JP5751376B1 - 情報処理装置及び情報処理プログラム - Google Patents

情報処理装置及び情報処理プログラム Download PDF

Info

Publication number
JP5751376B1
JP5751376B1 JP2014188524A JP2014188524A JP5751376B1 JP 5751376 B1 JP5751376 B1 JP 5751376B1 JP 2014188524 A JP2014188524 A JP 2014188524A JP 2014188524 A JP2014188524 A JP 2014188524A JP 5751376 B1 JP5751376 B1 JP 5751376B1
Authority
JP
Japan
Prior art keywords
control
audit
company
organization
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014188524A
Other languages
English (en)
Other versions
JP2016062210A (ja
Inventor
林 直樹
直樹 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2014188524A priority Critical patent/JP5751376B1/ja
Priority to US14/609,016 priority patent/US20160078376A1/en
Priority to CN201510166234.8A priority patent/CN106156134A/zh
Application granted granted Critical
Publication of JP5751376B1 publication Critical patent/JP5751376B1/ja
Publication of JP2016062210A publication Critical patent/JP2016062210A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】第1の組織におけるコントロールの実施によって第1の組織の不備が発見された場合に、そのコントロールに対応するリスクと同等のリスクを有する第2の組織に、第1の組織のコントロールを、第2の組織において実施させるようにした情報処理装置を提供する。【解決手段】情報処理装置の指示手段は、第1の組織におけるコントロールの実施によって前記第1の組織の不備が発見された場合に、前記コントロールに対応するリスクと同等のリスクを有し、前記コントロールと同等でないコントロールを採用している第2の組織に前記第1の組織におけるコントロールを実施させるように指示する。【選択図】図1

Description

本発明は、情報処理装置及び情報処理プログラムに関する。
特許文献1には、法人などの組織内部で行われる内部監査に使用されるチェックリストにおけるチェック項目やその内容を再検討し、より適切な内部監査に役立つチェック項目・内容にチェックリストを成熟させていくシステムを提供することを課題とし、演算処理部、情報取得部、情報出力部、データベース等から構成され、複数の各被監査箇所から取得した回答情報における複数のチェック項目からなるチェックリスト中の各チェック項目についてコメントが記載されている数に対する、監査担当者から取得した各チェック項目に対する有効評価の数の割合を有効割合として算出し、有効割合が各チェック項目について予め定められている最低チェック項目有効割合に達していないチェック項目をチェックリストのチェック項目から削除し、当該削除されたチェック項目以外の複数のチェック項目からなる新たなチェックリストを作成することが開示されている。
特許文献2には、複数の企業間で、各企業個別の情報は漏洩することなく、各企業個別の情報から得られる基準となる情報は共有することを課題とし、情報処理システムは、共通記憶領域と、各企業に対して割り当てられる、アクセスが各企業のユーザ端末に制限された個別記憶領域と、を提供する複数のデータベースサーバを有し、情報処理システムは、各企業の個別記憶領域内に格納され、各部門のポイントを保持する部門ポイント記憶手段と、各個別記憶領域を保持するデータベースサーバを検索する検索手段と、各企業について、各個別記憶領域内の部門ポイント記憶手段に保持される各部門のポイントから企業ポイントを算出し、各企業の個別記憶領域に格納する企業ポイント算出手段と、各企業の企業ポイントから情報処理システムにおける基準ポイントを算出し、基準ポイントを共通記憶領域に格納する基準ポイント算出手段と、を備えることが開示されている。
特開2006−285360号公報 特開2013−080299号公報
先行技術においては、組織ごとに内部監査のチェックリストを作成して、そのチェックリストを使用することが行われている。一方で、複数の組織間で、各組織個別の情報から得られる基準となる情報を共有可能としている。
しかし、ある組織におけるコントロールの実施によって組織の不備が発見された場合に、そのコントロールに対応するリスクと同等のリスクを有する他の組織で、コントロールを実施させることはできなかった。
そこで、本発明は、第1の組織におけるコントロールの実施によって第1の組織の不備が発見された場合に、そのコントロールに対応するリスクと同等のリスクを有する第2の組織に、第1の組織のコントロールを、第2の組織において実施させるようにした情報処理装置及び情報処理プログラムを提供することを目的としている。
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、第1組織のコントロールに合致する前記第1組織業務を検知する検知手段と、前記検知手段が前記業務を検知した場合、リスクとコントロールを対応させて記憶している記憶手段を用いて、前記コントロールに対応するリスクと同等のリスクを有し、前記コントロールと同等でないコントロールを採用している第2組織を抽出する抽出手段と、前記第2組織のコントロールを前記第1組織のコントロールに変更する変更手段を具備することを特徴とする情報処理装置である。
請求項2の発明は、前記変更手段は、前記第1組織におけるコントロールが前記第2組織で採用しているコントロールよりも厳格だった場合、前記第2組織のコントロールを前記第1組織におけるコントロールに変更することを特徴とする請求項1に記載の情報処理装置である。
請求項3の発明は、前記第1組織におけるコントロールを前記第2組織で実施できない場合、前記コントロールの内容を通知する通知手段をさらに具備することを特徴とする請求項1または2に記載の情報処理装置である。
請求項4の発明は、前記第1組織におけるコントロールを少なくとも前記第1組織以外の組織に公開する公開手段をさらに具備することを特徴とする請求項1から3のいずれか一項に記載の情報処理装置である。
請求項5の発明は、前記第2組織に前記第1組織におけるコントロールを実施させた場合と前記第2組織に前記第2組織における従来のコントロールを実施させた場合との比較結果を報告する報告手段をさらに具備することを特徴とする請求項1から4のいずれか一項に記載の情報処理装置である。
請求項6の発明は、コンピュータを、第1組織のコントロールに合致する前記第1組織業務を検知する検知手段と、前記検知手段が前記業務を検知した場合、リスクとコントロールを対応させて記憶している記憶手段を用いて、前記コントロールに対応するリスクと同等のリスクを有し、前記コントロールと同等でないコントロールを採用している第2組織を抽出する抽出手段と、前記第2組織のコントロールを前記第1組織のコントロールに変更する変更手段として機能させるための情報処理プログラムである。
請求項1の情報処理装置によれば、前記検知手段が前記業務を検知した場合、リスクとコントロールを対応させて記憶している記憶手段を用いて、前記コントロールに対応するリスクと同等のリスクを有し、前記コントロールと同等でないコントロールを採用している第2組織を抽出することができる。
請求項2の情報処理装置によれば、第1組織におけるコントロールが第2組織で採用しているコントロールよりも厳格だった場合、第2組織のコントロールを前記第1組織におけるコントロールに変更することができる。
請求項3の情報処理装置によれば、第1組織におけるコントロールを第2組織で実施できない場合、そのコントロールの内容を通知することができる。
請求項4の情報処理装置によれば、不備が発見されたコントロールを少なくとも第1組織以外の組織に公開することができる。
請求項5の情報処理装置によれば、第2組織第1組織におけるコントロールを実施させた場合と第2組織第2組織における従来のコントロールを実施させた場合との比較結果を報告することができる。
請求項6の情報処理プログラムによれば、前記検知手段が前記業務を検知した場合、リスクとコントロールを対応させて記憶している記憶手段を用いて、前記コントロールに対応するリスクと同等のリスクを有し、前記コントロールと同等でないコントロールを採用している第2組織を抽出することができる。
本実施の形態の構成例についての概念的なモジュール構成図である。 本実施の形態を実現する場合のシステム構成例を示す説明図である。 本実施の形態を実現する場合のシステム構成例を示す説明図である。 本実施の形態による処理例を示すフローチャートである。 本実施の形態による処理例を示すフローチャートである。 対象コントロール・代替コントロール対応テーブルのデータ構造例を示す説明図である。 本実施の形態による処理例を示すフローチャートである。 コントロール・厳しさ度対応テーブルのデータ構造例を示す説明図である。 本実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
以下、図面に基づき本発明を実現するにあたっての好適な一実施の形態の例を説明する。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という意味を有する記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。なお、ここでの記憶装置としては、ハードディスク、RAM(Random Access Memory)、外部記憶媒体、通信回線を介した記憶装置、CPU(Central Processing Unit)内のレジスタ等を含んでいてもよい。
本実施の形態は、ISO(International Organization for Standardization、国際標準化機構、具体的には、ISO27001等)、ISMS(Information Security Management System、情報セキュリティマネジメントシステム)等で定められた評価において、組織で発生し得るリスクに適したコントロールを割り与えるものである。
内部統制を行うためには、基本文書として、RCM(リスク・コントロール・マトリックス)等を作成する必要がある。RCMとは、組織における業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、評価、権利と義務、期間/配分、表示の6項目が一般的には使用されるが、各社また監査法人により一部変更があるため、カスタマイズされ得る。リスクとは、組織目標の達成を阻害する要因のことをいい、具体的には、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。コントロールとは、リスクを軽減するための内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。組織とは、内部統制を適用する対象であって、例えば、企業、会社、部門等があり、以下、会社を例示して説明する。また、サンプリング(数)とは、コントロールの評価(運用テスト、以下、単にテストともいう)で用いられる用語で、一部の項目に対する検証から得た結果をもって全体の特性を評価する手続きをいう。母集団とは、サンプリングのテスト対象を無作為抽出法で抽出する元となる全体のことを指す。証跡とは、証拠となるような痕跡をいう。
本実施の形態である監査システム100は、内部統制としての監査を実施するものであって、図1の例に示すように、監査システム管理者端末105、情報処理装置110を有している。情報処理装置110は、臨時監査対象判定モジュール115、監査実施モジュール120、監査結果報告モジュール125、監査方法管理モジュール130、監査スケジュール管理モジュール135、監査結果DB140を有している。
監査システム100は、通信回線を介して接続されているA社業務システム170A、B社業務システム170Bから使用されるものである。監査システム100は、例えば、不備発見を契機とする臨時監査機能を持つ監査サービスを行う。つまり、ある組織でコントロールの実施によって組織の不備を発見した場合、その組織で実施していたコントロールを他の会社に適用するという臨時監査を実施するものである。
対象とする組織として、A社、B社等の例を用いて説明するが、監査が行われる主体であればよく、会社以外の組織であってもよい。例えば、会社内の部門等であってもよい。また、A社、B社は、関連会社等の関係を有していてもよいし、独立した組織であって、互いに関係がないものであってもよい。
A社業務システム170Aは、A社業務プロセス管理者端末175A、A社統制責任者端末180A、A社証跡登録者端末185A、A社業務プロセスDB190A、A社証跡DB195Aを有している。B社業務システム170Bは、B社業務プロセス管理者端末175B、B社統制責任者端末180B、B社証跡登録者端末185B、B社業務プロセスDB190B、B社証跡DB195Bを有している。A社業務システム170AとB社業務システム170Bは、同等のシステム構成であるが、完全同一である必要はなく、監査システム100との関係において同等の機能を有していればよい。
業務プロセスDB190は、業務プロセス管理者端末175、統制責任者端末180、証跡DB195、監査システム管理者端末105、情報処理装置110の臨時監査対象判定モジュール115、監査実施モジュール120、監査方法管理モジュール130と接続されている。業務プロセスDB190には、業務を実行するプロセス、そのプロセスに生じるリスク、リスクの顕在化を防ぐためのコントロールの情報が保持されている。また、そのプロセスの実行者や承認者、コントロールの実行者や承認者の情報も保持されていてもよい。
業務プロセス管理者端末175は、業務プロセスDB190と接続されている。業務プロセス管理者端末175は、業務プロセスDB190中のデータの登録、編集、削除の権限を持つ業務プロセス管理者が、これらの操作を行うための端末である。
証跡DB195は、統制責任者端末180、証跡登録者端末185、業務プロセスDB190、情報処理装置110の監査実施モジュール120と接続されている。証跡DB195には、コントロールを実行した証跡が保持されている。
証跡登録者端末185は、証跡DB195と接続されている。証跡登録者端末185は、証跡DB195に証跡を登録する権限を持つ証跡登録者が、登録操作を行うための端末である。
統制責任者端末180は、業務プロセスDB190、証跡DB195、情報処理装置110の監査結果報告モジュール125と接続されている。統制責任者端末180は、業務プロセスの統制責任者の端末である。業務プロセスDB190と証跡DB195が保持する情報を表示することで、統制の状況を確認できる。また、後述する監査システム100から送られてくる報告を表示することができる。
監査スケジュール管理モジュール135は、監査システム管理者端末105、臨時監査対象判定モジュール115、監査実施モジュール120と接続されている。監査スケジュール管理モジュール135は、各社の監査スケジュールを保持し、これに応じて、後述する監査実施モジュール120に監査を実施させる機能を持つ。
通常監査のスケジュールは、後述する監査システム管理者端末105を介して、監査システム管理者の操作に応じて、登録、編集、削除等が行われる。また、臨時監査のスケジュールは、後述する臨時監査対象判定モジュール115によって登録される。
本機能では、1件の監査スケジュールは次の属性を1組として表現される。
・スケジュールIDは、監査システム100内で監査スケジュールを一意に区別するためのデータである。
・対象会社は、監査対象とする会社を示すデータである。
・開始日時は、監査を開始する日時データである。
・終了日時は、監査が終了した日時データである。
・実施状態は、監査の実施の状態を示す。「開始前」、「実施中」、「実施済」のいずれかを示す値である。
・監査種別は、監査の種別を示す。「通常」、「臨時」のいずれかを示す値である。
・対象コントロールは、監査の対象となるコントロールを示すデータである。本実施の形態では、単値(つまり、1つの監査スケジュールで監査するコントロールは1つ)である。
・代替コントロールは、監査種別が「臨時」のときに設定される。対象コントロールを入れ替えるコントロールを示すデータである。本実施の形態では、単値(つまり、1つの監査スケジュールで監査するコントロールは1つ)である。
・監査方法は、コントロールに対する監査方法を示すデータである。後述する監査方法管理モジュール130が管理する監査方法IDが属性値として設定される。
監査方法管理モジュール130は、監査システム管理者端末105、監査実施モジュール120、A社業務システム170AのA社業務プロセスDB190A、B社業務システム170BのB社業務プロセスDB190Bと接続されている。監査方法管理モジュール130は、コントロールに対して、証跡を利用してどのように監査を行うかを管理する機能を持つ。監査方法の登録、編集、削除等は、後述する監査システム管理者端末105を介して、監査システム管理者の操作に応じて行う。
監査実施モジュール120は、監査システム管理者端末105、臨時監査対象判定モジュール115、監査結果報告モジュール125、監査方法管理モジュール130、監査スケジュール管理モジュール135、監査結果DB140、A社業務システム170AのA社業務プロセスDB190A、A社証跡DB195A、B社業務システム170BのB社業務プロセスDB190B、B社証跡DB195Bと接続されている。監査実施モジュール120は、A社業務システム170Aからの送信されてきた情報から、A社におけるコントロールの実施によってA社の不備を発見したことを検知する。そして、監査実施モジュール120は、不備の発見を検知した際、B社がA社のコントロールに対応するリスクと同等のリスクを有し、B社の該リスクに対応するコントロールが、A社のコントロールと同等でない場合に、B社に、A社のコントロールを、B社において実施させるように、B社業務システム170Bに対して指示する。B社において、別の観点から臨時の監査が実施され、B社では今まで気づいていなかった可能性がある問題点を見つけることとなる。
また、「同等のリスク」とは、もちろんのことながら完全同一のリスクを含み、類似するリスクを含む。類似するリスクか否かは、類似するリスク同士を定義したテーブルを予め用意しておき、それを利用して判断してもよい。「同等コントロール」とは、もちろんのことながら完全同一のコントロールを含み、類似するコントロールを含む。類似するコントロールか否かは、類似するコントロール同士を定義したテーブルを予め用意しておき、それを利用して判断してもよい。
また、監査実施モジュール120は、A社におけるリスクに対応するコントロールがB社における前記リスクに対応するコントロールよりも厳格だった場合、A社のコントロールをB社において実施させるように、B社業務システム170Bに対して指示するようにしてもよい。
具体的に説明する。
監査実施モジュール120は、監査スケジュール管理モジュール135中の1つの監査スケジュールに応じて、各社の業務プロセス情報と証跡情報と、監査方法管理モジュール130に保持された監査方法を用いて、各社の監査を実施する。監査結果は、後述する監査結果DB140に保持させる。なお、ここで「監査を実施」の方法として、コンピュータ・プログラム(スクリプト)を用いて実施してもよいし、コンピュータ・プログラムが用意されていない場合は、対象となる組織の統制責任者へ実施する旨の通知(電子メール等)を行うようにしてもよい。
A.監査スケジュールの監査種別が「通常」の場合: 対象会社の業務プロセスに存在する対象コントロールに、監査方法を適用して監査を実施する。通常監査によってコントロールの実施により対象会社の不備が発見された場合は、後述する臨時監査対象判定モジュール115に、臨時監査の対象となる会社とコントロールを判定させる。
B.監査スケジュールの監査種別が「臨時」の場合: 対象会社の業務プロセスに存在する対象コントロールを代替コントロールに置き換えた統制を、対象会社の業務プロセス情報と証跡情報を使用して実行ないしシミュレーションし、得られた結果に監査方法を適用して監査を実施する。
臨時監査対象判定モジュール115は、監査システム管理者端末105、監査実施モジュール120、監査スケジュール管理モジュール135、A社業務システム170AのA社業務プロセスDB190A、B社業務システム170BのB社業務プロセスDB190Bと接続されている。
臨時監査対象判定モジュール115は、監査実施モジュール120によって、ある会社の通常監査でコントロールの実施によって会社の不備が発見されたときに、臨時監査を行うべき他社のコントロールを判定する機能を持つ。
本実施の形態では、ある会社Yで、
1.不備が発見された会社XのコントロールCxが対処しようとしたリスクと同じリスクが存在、かつ、
2.そのリスクの対応は、Cxとは異なったコントロールCyで対処しようとしている場合を、臨時監査対象とする。
臨時監査対象が見つかった場合、前記監査スケジュール管理モジュール135に監査スケジュールを次のように登録する。
・対象会社:会社Y
・開始日時:<システムが監査を即時実行できる日時>
・監査種別:「臨時」
・対象コントロール:Cy
・代替コントロール:Cx
この登録にしたがって監査実施モジュール120が監査を実施する。
監査結果DB140は、監査システム管理者端末105、監査実施モジュール120、監査結果報告モジュール125と接続されている。監査結果DB140は、監査実施モジュール120が実施した各社の監査の結果を保持する機能を持つ。監査結果は、スケジュールIDと紐付けて(関連付けて)保持される。新しい監査結果が登録されたならば、監査結果報告モジュール125にそれを通知する。
監査結果報告モジュール125は、監査システム管理者端末105、監査実施モジュール120、監査結果DB140、A社業務システム170AのA社統制責任者端末180A、B社業務システム170BのB社統制責任者端末180Bと接続されている。監査結果報告モジュール125は、臨時監査対象判定モジュール115がコントロールの実施によって組織の不備の発見を検知した場合に、不備を発見したコントロール(A社において不備が発見されたコントロール)を少なくともA社以外の組織に(例えば、B社のB社業務システム170B等に対して)公開する。なお、「A社以外の組織」は1つ以上あればよい。
具体的に説明する。
監査結果報告モジュール125は、監査対象となった会社の統制管理者へ、その会社の監査結果を報告する機能を持つ。監査結果には通常監査の結果と、臨時監査の結果がある。監査結果DB140からの通知を契機として結果報告を実施する。結果報告を受け取った各会社の統制責任者は、代替コントロールとその効果について検討し得る。
監査システム管理者端末105は、臨時監査対象判定モジュール115、監査実施モジュール120、監査結果報告モジュール125、監査方法管理モジュール130、監査スケジュール管理モジュール135、監査結果DB140、A社業務システム170AのA社業務プロセスDB190A、B社業務システム170BのB社業務プロセスDB190Bと接続されている。監査システム管理者端末105は、監査システムの管理者のための端末であり、前述した各機能に対する設定や処理状況確認ができる機能を持つ。
図2は、本実施の形態を実現する場合のシステム構成例を示す説明図である。
図2は、図1の例に示した監査システム100を監査クラウドサービス200として実現した場合の例を示すものである。監査クラウドサービス200、A社業務システム170A、B社業務システム170B、C社業務システム170Cは、通信回線290を介して接続されている。通信回線290は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット等であってもよい。
前提として、以下のようになっている。例えば、同じリスクに、各社(A社業務システム170A、B社業務システム170B、C社業務システム170C)で異なるコントロールを適用している場合がある。そして、監査クラウドサービス200では、同じリスクへのコントロールを、臨時監査候補としている。例えば、同種のコントロールは候補から外すようにしてもよい。
ここで、図2では、不備を発見したA社のコントロールを、他の会社に適用させて臨時に監査する例を示している。
Step1では、A社業務システム170Aにおいて、不備を発見する。
Step2では、A社業務システム170Aが監査クラウドサービス200に対して、不備の報告を行う。
Step3では、監査クラウドサービス200は、他の会社に臨時監査すべきかを判断する。
Step4では、監査クラウドサービス200は、対象と判断したB社業務システム170B、C社業務システム170Cに対して、臨時監査の指示を行う。
Step5では、B社業務システム170B、C社業務システム170Cは、それぞれ指示にしたがい、臨時監査を実施する。
図3は、本実施の形態を実現する場合のシステム構成例を示す説明図である。図2に示すシステム構成例では、監査システム100を監査クラウドサービス200として実現したが、各社が情報処理装置110を有しており、各情報処理装置110が互いに通信を行って、他社の情報処理装置110(又は監査システム管理者端末105)に対して、臨時監査すべき指示を行うようにしてもよい。
各社において、監査システム管理者端末105、情報処理装置110、業務プロセス管理者端末175、統制責任者端末180、証跡登録者端末185、業務プロセスDB190、証跡DB195は、社内用通信回線380を介してそれぞれ接続されている。社内用通信回線380は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのイントラネット等であってもよい。
社内用通信回線380A、社内用通信回線380B、社内用通信回線380Cは、通信回線390を介してそれぞれ接続されている。通信回線390は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット等であってもよい。
図4は、本実施の形態による処理例を示すフローチャートである。図4の例に示すフローチャートは、通常監査の監査スケジュールが監査開始日時になったときの処理を示す。図5、図7の例に示すフローチャートは、図4の例に示すフローチャートに含まれる臨時監査(ステップS408の処理)のサブフローを示している。
ステップS400では、通常監査を開始する。
ステップS402では、起動された監査スケジュールに設定された会社(X社とする)と対象コントロール(Cxとする)について、実施された監査の結果を受け付ける。
ステップS404では、Cxの実施によって不備を発見したか否かを判断し、不備を発見した場合はステップS408へ進み、それ以外の場合はステップS406へ進む。
ステップS406では、監査結果としてCxの実施によって不備を発見しなかったことを記録する。
ステップS408では、Cxを契機とする臨時監査を行う。
ステップS410では、監査結果としてCxの実施によって不備を発見したことを記録する。
ステップS412では、X社の統制責任者へ監査結果を報告する。
ステップS499では、通常監査を終了する。
図5は、本実施の形態による処理例(図4の例に示すフローチャートのステップS408の処理例)を示すフローチャートである。
ステップS500では、Cxを契機とする臨時監査を開始する。
ステップS502では、Cxで顕在化を防ごうとしたリスクRxを、X社の業務プロセスDBから見つける。
ステップS504では、臨時監査の要否が未判定の会社が残っているか否かを判断し、残っている場合はステップS508へ進み、それ以外の場合はステップS506へ進む。
ステップS506では、Cxを契機とする臨時監査を終了する。
ステップS508では、未判定の会社から1つを選ぶ。(Y社とする)
ステップS510では、リスクRxと同じリスクがY社にあるか否かを判断し、ある場合はステップS512へ進み、それ以外の場合はステップS514へ進む。
ステップS512では、Y社のリスクに対応するY社のコントロールCyは、Cxと同じであるか否かを判断し、同じである場合はステップS514へ進み、それ以外の場合はステップS516へ進む。
ステップS514では、Y社を判定済みとする。
ステップS516では、Y社のCyをCxに入れ替えて、Y社の業務プロセスと証跡に基づいてY社で実施された監査の結果を受け付ける。例えば、対象コントロール・代替コントロール対応テーブル600を用いて、通常監査と臨時監査を使い分けるようにしてもよい。図6は、対象コントロール・代替コントロール対応テーブル600のデータ構造例を示す説明図である。対象コントロール・代替コントロール対応テーブル600は、列方向にX社欄610、Y社欄620を、行方向に対象コントロール欄630(通常監査におけるコントロールであって、同じリスクを有しているコントロール)、代替コントロール欄640(臨時監査におけるコントロール)を有している。ここで、列方向のX社欄610は、X社(通常監査によって、不備を発見した会社)におけるコントロールを示している。したがって、代替コントロールは不要である。列方向のY社欄620は、Y社(臨時監査を行う会社)におけるコントロールを示している。Y社における通常監査におけるコントロールはCyであって、CxとCyは同じリスクを有しているので、互いに対象コントロールの関係となる(対象コントロール欄630参照)。したがって、臨時監査を行うY社においては、Cyの代替コントロールとしてCxを実施することとなる。
ステップS518では、監査でCyの実施によって問題が見つかったか否かを判断し、見つかった場合はステップS520へ進み、それ以外の場合はステップS514へ進む。
ステップS520では、Y社の統制責任者へ臨時監査結果を報告する。
なお、ステップS502〜S514の処理は、臨時監査対象の判定部分である。そして、ステップS516〜S520の処理は、臨時監査の実施部分である。
図7は、本実施の形態による処理例(図4の例に示すフローチャートのステップS408の処理例)を示すフローチャートである。
ステップS700では、Cxを契機とする臨時監査を開始する。
ステップS702では、Cxで顕在化を防ごうとしたリスクRxを、X社の業務プロセスDBから見つける。
ステップS704では、臨時監査の要否が未判定の会社が残っているか否かを判断し、残っている場合はステップS708へ進み、それ以外の場合はステップS706へ進む。
ステップS706では、Cxを契機とする臨時監査を終了する。
ステップS708では、未判定の会社から1つを選ぶ。(Y社とする)
ステップS710では、リスクRxと同じリスクがY社にあるか否かを判断し、ある場合はステップS712へ進み、それ以外の場合はステップS716へ進む。
ステップS712では、Y社のリスクに対応するY社のコントロールCyは、Cxと同じであるか否かを判断し、同じである場合はステップS716へ進み、それ以外の場合はステップS714へ進む。
ステップS714では、「Cxの厳しさ度(厳格さ)<Cyの厳しさ度(厳格さ)」であるか否かを判断し、「Cxの厳しさ度<Cyの厳しさ度」である場合はステップS716へ進み、それ以外の場合はステップS718へ進む。なお、コントロールの厳格さについては、コントロール・厳しさ度対応テーブル800を用いるようにしてもよい。不備が発見された時点で、同種でより厳しいコントロールを実施している組織は、臨時監査が実施されず、監査のコストを無駄に増やすことがなくなる。図8は、コントロール・厳しさ度対応テーブル800のデータ構造例を示す説明図である。コントロール・厳しさ度対応テーブル800は、コントロール欄810、厳しさ度欄820を有している。コントロール欄810は、コントロールを記憶している。厳しさ度欄820は、そのコントロールの厳格さを記憶している。例えば、数値が大きいことは厳格さが上位であることを示している。もちろんのことながら、逆の関係(順位が上位である方(数値が小である方)が厳格さが上位である)であってもよい。図8に示した例では、Cxの厳しさ度は3であり、Cyの厳しさ度は2であるので、CxはCyよりも厳格であることを示している。なお、コントロールの厳格さは、コントロール間の包含関係で規定してもよい。例えば、コントロールAがコントロールBを含む場合は、コントロールBはコントロールAよりも厳格であることを示している。
ステップS716では、Y社を判定済みとする。
ステップS718では、Y社のCyをCxに入れ替えて、Y社の業務プロセスと証跡に基づいてY社で実施された監査の結果を受け付ける。
ステップS720では、監査でCyの実施によって問題が見つかったか否かを判断し、見つかった場合はステップS722へ進み、それ以外の場合はステップS716へ進む。
ステップS722では、Y社の統制責任者へ臨時監査結果を報告する。
なお、ステップS702〜S716の処理は、臨時監査対象の判定部分である。そして、ステップS718〜S722の処理は、臨時監査の実施部分である。
なお、第1の組織におけるコントロールを第2の組織で実施できない場合、そのコントロールの内容を通知するようにしてもよい。具体的には、臨時監査を行わなければならないと判断された会社や組織にあって、監査実施モジュール120によるコントロールの適用が自動的に実施できない場合は、その対象となる会社や組織の統制責任者へコントロールの適用を勧告する通知を行うようにしてもよい。より具体的な例を、以下の(事例1の派生例)に示す。これによって、即時に臨時の監査が行えない場合でも、統制責任者へは問題点が周知され、コントロールを見直す契機が与えられることとなる。
以下に具体的な事例を示す。
(事例1)
不正取引発生のリスクに対するコントロールとして、以下のものを各社は採用している。
・A社:取引伝票の回付日時と受領日時の履歴確認
このコントロールの実施は、日時記載欄に入力された時刻データの順序関係および「未来の日時」の有無を自動的にチェックするスクリプトによって行う。
・B社とC社:取引伝票の承認印の確認
このコントロールの実施は、伝票上の印影の画像を認識するスクリプトによって行う。
以下のような処理が行われる。
(1)A社で履歴に問題がある伝票を発見する。
(2)監査クラウドサービス200にA社の会社IDと、問題を見つけたコントロールを通知する。
(3)B社とC社が同じリスクに異なるコントロールを用いているので、両社を臨時監査することに決定する
(4)A社の監査方法を実行するためのスクリプトを生成し、B社とC社へ送付する。
(5)B社とC社において、(4)で送付されたスクリプトを実行し、実行結果をB社とC社の統制責任者へ通知する。
(事例1の派生例)
事例1で示した各社のコントロールは同じである。B社におけるコントロールの実施で問題が見つかったが、A社のシステムには画像認識機能がない場合について、以下に説明する。例えば、画像認識機能にはスキャナが必要であるが、A社にはそのスキャナがない場合等が該当する。
以下のような処理が行われる。
(1)B社で承認印がない伝票を発見する。
(2)監査クラウドサービス200にB社の会社IDと、問題を見つけたコントロールを通知する。
(3)A社が同じリスクに異なるコントロールを用いているので、A社を臨時監査することに決定する。
(4)B社の監査方法を実行するためのスクリプトを生成し、A社へ送付する。
(5)A社ではスクリプトを実行できないので、コントロール内容をA社の統制責任者へ通知して、コントロールの手動実行を勧告する通知を行う。
(事例2)
職場安全衛生に関し、災害Xが発生するリスクに対するコントロールとして、以下のものを各社は採用している。
・A社とB社:職場メンバーへのチェックリストの定期的な配付と、回答データの確認
このコントロールの実施は、回答にNG(不適格)があるか否かを自動でチェックするスクリプトによって行う。
・C社:災害Xにかかわるヒヤリ・ハット登録の増加件数の定期的な確認
このコントロールの実施は、一定件数を下回っているかを自動でチェックするスクリプトによって行う。
以下のような処理が行われる。
(1)A社で回答にNGがつく。
(2)監査クラウドサービス200にA社の会社IDと、問題を見つけたコントロールを通知する。
(3)C社が同じリスクに異なるコントロールを用いているので、C社を臨時監査することに決定する。
(4)チェックリストの項目と配付対象メンバーの定義をC社に送付して、臨時監査を指示する。
(5)C社でチェックリストを配付し、回答結果をC社の統制責任者へ通知する。
(事例2の派生例)
事例2で示した各社のコントロールは同じである。同種のコントロールに対する臨時監査の判定を、コントロールの実施の厳しさに応じて判定するものである。
・A社は回答がNGの項目には追加コメントを記載している。
・B社は回答がOK/NGに関わらず、回答担当者が証拠の写真を撮影して添付し、他の職場のメンバーが撮影箇所と日時を保証する署名を写真に付与している。
・コントロールの実施の厳しさ「A社<B社」という関連情報を監査クラウドサービス200側で保持している。
このような場合、以下のような処理が行われる。
・A社で回答にNGがついた場合は、B社で臨時監査は実施しない。
・B社で回答にNGがついた場合は、A社で臨時監査を実施する。このとき、B社と同じ方法をA社で一定期間続ける。
なお、本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図9に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバとなり得るコンピュータ等である。つまり、具体例として、処理部(演算部)としてCPU901を用い、記憶装置としてRAM902、ROM903、HD904を用いている。HD904として、例えばハードディスク、SSD(Solid State Drive)を用いてもよい。臨時監査対象判定モジュール115、監査実施モジュール120、監査結果報告モジュール125、監査方法管理モジュール130、監査スケジュール管理モジュール135等のプログラムを実行するCPU901と、そのプログラムやデータを記憶するRAM902と、本コンピュータを起動するためのプログラム等が格納されているROM903と、補助記憶装置(フラッシュメモリ等であってもよい)であるHD904と、キーボード、マウス、タッチパネル等に対する利用者の操作に基づいてデータを受け付ける受付装置906と、CRT、液晶ディスプレイ等の出力装置905と、ネットワークインタフェースカード等の通信ネットワークと接続するための通信回線インタフェース907、そして、それらをつないでデータのやりとりをするためのバス908により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図9に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図9に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えば特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図9に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
なお、臨時の監査を実施するときに、臨時に適用するコントロールと、その組織で従来適用してきたコントロールとを、ある特定の期間に対して適用して監査するようにしてもよい。そして、それらの監査結果を比較して統制責任者(特に、第2の組織における統制責任者)へ報告する。比較により顕著な差が認められる場合は、臨時監査に用いたコントロールへの差し替え又は併用を勧告する内容を報告に含めるようにしてもよい。つまり、統制責任者に対して、今後適用すべきコントロールとしてどちらが適切であるかを判断し得るような情報を提供している。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通等のために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digital)メモリーカード等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、又は無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、又は別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して記録されていてもよい。また、圧縮や暗号化等、復元可能であればどのような態様で記録されていてもよい。
100…監査システム
105…監査システム管理者端末
110…情報処理装置
115…臨時監査対象判定モジュール
120…監査実施モジュール
125…監査結果報告モジュール
130…監査方法管理モジュール
135…監査スケジュール管理モジュール
140…監査結果DB
170…業務システム
175…業務プロセス管理者端末
180…統制責任者端末
185…証跡登録者端末
190…業務プロセスDB
195…証跡DB
200…監査クラウドサービス
290…通信回線
380…社内用通信回線
390…通信回線

Claims (6)

  1. 第1組織のコントロールに合致する前記第1組織業務を検知する検知手段と、
    前記検知手段が前記業務を検知した場合、リスクとコントロールを対応させて記憶している記憶手段を用いて、前記コントロールに対応するリスクと同等のリスクを有し、前記コントロールと同等でないコントロールを採用している第2組織を抽出する抽出手段と、
    前記第2組織のコントロールを前記第1組織のコントロールに変更する変更手段
    を具備することを特徴とする情報処理装置。
  2. 前記変更手段は、前記第1組織におけるコントロールが前記第2組織で採用しているコントロールよりも厳格だった場合、前記第2組織のコントロールを前記第1組織におけるコントロールに変更する
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記第1組織におけるコントロールを前記第2組織で実施できない場合、前記コントロールの内容を通知する通知手段
    をさらに具備することを特徴とする請求項1または2に記載の情報処理装置。
  4. 前記第1組織におけるコントロールを少なくとも前記第1組織以外の組織に公開する公開手段
    をさらに具備することを特徴とする請求項1から3のいずれか一項に記載の情報処理装置。
  5. 前記第2組織に前記第1組織におけるコントロールを実施させた場合と前記第2組織に前記第2組織における従来のコントロールを実施させた場合との比較結果を報告する報告手段
    をさらに具備することを特徴とする請求項1から4のいずれか一項に記載の情報処理装置。
  6. コンピュータを、
    第1組織のコントロールに合致する前記第1組織業務を検知する検知手段と、
    前記検知手段が前記業務を検知した場合、リスクとコントロールを対応させて記憶している記憶手段を用いて、前記コントロールに対応するリスクと同等のリスクを有し、前記コントロールと同等でないコントロールを採用している第2組織を抽出する抽出手段と、
    前記第2組織のコントロールを前記第1組織のコントロールに変更する変更手段
    として機能させるための情報処理プログラム。
JP2014188524A 2014-09-17 2014-09-17 情報処理装置及び情報処理プログラム Expired - Fee Related JP5751376B1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014188524A JP5751376B1 (ja) 2014-09-17 2014-09-17 情報処理装置及び情報処理プログラム
US14/609,016 US20160078376A1 (en) 2014-09-17 2015-01-29 Information processing apparatus, non-transitory computer readable medium, and information processing method
CN201510166234.8A CN106156134A (zh) 2014-09-17 2015-04-09 信息处理装置和信息处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014188524A JP5751376B1 (ja) 2014-09-17 2014-09-17 情報処理装置及び情報処理プログラム

Publications (2)

Publication Number Publication Date
JP5751376B1 true JP5751376B1 (ja) 2015-07-22
JP2016062210A JP2016062210A (ja) 2016-04-25

Family

ID=53638036

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014188524A Expired - Fee Related JP5751376B1 (ja) 2014-09-17 2014-09-17 情報処理装置及び情報処理プログラム

Country Status (3)

Country Link
US (1) US20160078376A1 (ja)
JP (1) JP5751376B1 (ja)
CN (1) CN106156134A (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019215884A1 (ja) * 2018-05-10 2019-11-14 株式会社三菱ケミカルホールディングス 監査支援システム、監査支援サーバ装置、監査支援端末、監査支援プログラム、及び監査支援方法
JP2022042108A (ja) * 2020-09-02 2022-03-14 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000067113A (ja) * 1998-08-21 2000-03-03 Eepekkusu International:Kk マネジメント支援システム
JP2003140987A (ja) * 2001-11-06 2003-05-16 Ntt Data Customer Service Corp セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム
US20040006585A1 (en) * 2002-06-05 2004-01-08 Sachar Paulus Collaborative audit framework
JP2010250738A (ja) * 2009-04-20 2010-11-04 Hitachi Software Eng Co Ltd 監査情報処理方法
JP2013080299A (ja) * 2011-09-30 2013-05-02 Fujitsu Social Science Laboratory Ltd 情報処理システム、情報処理方法、及び情報処理プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003532234A (ja) * 2000-05-04 2003-10-28 ゼネラル・エレクトリック・キャピタル・コーポレーション コンプライアンスプログラムの査定方法とシステム
US20040138934A1 (en) * 2003-01-09 2004-07-15 General Electric Company Controlling a business using a business information and decisioning control system
US20050108080A1 (en) * 2003-11-18 2005-05-19 Peterson Gary E. Interactive risk management system and method
EP1899888A4 (en) * 2005-05-27 2010-06-09 Kam Lun Leung SYSTEM AND METHOD FOR EVALUATION AND PRESENTATION OF RISKS
US20080243524A1 (en) * 2007-03-28 2008-10-02 International Business Machines Corporation System and Method for Automating Internal Controls

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000067113A (ja) * 1998-08-21 2000-03-03 Eepekkusu International:Kk マネジメント支援システム
JP2003140987A (ja) * 2001-11-06 2003-05-16 Ntt Data Customer Service Corp セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム
US20040006585A1 (en) * 2002-06-05 2004-01-08 Sachar Paulus Collaborative audit framework
JP2010250738A (ja) * 2009-04-20 2010-11-04 Hitachi Software Eng Co Ltd 監査情報処理方法
JP2013080299A (ja) * 2011-09-30 2013-05-02 Fujitsu Social Science Laboratory Ltd 情報処理システム、情報処理方法、及び情報処理プログラム

Also Published As

Publication number Publication date
JP2016062210A (ja) 2016-04-25
US20160078376A1 (en) 2016-03-17
CN106156134A (zh) 2016-11-23

Similar Documents

Publication Publication Date Title
US10642870B2 (en) Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US20180336477A1 (en) Information processing apparatus and non-transitory computer readable medium
US8812467B2 (en) Information processing apparatus and computer readable medium for performing history cancellation processing
JP5751376B1 (ja) 情報処理装置及び情報処理プログラム
JP6459812B2 (ja) 情報処理装置及び情報処理プログラム
JP2009069925A (ja) 情報処理システム及び情報処理プログラム
JP5787017B1 (ja) 情報処理装置及び情報処理プログラム
US20190095636A1 (en) Information processing device and medium storing information processing program
JP2007115080A (ja) 経営管理システム、経営管理方法および経営管理プログラム
JP6123519B2 (ja) 情報処理装置及び情報処理プログラム
US20130041926A1 (en) Information processing system, information processing apparatus, information processing method, and computer readable medium
JP2010026560A (ja) 情報処理装置及び情報処理プログラム
JP2008052347A (ja) 文書処理装置および文書処理プログラム
JP6048565B1 (ja) 画像処理装置、情報処理システム及び画像処理プログラム
US20220067183A1 (en) Information processing apparatus and non-transitory computer readable medium
JP5880144B2 (ja) 情報処理装置及び情報処理プログラム
JP6547509B2 (ja) 情報処理装置及び情報処理プログラム
US11138242B2 (en) Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
JP5397111B2 (ja) 情報処理システム
JP2008234503A (ja) 情報処理システム及び情報処理プログラム
JP2008176769A (ja) 文書処理装置及び文書処理プログラム
JP2008234504A (ja) 情報処理システム及び情報処理プログラム
JP6248685B2 (ja) 情報処理装置及び情報処理プログラム
JP2009042865A (ja) 情報処理装置、情報処理プログラム及び情報処理システム
JP2020144490A (ja) 情報処理装置及びデータ処理プログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150421

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150504

R150 Certificate of patent or registration of utility model

Ref document number: 5751376

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees