のIT全般統制整備開始時期1594は業務統制整備終了時期1593の後であるので、統制文書化が完了してから、確定したキーコントロールを基にして対象とするシステムを選択することができる(図15ではAシステムが選択された)。つまり、システム選択の無駄は少なくなる。
しかし、IT全般統制整備1521の終了が業務統制運用テスト1502の業務統制運用テスト開始時期1596に間に合わないことになる。すなわち、ランキングの低いシステムを選択することは無いが、業務統制運用テスト1502の負荷を軽減することはできない。
Since the IT general control
However, the end of the IT
図9は、本実施の形態を用いた場合のランキングのタイミング例を示す説明図である。なお、会計年度末999までに、業務統制運用テスト902を終了させる必要がある。
業務統制整備901を業務統制整備開始時期991に開始し、業務統制整備終了時期994に終了する。同様に、業務統制運用テスト902を業務統制運用テスト開始時期997に開始し、業務統制運用テスト終了時期998に終了する。そして、これらと平行して、別の担当者(IT全般統制管理者)によって、システムのIT全般統制910をIT全般統制整備開始時期992に開始し、IT全般統制運用テスト終了時期996に終了する。なお、システムのIT全般統制910は、IT全般統制整備911とIT全般統制運用テスト912からなる。
FIG. 9 is an explanatory diagram showing an example of ranking timing when the present embodiment is used. The business
The
このような場合、IT全般統制整備911の初期段階のITシステム選択時期993で本実施の形態によるITシステムの選択が行われる。本実施の形態は、図6(B)に示したように、ランキングは1位にSys2 921、2位にSys1 922、Sys3 923を表示する。ここで、IT全般統制管理者は1位のSys2 921を選択してシステムのIT全般統制910を行うように指示する。
そして、業務統制整備901が終了した後(つまり、キーコントロールが確定した後)の期中見直し時期995に、本実施の形態による期中見直し930を行う。この時点では、図7(B)に示したように、ランキングは1位にSys2 931、Sys3 932、2位にSys1 933となっている。この時点で、IT全般統制管理者は1位のSys3 932を、IT全般統制整備911の対象として追加するようにしてもよい。
In such a case, the IT system selection according to the present embodiment is performed at the IT
Then, an
そして、システムのIT全般統制910のIT全般統制運用テスト終了時期996は、業務統制運用テスト902の業務統制運用テスト開始時期997よりも前であるので、業務統制運用テスト902においては、IT全般統制運用テスト912の結果を用いることができる。つまり、ITシステム選択時920での1位であるSys2 921だけを選択した場合は、図10に示すようにコントロールC3とC4の簡略化が可能である。また、期中見直し930によってSys3 932を追加した場合は、図10に示すようにコントロールC3、C4、C5、C6の簡略化が可能である。つまり、ITシステム選択時に上位2システム、つまり、Sys2とSys1の組み合わせ、又はSys2とSys3の組み合わせのいずれか一方を選択し、期中見直し930を行わなかった場合は、コントロールC1、C3、C4、又はC1、C5、C6のいずれか一方が簡略化できるだけであるが、ランキングに応じた期中見直しを行えば、それ以上の簡略化が可能となる。
Since the IT general control operation
図11は、ランキング画面1100の表示例を示す説明図である。優先順位表示部250が、IT全般統制管理者端末104の出力部に表示するものである。IT全般統制管理者端末104の操作者であるIT全般統制管理者は、統制の対象として順位の高いものを選択する。
ランキング画面1100は、ランキング表1110、未承認プロセスを除外チェック欄1120、更新ボタン1130、ダウンロードボタン1140を有している。そして、ランキング表1110は、順位欄1111、システム名欄1112、承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を有している。
順位欄1111とシステム名欄1112は、ITシステム順位集計部223によって集計されたポイントにしたがって対応するITシステムの優先順位を表示するものである。
FIG. 11 is an explanatory diagram illustrating a display example of the
The
The
承認/プロセス欄1113は、承認済みの数とそのITシステムが関与している全てのプロセスの数の比を表示するものである。
Key/Ctrl数欄1114は、そのITシステムが関与している統制におけるキーコントロールとコントロールの比を表示するものである。
IT全般統制対象欄1115は、操作者によってIT全般統制の対象とすべきものが選択される欄である。
未承認プロセスを除外チェック欄1120が操作者の操作によって選択された場合に、未承認プロセスを除外して承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115を表示する。
更新ボタン1130が操作者の操作によって選択された場合に、現時点での順位を表示し直す。
ダウンロードボタン1140が操作者の操作によって選択された場合に、ランキング表1110の内容を帳票の形式(図12参照)でIT全般統制管理者端末104にダウンロードする。
承認/プロセス欄1113、Key/Ctrl数欄1114、IT全般統制対象欄1115に表示するデータは、優先順位表示部250が業務統制情報取得部221、統制評価部222、ITシステム順位集計部223から受け取る。
The approval /
The Key /
The IT general
When the unapproved process
When the
When the
Data to be displayed in the approval /
図12は、帳票1200の例を示す説明図である。図12は、図11に示したダウンロードボタン1140が選択された場合に、ダウンロードされる帳票1200の内容を示している。
帳票1200は、順位欄1201、システム名欄1202、承認欄1203、プロセス名欄1204、Key欄1205、コントロール1206を有している。
順位欄1201、システム名欄1202は、図11に示したランキング表1110の順位欄1111、システム名欄1112と同様である。
承認欄1203は、プロセス名欄1204に表示しているプロセス毎に承認されているか否かを表示する。
プロセス名欄1204は、そのITシステム内のプロセスを表示する。
Key欄1205は、コントロール1206に表示しているコントロール毎にそのコントロールがキーコントロールであるか否かを表示する。
コントロール1206は、コントロールの内容を表示する。
FIG. 12 is an explanatory diagram illustrating an example of a
The
The
The
The
The
The
図13は、設定画面1300の表示例を示す説明図である。評価条件入力部240が、IT全般統制管理者端末104の出力部に表示するものである。IT全般統制管理者端末104の操作者であるIT全般統制管理者は、統制の対象を選択するための評価条件として指標を入力する。
設定画面1300は、設定項目表1310、OKボタン1320、キャンセルボタン1330を有している。
設定項目表1310は、項目欄1311、設定値欄1312を有している。
FIG. 13 is an explanatory diagram illustrating a display example of the
The
The setting item table 1310 has an
項目欄1311は、指標を表示する。設定値欄1312は、その指標に対応する設定値を表示する。
図13に示した例では、項目欄1311に表示するものは、「統制の種類(IT依存マニュアル)」、「プロセス承認前コントロール指標」、「プロセス承認前リスク指標」、「承認前キーコントロール」の4つがある。「統制の種類(IT依存マニュアル)」の他に前述したように「統制の種類(ITシステム)」(図5の統制の種類(自動)520参照)を含めてもよい。また、「プロセス承認前コントロール指標」は、設定値欄1312に図5で示した統制頻度531、統制の性質(予防・発見)532、証跡の数533を表示し、操作者によって選択される。「プロセス承認前リスク指標」は、設定値欄1312に図5で示したリスク評価534、リスク分類(財務・その他)535、重要勘定科目536、アサーション537を表示し、操作者によって選択される。「承認前キーコントロール」は、設定値欄1312に「含む」、「含まない」を表示し、操作者によって選択される。
The
In the example shown in FIG. 13, items displayed in the
OKボタン1320が操作者によって選択されると、評価条件入力部240は設定項目表1310の状態を評価条件保存部230に記憶させる。また、キャンセルボタン1330が同様に選択されると、設定項目表1310の状態を初期化する。
When the
なお、本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図14に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバーとなり得るコンピュータ等である。業務統制情報取得部221、統制評価部222、ITシステム順位集計部223等のプログラムを実行するCPU1401と、そのプログラムやデータを記憶するRAM1402と、本コンピュータを起動するためのプログラム等が格納されているROM1403と、補助記憶装置であるHD1404(例えばハードディスクを用いることができる)と、キーボード、マウス等のデータを入力する入力装置1406と、CRTや液晶ディスプレイ等の出力装置1405と、通信ネットワークと接続するための通信回線インタフェース1407(例えばネットワークインタフェースカードを用いることができる)、そして、それらをつないでデータのやりとりをするためのバス1408により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
Note that the hardware configuration of a computer on which the program according to the present embodiment is executed is a general computer as illustrated in FIG. 14, specifically, a personal computer, a computer that can be a server, or the like. A
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図14に示すハードウェア構成は、一つの構成例を示すものであり、本実施の形態は、図14に示す構成に限らず、本実施の形態において説明した構成部を実行可能な構成であればよい。例えば、一部の構成部を専用のハードウェア(例えばASIC等)で構成してもよく、一部の構成部は外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図14に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
Among the above-described embodiments, the computer program is a computer program that reads the computer program, which is software, in the hardware configuration system, and the software and hardware resources cooperate with each other. Is realized.
Note that the hardware configuration shown in FIG. 14 shows one configuration example, and the present embodiment is not limited to the configuration shown in FIG. 14, and the configuration that can execute the configuration units described in the present embodiment. If it is. For example, some components may be configured with dedicated hardware (eg, ASIC), some components may be in an external system and connected via a communication line, and A plurality of systems shown in FIG. 14 may be connected to each other via a communication line so as to cooperate with each other. In particular, in addition to personal computers, information appliances, copiers, fax machines, scanners, printers, and multifunction machines (image processing apparatuses having two or more functions of scanners, printers, copiers, fax machines, etc.) Etc. may be incorporated.
前記実施の形態においては、本実施の形態の利用時期として、ITシステムの統制における初期選択時期、期中見直し時期を示したが、翌年の整備計画時期等としてもよい。また、業務統制情報取得部221が、業務統制支援システム260の業務統制進捗データ262から業務統制の進捗状況に関する情報を取得し、取得した進捗状況及び本実施の形態の実施時期に応じて、統制評価部222が指標を異ならせて評価するようにしてもよい。つまり、全般統制の進捗状況及びITシステムの統制の実施時期に応じて、統制を行うべきITシステムの優先順位を決定するようにしてもよい。
In the above-described embodiment, the initial selection time in the control of the IT system and the review time during the period are shown as the use time of the present embodiment, but the maintenance plan time in the next year may be used. Further, the business control
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組合せ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
The program described above may be provided by being stored in a recording medium, or the program may be provided by communication means. In that case, for example, the above-described program may be regarded as an invention of a “computer-readable recording medium recording the program”.
The “computer-readable recording medium on which a program is recorded” refers to a computer-readable recording medium on which a program is recorded, which is used for program installation, execution, program distribution, and the like.
The recording medium is, for example, a digital versatile disc (DVD), which is a standard established by the DVD Forum, such as “DVD-R, DVD-RW, DVD-RAM,” and DVD + RW. Standards such as “DVD + R, DVD + RW, etc.”, compact discs (CDs), read-only memory (CD-ROM), CD recordable (CD-R), CD rewritable (CD-RW), etc. MO), flexible disk (FD), magnetic tape, hard disk, read only memory (ROM), electrically erasable and rewritable read only memory (EEPROM), flash memory, random access memory (RAM), etc. It is.
The program or a part of the program may be recorded on the recording medium for storage or distribution. Also, by communication, for example, a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), a wired network used for the Internet, an intranet, an extranet, etc., or wireless communication It may be transmitted using a transmission medium such as a network or a combination of these, or may be carried on a carrier wave.
Furthermore, the program may be a part of another program, or may be recorded on a recording medium together with a separate program. Moreover, it may be divided and recorded on a plurality of recording media. Further, it may be recorded in any manner as long as it can be restored, such as compression or encryption.
101…業務統制支援サーバー
102…IT全般統制支援サーバー
103…業務統制管理者端末
104…IT全般統制管理者端末
105…業務統制文書化作業者端末
106…IT全般統制文書化作業者端末
199…LAN/WAN
210…IT全般統制支援システム
220…優先順位評価部
221…業務統制情報取得部
222…統制評価部
223…ITシステム順位集計部
230…評価条件保存部
240…評価条件入力部
250…優先順位表示部
260…業務統制支援システム
261…ITシステムデータ
262…業務統制進捗データ
263…業務統制文書データ
410…IT全般統制支援システム
411…IT基盤
412…ITシステム
420…業務統制支援システム
421…ITシステム
422…コントロール制御部
423…リスク制御部
424…リスクコントロールマトリックス制御部
DESCRIPTION OF
210 ... IT general
Claims (3)
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての該情報処理システムの優先順位を決定するための集計を行う集計手段
を具備し、
前記取得されたコントロールに関する指標として、該コントロールが予防的なものであるか発見的なものであるかを示す指標である統制の性質を含み、リスクに関する指標として、該リスクの重要性を示す指標であるリスク評価を含み、前記評価手段は、該コントロールに関する指標と該リスクに関する指標の点数を集計することによって前記業務統制の承認前における指標の評価を行い、
前記集計手段は、前記情報処理システムのコントロールに対して、該コントロールの指標である統制の性質が予防的であって、かつ該コントロールに対応するリスクの指標であるリスク評価の重要性が高いコントロールは、高い重み付けを行い、該重み付けした結果を集計し、該集計結果で順位付けを行うことによって優先順位を決定する
ことを特徴とする統制処理システム。 Control risk for acquiring control over the business control related to the information processing system that is the subject of control and the risk corresponding to the control from the storage means storing the document describing the relationship between the control related to the business control and the risk Acquisition means;
Evaluation means for evaluating an index before approval of the business control based on the control and risk acquired by the control / risk acquisition means;
A tally unit that performs tally for weighting the index evaluated by the evaluator and determining the priority of the information processing system in executing control of the information processing system ;
An index indicating the importance of the risk as an index relating to risk, including the nature of the control as an index indicating whether the control is preventive or heuristic as the index regarding the acquired control The evaluation means evaluates the index before the approval of the business control by counting the index of the control and the score of the index of the risk,
The tabulation means is a control in which the nature of the control that is an index of the control is preventive with respect to the control of the information processing system, and the risk evaluation that is an index of the risk corresponding to the control is highly important Is a control processing system characterized in that priority is determined by performing high weighting, totaling the weighted results, and ranking the results .
をさらに具備し、
前記評価手段は、前記判断手段によって承認が行われたと判断された場合は、前記コントロール・リスク取得手段によって取得されたコントロール内のキーコントロールに基づいて、該キーコントロールとなっているコントロールだけの点数を集計することによって、前記業務統制の承認後における指標を評価する
ことを特徴とする請求項1に記載の統制処理システム。 A judgment means for judging whether approval in the business control has been performed or not using progress data of the business control ;
If the evaluation means determines that the approval has been made by the determination means, based on the key control in the control acquired by the control / risk acquisition means, the score of only the control that is the key control 2. The control processing system according to claim 1 , wherein the index after the approval of the business control is evaluated by summing up .
統制の対象である情報処理システムに関連する業務統制に対するコントロール及び該コントロールに対応するリスクを、該業務統制に関するコントロールとリスクの関係を記載した文書を記憶している記憶手段から取得するコントロール・リスク取得手段と、
前記コントロール・リスク取得手段によって取得されたコントロール及びリスクに基づいて、前記業務統制の承認前における指標を評価する評価手段と、
前記評価手段によって評価された指標に重み付けを行って、前記情報処理システムの統制を実行するにあたっての該情報処理システムの優先順位を決定するための集計を行う集計手段
として機能させ、
前記取得されたコントロールに関する指標として、該コントロールが予防的なものであるか発見的なものであるかを示す指標である統制の性質を含み、リスクに関する指標として、該リスクの重要性を示す指標であるリスク評価を含み、前記評価手段は、該コントロールに関する指標と該リスクに関する指標の点数を集計することによって前記業務統制の承認前における指標の評価を行い、
前記集計手段は、前記情報処理システムのコントロールに対して、該コントロールの指標である統制の性質が予防的であって、かつ該コントロールに対応するリスクの指標であるリスク評価の重要性が高いコントロールは、高い重み付けを行い、該重み付けした結果を集計し、該集計結果で順位付けを行うことによって優先順位を決定する
ことを特徴とする統制処理プログラム。 Computer
Control risk for acquiring control over the business control related to the information processing system that is the subject of control and the risk corresponding to the control from the storage means storing the document describing the relationship between the control related to the business control and the risk Acquisition means;
Evaluation means for evaluating an index before approval of the business control based on the control and risk acquired by the control / risk acquisition means;
The index evaluated by the evaluation means is weighted to function as an aggregation means for performing aggregation for determining the priority order of the information processing system in executing the control of the information processing system ,
An index indicating the importance of the risk as an index relating to risk, including the nature of the control as an index indicating whether the control is preventive or heuristic as the index regarding the acquired control The evaluation means evaluates the index before the approval of the business control by counting the index of the control and the score of the index of the risk,
The tabulation means is a control in which the nature of the control that is an index of the control is preventive with respect to the control of the information processing system, and the risk evaluation that is an index of the risk corresponding to the control is highly important Is a control processing program characterized in that priority is determined by performing high weighting, totaling the weighted results, and ranking the results .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007329809A JP5088125B2 (en) | 2007-12-21 | 2007-12-21 | Control processing system and control processing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007329809A JP5088125B2 (en) | 2007-12-21 | 2007-12-21 | Control processing system and control processing program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009151614A JP2009151614A (en) | 2009-07-09 |
JP5088125B2 true JP5088125B2 (en) | 2012-12-05 |
Family
ID=40920691
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007329809A Expired - Fee Related JP5088125B2 (en) | 2007-12-21 | 2007-12-21 | Control processing system and control processing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5088125B2 (en) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6912502B1 (en) * | 1999-12-30 | 2005-06-28 | Genworth Financial, Inc., | System and method for compliance management |
JP2003196435A (en) * | 2001-12-25 | 2003-07-11 | Hitachi Information Systems Ltd | Business flow creation support method and system for it |
JP2003256633A (en) * | 2002-03-05 | 2003-09-12 | Hitachi Ltd | Verification method, verification program and verification system for business flow data |
JP2006110978A (en) * | 2004-12-21 | 2006-04-27 | Dainippon Printing Co Ltd | Integrated assessment control table |
JP2007183807A (en) * | 2006-01-06 | 2007-07-19 | Hitachi Ltd | Business process evaluation system |
JP2007287132A (en) * | 2006-04-19 | 2007-11-01 | Metarisk Inc | Information technology risk management system and its method |
-
2007
- 2007-12-21 JP JP2007329809A patent/JP5088125B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009151614A (en) | 2009-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7478000B2 (en) | Method and system to develop a process improvement methodology | |
JP5218068B2 (en) | Information processing apparatus and information processing program | |
KR101560259B1 (en) | Control items and compliance management system for acceptable general-purpose regulations/rules of information security management system | |
JP2008090758A (en) | Information processing system and information processing program | |
JP2006235872A (en) | Project management apparatus | |
JP4983028B2 (en) | Financial control support program and financial control support system | |
JP5195108B2 (en) | Information processing apparatus and information processing program | |
JP5088125B2 (en) | Control processing system and control processing program | |
JP5157309B2 (en) | Information processing system and information processing program | |
JP5751376B1 (en) | Information processing apparatus and information processing program | |
Nichols et al. | DoD developer’s guidebook for software assurance | |
JP2007183807A (en) | Business process evaluation system | |
JP2007115080A (en) | Management control system, management control method, and management control program | |
JP2011028350A (en) | Information processor and information processing program | |
JP4957704B2 (en) | Information processing apparatus and information processing program | |
JP2008052347A (en) | Document processor and document processing program | |
JP2010287009A (en) | Apparatus and program for processing information | |
JP5787017B1 (en) | Information processing apparatus and information processing program | |
JP2008176769A (en) | Document processor and document processing program | |
Marchetti | Sarbanes-Oxley ongoing compliance guide: Key processes and summary checklists | |
JP2009169641A (en) | Information processor and information processing program | |
JP5397111B2 (en) | Information processing system | |
JP2008234503A (en) | Information processing system and information processing program | |
JP2010044705A (en) | Information processing apparatus and information processing program | |
JP2009042865A (en) | Information processor, information processing program, and information processing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101124 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120517 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120726 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120814 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120827 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150921 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |