JP5397111B2 - Information processing system - Google Patents
Information processing system Download PDFInfo
- Publication number
- JP5397111B2 JP5397111B2 JP2009210893A JP2009210893A JP5397111B2 JP 5397111 B2 JP5397111 B2 JP 5397111B2 JP 2009210893 A JP2009210893 A JP 2009210893A JP 2009210893 A JP2009210893 A JP 2009210893A JP 5397111 B2 JP5397111 B2 JP 5397111B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- activity
- request
- column
- risk management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 20
- 238000000034 method Methods 0.000 claims description 75
- 230000000694 effects Effects 0.000 claims description 57
- 238000012545 processing Methods 0.000 claims description 39
- 238000005070 sampling Methods 0.000 claims description 13
- 238000011156 evaluation Methods 0.000 claims description 10
- 206010037211 Psychomotor hyperactivity Diseases 0.000 claims description 2
- 230000008569 process Effects 0.000 description 55
- 238000007726 management method Methods 0.000 description 53
- 238000012937 correction Methods 0.000 description 35
- 238000012544 monitoring process Methods 0.000 description 24
- 238000001514 detection method Methods 0.000 description 23
- 230000010354 integration Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 238000012360 testing method Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 4
- 238000012954 risk control Methods 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 3
- 238000012502 risk assessment Methods 0.000 description 3
- 238000003326 Quality management system Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 238000001038 ionspray mass spectrometry Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000010757 Reduction Activity Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 231100000290 environmental risk assessment Toxicity 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000010948 quality risk assessment Methods 0.000 description 1
- 208000037826 rabdomyosarcoma Diseases 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000005204 segregation Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、情報処理システム、情報処理装置及び情報処理プログラムに関する。 The present invention relates to an information processing system, an information processing apparatus, and an information processing program.
企業の統制活動の一環としてリスク管理が体系的に行われている。
これに関連する技術として、例えば、特許文献1には、企業に関係する品質、環境、労働安全衛生、CSR(Corporate Social Responsibility)の各リスクを一元的に統合し、リスクによる損害から企業活動を守り、さらに企業の社会的責任を高め持続的成長を指向するマネジメントに供する統合アセスメント・コントロール表を提供することを課題とし、リスクとしてコントロールすべき事象を列挙する共通項目の欄と、リスク評価対象となる複数のリスクアセスメント項目の欄と、管理すべき対象のリスク低減活動の結果を記入するリスクコントロール項目の欄とを備え、複数のリスクアセスメント項目が、少なくとも、品質リスクアセスメント、労働安全衛生リスクアセスメント、環境リスクアセスメント、情報セキュリティリスクアセスメント、CSRアセスメントからなり、企業がこれを活用することにより、企業活動におけるリスクをより高度にコントロールでき、企業の存在と存続を守ることができることが開示されている。
Risk management is systematically performed as part of corporate control activities.
As a related technology, for example,
本発明は、複数の統制処理装置におけるそれぞれの統制活動がなされている場合において、別々に行われているコントロールを統合すべきか否かの判断を行わせるようにした情報処理システム、情報処理装置及び情報処理プログラムを提供することを目的としている。 The present invention relates to an information processing system, an information processing device, and an information processing device that make it possible to determine whether or not to control separately performed when each control activity is performed in a plurality of control processing devices. The purpose is to provide an information processing program.
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、活動に関する情報を記憶している活動情報記憶装置に対して、活動の統制に関する処理を行う統制処理装置からの該活動に関する情報の要求を受け取る要求受取手段と、前記要求受取手段によって受け取られた第1の統制処理装置からの第1の要求の対象と前記要求受取手段によって受け取られた第2の統制処理装置からの第2の要求の対象が同じ場合は、前記第1の統制処理装置又は前記第2の統制処理装置に、該活動に対する統制のコントロールを統合すべきか否かの判断を行わせる指示を通知する統合判断通知手段を備える情報処理装置と、前記情報処理装置と接続されており、活動に対する統制のコントロールを統合すべきか否かの判断指示を前記情報処理装置から受け取る指示受取手段と、前記指示受取手段によって受け取られた指示に基づいて、前記活動に対する統制における年度期間、該活動に対する統制における証憑のサンプリング方法、該活動に対する統制における評価の手続き種別、該活動に対する統制におけるコントロールの目的のうちいずれか1つ以上に基づいて、コントロールを統合すべきか否かの判断を行う判断手段を備える複数の統制処理装置を具備することを特徴とする情報処理システムである。
The gist of the present invention for achieving the object lies in the inventions of the following items.
According to the first aspect of the present invention, there is provided a request receiving means for receiving a request for information relating to an activity from a control processing device that performs a process relating to control of the activity with respect to an activity information storage device storing information relating to the activity; If the object of the first request from the first control processing device received by the receiving means is the same as the object of the second request from the second control processing device received by the request receiving means, the first An information processing apparatus comprising integrated determination notification means for notifying one control processing apparatus or the second control processing apparatus to determine whether or not to control control for the activity should be integrated; An instruction receiving unit that is connected to the apparatus and receives from the information processing apparatus an instruction to determine whether or not to control the control over the activity; and to the instruction receiving unit On the basis of the received instruction, any one of the annual period of the control over the activity, the method of sampling the voucher in the control over the activity, the evaluation procedure type in the control over the activity, and the purpose of the control over the control over the activity An information processing system comprising a plurality of control processing devices including determination means for determining whether to integrate controls based on one or more.
請求項1記載の情報処理システムによれば、複数の統制処理装置におけるそれぞれの統制活動がなされている場合において、別々に行われているコントロールを統合すべきか否かの判断を行わせることができるようになる。 According to the information processing system of the first aspect, when each control activity is performed in a plurality of control processing apparatuses, it is possible to determine whether or not the separately performed controls should be integrated. It becomes like this.
まず、本実施の形態の対象となる企業の統制活動の一例として、財務内部統制について説明する。
近年、財務内部統制が求められている。その財務内部統制とは、1992年にCOSO(トレッドウェイ委員会組織委員会)が発表した「内部統制−統合的枠組み」が、事実上の標準となっており、「(1)業務の有効性・効率性、(2)財務諸表の信頼性、(3)関連法規の遵守の3つの目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者及びその他の職員によって遂行される1つのプロセス」と定義されている。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化する必要がある。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
First, financial internal control will be described as an example of corporate control activities that are the subject of this embodiment.
In recent years, financial internal control has been required. With regard to the financial internal control, “Internal Control – Integrated Framework” announced by COSO (Treadway Committee Organizing Committee) in 1992 has become the de facto standard.・ Board of Directors, Management and other organizations intended to provide reasonable assurance to achieve three objectives: efficiency, (2) reliability of financial statements, and (3) compliance with relevant laws and regulations. It is defined as "one process carried out by staff".
In financial internal control, it is necessary to organize the relationship between activities / systems / resources / knowledge information and document business processes. There are four documents for financial internal control: business description, business flow diagram, RCM (risk control matrix), and separation of duties table.
まず、内部統制の「基本4文書」について説明する。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書とは、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂に影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。つまり、リスクとそれを低減するコントロールのペアを記述したものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目が一般には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。また、財務リスクに対して、アサーションの観点でリスクが網羅されていることが必要で、これら6つのアサーションのいずれかに該当するリスクは重要性が高いといえる。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
また、財務内部統制において、財務に関連した業務を分析しその結果をまとめた文書に対して、その文書の正当性と正確性をチェックする整備評価と文書通りに運用されているかをテストする運用評価の2種類の評価がある。
運用評価は、コントロールに記載される活動が正しく実施されていることを確認することである。運用評価フェーズにおいて実際の企業活動(財務内部統制等においては取引活動等)をサンプリングし、そのコントロールが適切に実施されたことを証明する書類(証憑)を担当者から収集する(又は収集依頼する)ことを行っている。
First, “Basic 4 Documents” of internal control will be described.
The four basic documents are basic documents created for each business process subject to financial internal control. Specifically, a business description, a business flow diagram, an RCM (risk control matrix), a job There is a separation table.
The business description is also called narrative. This is a documented flow of a series of operations from the start of the transaction to the final entry to the general ledger and reporting. Regulatory documents such as personnel regulations and accounting business regulations are higher-level documents of the business description, and the revision affects the business description. The business manual is a sub-document of the business description and is affected by the revision.
The business flow diagram is a visual flowchart of a series of business flows from the start of a transaction to the final entry to the general ledger and reporting. Risk and control are also placed on this flow.
The RCM (Risk Control Matrix) is a summary of internal control activities related to business processes, a summary of the control points to be achieved (assertion), assumed risks, and corresponding internal control activities. It is. In other words, it describes a pair of risk and control that reduces it.
The segregation of duties table is used to check whether there is a duplication of processing by the same person in charge in the flow of business processes, which causes a problem in financial control.
Assertion is a precondition for financial information to be considered as reliable information. Specifically, reality, completeness, attribution of rights and obligations, validity of evaluation, period allocation The six items of adequacy and validity of display are generally used, but it is desirable that they can be customized because there are some changes by each company or audit corporation. In addition, financial risks need to be covered from the viewpoint of assertion, and it can be said that a risk corresponding to one of these six assertions is highly important.
Risk refers to an impediment to assertions assumed in business processes.
Control refers to internal control activities against risks. Control types include preventive and detective.
In addition, in financial internal control, for the document that analyzed the business related to finance and summarized the result, maintenance evaluation to check the correctness and accuracy of the document and the operation to test whether it is operating as documented There are two types of evaluation.
An operational evaluation is to confirm that the activities described in the controls are being implemented correctly. Sample actual corporate activities (transaction activities, etc. in financial internal control, etc.) during the operation evaluation phase, and collect (or request collection) documents (certifications) that prove that the controls were implemented appropriately ) Doing things.
業務統制の運用テスト負担軽減とIT全般統制の整備コスト負担増加を効果的にバランスさせるには、以下に示す3つの手順で実施する必要がある。
(1)業務統制におけるITシステムを用いた(自動化された)統制の洗い出し。
(2)前記(1)の統制から、重要な統制を選別する。
(3)前記(2)の統制が依存するITシステムの洗い出し。つまり、IT全般統制の対象を決定する。
しかし、業務統制とIT全般統制はそれぞれ実施担当者が異なり、また統制整備の時期も異なる場合もあるため、IT全般統制におけるITシステムの対象選択時に前述のフィードバック(前記(3)を行うには前記(1)が必要である)を行うには困難なケースが多く、主観的な選択とならざるを得なかった。本実施の形態は、このような状況、つまり、複数の統制処理装置があり、その運用テストにおける証憑収集が別個に行われており、各担当者が異なるような場合に利用するものである。
In order to effectively balance the reduction of operational test burden on business control and the increase in maintenance cost burden on IT general control, the following three procedures are required.
(1) Identification of (automated) control using IT system in business control.
(2) Select important controls from the controls in (1) above.
(3) Identify IT systems on which the control in (2) depends. In other words, the target of IT general control is determined.
However, the person in charge of the business control and the IT general control are different from each other, and the timing of the maintenance of the control may differ. Therefore, when the target of the IT system in the IT general control is selected, the above-mentioned feedback (to perform (3) above) In many cases, it is difficult to perform (1) is necessary, and it has been a subjective choice. This embodiment is used in such a situation, that is, when there are a plurality of control processing apparatuses, voucher collection is performed separately in the operation test, and each person in charge is different.
以下、図面に基づき本発明を実現するにあたっての好適な一実施の形態の例を説明する。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。
Hereinafter, an example of a preferred embodiment for realizing the present invention will be described with reference to the drawings.
FIG. 1 shows a conceptual module configuration diagram of a configuration example of the present embodiment.
The module generally refers to components such as software (computer program) and hardware that can be logically separated. Therefore, the module in the present embodiment indicates not only a module in a computer program but also a module in a hardware configuration. Therefore, the present embodiment also serves as an explanation of a computer program, a system, and a method. However, for the sake of explanation, the words “store”, “store”, and equivalents thereof are used. However, when the embodiment is a computer program, these words are stored in a storage device or stored in memory. It is the control to be stored in the device. In addition, the modules correspond almost one-to-one with the functions. However, in mounting, one module may be composed of one program, or a plurality of modules may be composed of one program. A plurality of programs may be used. The plurality of modules may be executed by one computer, or one module may be executed by a plurality of computers in a distributed or parallel environment. Note that one module may include other modules. Hereinafter, “connection” is used not only for physical connection but also for logical connection (data exchange, instruction, reference relationship between data, etc.).
In addition, the system or device is configured by connecting a plurality of computers, hardware, devices, and the like by communication means such as a network (including one-to-one correspondence communication connection), etc., and one computer, hardware, device. The case where it implement | achieves by etc. is included. “Apparatus” and “system” are used as synonymous terms. “Predetermined” means that the process is determined before the target process, and not only before the process according to this embodiment starts but also after the process according to this embodiment starts. In addition, if it is before the target processing, it is used in accordance with the situation / state at that time or with the intention to be decided according to the situation / state up to that point. “Predetermined” means that the process is determined before the target process, and not only before the process according to this embodiment starts but also after the process according to this embodiment starts. In addition, if it is before the target processing, it is used in accordance with the situation / state at that time or with the intention to be decided according to the situation / state up to that point.
本実施の形態である情報処理システムは、図1の例に示すように、リスクマネジメント装置110、母集団データ取得監視モジュール120を構成として有する情報処理装置、BPM(Business Process Management system)130を有している。図1の例では、リスクマネジメント装置110、BPM130はそれぞれ複数であるが、BPM130は1台であってもよいし、リスクマネジメント装置110も同じ活動に対してコントロールが異なる場合があるのであれば、物理的な筐体として1台のリスクマネジメント装置110であってもよい。ただし、リスクマネジメント装置110が物理的な筐体として1台であったとしても、同じ活動に対してコントロールが異なる場合があるのであれば、本実施の形態では複数のリスクマネジメント装置110として捉える。なお、リスクマネジメント装置110、母集団データ取得監視モジュール120、BPM130は、それぞれ通信回線を介して接続されている。
As shown in the example of FIG. 1, the information processing system according to the present embodiment includes an information processing apparatus having a risk management apparatus 110 and a population data
リスクマネジメント装置110は、活動の統制に関する処理を行う。例えば、具体的には、財務内部統制におけるRMS(Risk Management System)、情報セキュリティマネジメントシステム(Information Security Management System、以下、単に「ISMS」ともいう)、品質マネジメントシステム(Quality Management System、以下、単に「QMS」ともいう)等が該当する。例えば、リスクマネジメント装置110Aが財務内部統制におけるRMSであり、リスクマネジメント装置110BがISMSであるように、異なるRMSが並立している。
The risk management apparatus 110 performs processing related to activity control. For example, specifically, RMS (Risk Management System), Information Security Management System (hereinafter, also simply referred to as “ISMS”), Quality Management System (Quality Management System), and QMS ”). For example, different RMSs are juxtaposed such that the
リスクマネジメント装置110は、運用テストにおける統制実施の証憑を収集するために、BPM130から母集団データを収集する。例えば、より具体的には、RMSの担当者が、証憑の収集を他の担当者に依頼するために、BPM130から、対象活動の一覧(以下、母集団データともいう。例えば、財務内部統制などでは取引の一覧等が該当する)を入手する。そして、その一覧からサンプリングを行って収集活動を実施する。なお、証憑とは、コントロール活動の証跡となる証拠であり、紙伝票などではスキャン登録された画像データ等を含んでいてもよい。 The risk management device 110 collects population data from the BPM 130 in order to collect evidence of control implementation in the operation test. For example, more specifically, a person in charge of RMS requests a list of target activities (hereinafter also referred to as population data. For example, financial internal control, etc.) from BPM 130 in order to request other persons in charge to collect vouchers. Then, get a list of transactions). Then, sampling is performed from the list and collection activities are carried out. The voucher is evidence that serves as a trail of control activity, and paper slips or the like may include image data that has been scanned and registered.
BPM130は、活動に関する情報を記憶している。ビジネスプロセスの運用管理などを支援する情報処理装置であり、例えば、具体的には、ワークフローシステム、EAI(Enterprise Application Integration)等が該当する。
BPM130は、母集団データを記憶しており、リスクマネジメント装置110からの要求に応じて、その母集団データをリスクマネジメント装置110へ渡す。
The BPM 130 stores information regarding activities. It is an information processing apparatus that supports business process operation management, and specifically includes, for example, a workflow system, EAI (Enterprise Application Integration), and the like.
The BPM 130 stores population data, and passes the population data to the risk management device 110 in response to a request from the risk management device 110.
母集団データ取得監視モジュール120は、要求受取モジュール121と統合判断モジュール122を有し、リスクマネジメント装置110、母集団取得履歴DB125、BPM130と接続されている。
要求受取モジュール121は、類似コントロール検出モジュール115とBPM130との間にあり、両者間の通信のやりとりを監視する。つまり、BPM130に対しての、リスクマネジメント装置110からの活動に関する情報の要求を受け取る。
そして、統合判断モジュール122は、要求受取モジュール121によって受け取られたリスクマネジメント装置110Aからの第1の要求の対象とリスクマネジメント装置110Bからの第2の要求の対象が同じ場合は、リスクマネジメント装置110Aの類似コントロール検出モジュール115A又はリスクマネジメント装置110Bの類似コントロール検出モジュール115Bに、その活動に対する統制のコントロールを統合すべきか否かの判断を行わせる指示を通知する。その判断をするために、母集団データ取得監視モジュール120は、受け取られたリスクマネジメント装置110からの要求の対象を母集団取得履歴DB125に記憶させる。そして、新たにリスクマネジメント装置110からの要求を受け取ったときに、母集団取得履歴DB125内に記憶されている要求の履歴から該当する要求を検索して、該当する要求があれば、統合すべきか否かの判断を行わせる指示を類似コントロール検出モジュール115A又は類似コントロール検出モジュール115Bに通知する。母集団データ取得監視モジュール120が行う処理については、図2を用いて後述する。
The population data
The
Then, when the target of the first request from the
母集団取得履歴DB125は、母集団データ取得監視モジュール120からアクセスされる。母集団データ取得監視モジュール120が受け取った要求の内容を記憶する。例えば、母集団取得履歴DB300を記憶する。図3は、母集団取得履歴DB300のデータ構造例を示す説明図である。母集団取得履歴DB300は、ID欄310、取得対象アクティビティID欄320、取得日時欄330、取得対象期間欄340、要求元のMSID欄350、要求元のコントロールID欄360、是正勧告済み対象ID欄370を有している。
ID欄310は、リスクマネジメント装置110からBPM130への要求を一意に識別するID(IDentification)を記憶する。
取得対象アクティビティID欄320は、その要求の内容の一部(母集団データ内における対象とする活動、具体的には、アクティビティ(取引種別))を記憶する。
取得日時欄330は、その要求又は要求に対する返信が行われた日時(年、時分秒等を含んでいてもよい)を記憶する。
取得対象期間欄340は、その要求の内容の一部(母集団データ内における対象とする活動の期間)を記憶する。
要求元のMSID欄350は、その要求を行ったリスクマネジメント装置110を一意に識別するMSIDを記憶する。
要求元のコントロールID欄360は、その要求を行ったリスクマネジメント装置110におけるコントロールを一意に識別するコントロールIDを記憶する。
是正勧告済み対象ID欄370は、是正勧告が行われた場合に、その要求のID(ID欄310のID)に対応する他の要求のID(ID欄310のID)を記憶する。
The population
The
The acquisition target
The acquisition date /
The acquisition
The request
The request source
The correction recommended
リスクマネジメント装置110内の類似コントロール検出モジュール115は、指示受取モジュール116と判断モジュール117を有する。
指示受取モジュール116は、母集団データ取得監視モジュール120から活動に対する統制のコントロールを統合すべきか否かの判断指示を受け取る。
そして、判断モジュール117は、指示受取モジュール116によって受け取られた判断指示に基づいて、活動に対する統制における年度期間、その活動に対する統制における証憑のサンプリング方法、その活動に対する統制における評価の手続き種別、その該活動に対する統制におけるコントロールの目的のうちいずれか1つ以上に基づいて、コントロールを統合すべきか否かの判断を行う。
また、類似コントロール検出モジュール115内の判断モジュール117は、さらに、年度期間の整合、サンプリング方法の整合、手続き種別の統合、コントロールの目的の統合のうちいずれか1つ以上を行うか否かの判断を行うようにしてもよい。類似コントロール検出モジュール115が行う処理については、図4等を用いて後述する。
The similar control detection module 115 in the risk management apparatus 110 includes an instruction receiving module 116 and a determination module 117.
The instruction receiving module 116 receives from the population data acquisition and
Then, based on the determination instruction received by the instruction receiving module 116, the determination module 117 includes a fiscal period in the control over the activity, a method of sampling vouchers in the control over the activity, a procedure type of evaluation in the control over the activity, Based on one or more of the control objectives in the control over the activity, a determination is made as to whether the controls should be integrated.
In addition, the determination module 117 in the similar control detection module 115 further determines whether or not to perform any one or more of year period adjustment, sampling method adjustment, procedure type integration, and control purpose integration. May be performed. The processing performed by the similar control detection module 115 will be described later with reference to FIG.
図2は、本実施の形態の母集団データ取得監視モジュール120による処理例を示すフローチャートである。概略的な処理として、母集団データ取得監視モジュール120は、リスクマネジメント装置110によるBPM130への母集団データの取得を監視し、その監視の結果を基に統合可能なコントロールの候補を検出する。なお、ステップS202の処理は要求受取モジュール121によって行われ、ステップS204からステップS210までの処理は統合判断モジュール122によって行われる。
FIG. 2 is a flowchart illustrating an example of processing performed by the population data
ステップS202では、リスクマネジメント装置110からBPM130への母集団データ取得要求を受信する。
ステップS204では、ステップS202で受信した母集団データ取得要求を母集団取得履歴DB300に登録する。より具体的には、その要求の内容を取得対象アクティビティID欄320、取得対象期間欄340に記憶させ、要求元のリスクマネジメント装置110のMSID、コントロールIDをそれぞれ要求元のMSID欄350、要求元のコントロールID欄360に記憶させる。そして、その要求を受信した日時(又はBPM130が母集団データ取得要求を返信した日時)を取得日時欄330に記憶させる。
In step S202, a population data acquisition request from the risk management apparatus 110 to the BPM 130 is received.
In step S204, the population data acquisition request received in step S202 is registered in the population
ステップS206では、「要求元のMSID、要求元のコントロールID」の組が異なり、取得対象アクティビティID、取得対象期間が同じデータが母集団取得履歴DBにあるか否かを判断する。データがあった場合はステップS208へ進み、それ以外の場合は処理を終了する(ステップS299)。つまり、例えば、異なるコントロールから同じアクティビティの母集団データ取得要求がBPM130に対してあった場合には、重複する母集団データ取得要求として検出する。
ステップS208では、両者のいずれか一方に是正勧告済み対象IDが既にあるか否かを判断する。既にあった場合は処理を終了し(ステップS299)、それ以外の場合はステップS210へ進む。つまり、過去に行われた是正勧告にしたがって、コントロールの統合等の修正が行われていた場合は、今回の是正勧告の対象とはしない。
ステップS210では、同じ母集団データの取得が行われた旨の通知を、ステップS202で受信した母集団データ取得要求を行ったリスクマネジメント装置110へ送信する。また、ステップS206で同じ取得対象アクティビティID、取得対象期間の母集団データ取得要求を行ったリスクマネジメント装置110へ送信してもよい。
In step S206, it is determined whether or not there is data in the population acquisition history DB in which the combination of “request source MSID, request source control ID” is different and the acquisition target activity ID and the acquisition target period are the same. If there is data, the process proceeds to step S208. Otherwise, the process is terminated (step S299). That is, for example, when there is a population data acquisition request for the same activity from different controls to the BPM 130, it is detected as a duplicate population data acquisition request.
In step S208, it is determined whether or not there is already a correction recommended target ID in either one of the two. If already present, the process ends (step S299), otherwise the process proceeds to step S210. In other words, if corrections such as control integration have been made in accordance with correction recommendations made in the past, they will not be subject to this correction recommendation.
In step S210, a notification that the same population data has been acquired is transmitted to the risk management apparatus 110 that has made the population data acquisition request received in step S202. Moreover, you may transmit to the risk management apparatus 110 which performed the population data acquisition request of the same acquisition object activity ID and acquisition object period at step S206.
図4は、本実施の形態の類似コントロール検出モジュール115による処理例を示すフローチャートである。概略的な処理として、類似コントロール検出モジュール115は、母集団データ取得監視モジュール120から受け取った通知(重複しているコントロール情報)を基に、そのコントロールの統合を判断し、結果を是正勧告として担当者に通知する。そして、担当者による是正の承認を受けると、類似コントロール検出モジュール115は通知した是正勧告に基づきコントロールの統合を実行する。なお、フローチャート内の各判断処理(ステップS404、ステップS408、ステップS412、ステップS416)は、母集団データ取得監視モジュール120から受け取った通知以外に、他のリスクマネジメント装置110と通信を行って、他のリスクマネジメント装置110で用いている情報と比較してもよい。なお、ステップS402の処理は指示受取モジュール116によって行われ、ステップS404からステップS426までの処理は判断モジュール117によって行われる。
FIG. 4 is a flowchart showing an example of processing performed by the similar control detection module 115 according to the present embodiment. As a rough process, the similar control detection module 115 determines the integration of the control based on the notification (duplicate control information) received from the population data
ステップS402では、母集団データ取得監視モジュール120から同じ母集団データの取得通知を受信する。
ステップS404では、年度期間が同じであるか否かを判断する。同じである場合はステップS408へ進み、それ以外の場合はステップS406へ進む。なお、年度期間とは、統制活動を行う期間(年度)であり、通常はリスクマネジメント装置110単位で定められている。
期間整合性はすべての勧告実施の前提条件であるため、他の条件と独立した是正勧告事項とする。それ以外は、下位レベルの整合性として判定し、差異が見つかったレベルでの統合勧告を実施する。
ステップS406では、期間整合勧告を追加する。この後、ステップS408へ進む。
In step S402, the same population data acquisition notification is received from the population data
In step S404, it is determined whether the fiscal periods are the same. If they are the same, the process proceeds to step S408, and otherwise, the process proceeds to step S406. Note that the fiscal year period is a period (year) in which control activities are performed, and is usually determined in units of 110 risk management devices.
Periodic consistency is a prerequisite for the implementation of all recommendations, so it should be a correction recommendation independent of other conditions. Otherwise, it is judged as consistency at a lower level, and the integrated recommendation at the level where the difference is found is implemented.
In step S406, a period matching recommendation is added. Thereafter, the process proceeds to step S408.
ステップS408では、サンプリング方法が同じであるか否かを判断する。同じである場合はステップS412へ進み、それ以外の場合はステップS410へ進む。なお、サンプリング方法とは、母集団データの中から評価を行うために、サンプルを抽出する方式であり、具体的には、ランダムサンプリングや系統的サンプリング(1件目をランダムに選択し、以降等間隔にサンプリング)などがある。また、サンプリングする件数やその他の属性条件(金額が予め定められた額以上など)等を含めてもよい。
ステップS410では、サンプリング方式整合勧告を登録する。この後、ステップS422へ進む。
In step S408, it is determined whether the sampling method is the same. If they are the same, the process proceeds to step S412; otherwise, the process proceeds to step S410. The sampling method is a method of extracting a sample for evaluation from the population data. Specifically, random sampling or systematic sampling (the first one is selected at random, and so on) Sampling). In addition, the number of items to be sampled and other attribute conditions (such as a monetary amount equal to or more than a predetermined amount) may be included.
In step S410, a sampling method matching recommendation is registered. After this, the process proceeds to step S422.
ステップS412では、手続き種別が同じであるか否かを判断する。同じである場合はステップS416へ進み、それ以外の場合はステップS414へ進む。なお、手続き種別とは、評価の際のテストを行う方法であり、具体的には、照合、閲覧、観察、質問等がある。
ステップS414では、収集活動レベル統合勧告を登録する。この後、ステップS422へ進む。
In step S412, it is determined whether the procedure types are the same. If they are the same, the process proceeds to step S416, and otherwise, the process proceeds to step S414. The procedure type is a method of performing a test at the time of evaluation, and specifically includes collation, browsing, observation, a question, and the like.
In step S414, the collection activity level integration recommendation is registered. After this, the process proceeds to step S422.
ステップS416では、統制目的が同じであるか否かを判断する。同じである場合はステップS420へ進み、それ以外の場合はステップS418へ進む。なお、統制目的とは、コントロールが統制する目的を示し、具体的には、網羅性、正確性、正当性、維持継続性等がある。
ステップS418では、テストレベル統合勧告を登録する。この後、ステップS422へ進む。
In step S416, it is determined whether the control purpose is the same. If they are the same, the process proceeds to step S420, and otherwise, the process proceeds to step S418. The control purpose indicates the purpose controlled by the control, and specifically includes completeness, accuracy, correctness, maintenance continuity, and the like.
In step S418, a test level integration recommendation is registered. After this, the process proceeds to step S422.
ステップS420では、コントロール統合勧告を登録する。つまり、サンプリング方法、手続き種別、統制目的が同じ場合は、コントロールの統合勧告を登録する。
ステップS422では、是正勧告を送信する。つまり、ステップS406、ステップS410、ステップS414、ステップS418、ステップS420の勧告を是正勧告として、他のリスクマネジメント装置110の類似コントロール検出モジュール115(図2に例示したフローチャート内のステップS206でYesとなり、ステップS299で同じ母集団データの取得通知が送信されなかったリスクマネジメント装置110)、母集団データ取得監視モジュール120へ送信する。
In step S420, a control integration recommendation is registered. In other words, if the sampling method, procedure type, and control purpose are the same, an integrated control recommendation is registered.
In step S422, a correction recommendation is transmitted. That is, the recommendation of step S406, step S410, step S414, step S418, and step S420 is used as a correction recommendation, and the similar control detection module 115 of another risk management device 110 (Yes in step S206 in the flowchart illustrated in FIG. 2) In step S 299, the risk management apparatus 110) for which the same population data acquisition notification has not been transmitted is transmitted to the population data
ステップS424では、承認されたか否かを判断する。承認された場合はステップS426へ進み、それ以外の場合は処理を終了する(ステップS499)。図4の例に示すフローチャートの処理を行ったリスクマネジメント装置110の担当者は、ステップS422で同様の是正勧告を送信した他のリスクマネジメント装置110の担当者と協議して、承認するか否かを決定する。類似コントロール検出モジュール115は、その決定結果を受け取って、承認か否かを判断する。
ステップS426では、承認されたコントロールの統合を実行する。例えば、異なったリスクマネジメント装置110間で、同じコントロールとして変更する。また、サンプリング方法等の整合を行うようにしてもよい。
In step S424, it is determined whether approval has been made. If approved, the process proceeds to step S426, and otherwise, the process ends (step S499). Whether or not the person in charge of the risk management apparatus 110 that has performed the processing of the flowchart illustrated in the example of FIG. 4 discusses and approves the person in charge of the other risk management apparatus 110 that transmitted the same correction recommendation in step S422. To decide. The similar control detection module 115 receives the determination result and determines whether or not it is approved.
In step S426, integration of approved controls is executed. For example, the same control is changed between different risk management apparatuses 110. Further, the sampling method and the like may be matched.
図5は、本実施の形態の母集団データ取得監視モジュール120による処理例を示すフローチャートである。
ステップS502では、是正勧告を受信する。より具体的には、図4の例に示すフローチャートのステップS422で送信された是正勧告を受信する。
ステップS504では、母集団取得履歴DB300内の是正勧告済み対象ID欄370に互いのIDを記録させる。つまり、是正勧告を送信したリスクマネジメント装置110、その是正勧告を受信したリスクマネジメント装置110に対応する是正勧告済み対象ID欄370に、互いのID(ID欄310)を記録させる。図3の例では、ID欄310が「1」である行の是正勧告済み対象ID欄370に「3」を記録し、ID欄310が「3」である行の是正勧告済み対象ID欄370に「1」を記録している。
FIG. 5 is a flowchart illustrating an example of processing performed by the population data
In step S502, a correction recommendation is received. More specifically, the correction recommendation transmitted in step S422 of the flowchart shown in the example of FIG. 4 is received.
In step S504, the mutual IDs are recorded in the correction recommended
図6は、本実施の形態の他方の類似コントロール検出モジュール115による処理例を示すフローチャートである。図4の例に示すフローチャートのステップS422で是正勧告が送信された他のリスクマネジメント装置110の類似コントロール検出モジュール115が行う処理である。
ステップS602では、是正勧告を受信する。より具体的には、ステップS422で送信された是正勧告を受信する。
ステップS604では、承認されたか否かを判断する。承認された場合はステップS606へ進み、それ以外の場合は処理を終了する(ステップS699)。ステップS424と同等の処理である。
ステップS606では、コントロールの統合を実行する。ステップS426と同等の処理である。
FIG. 6 is a flowchart showing an example of processing by the other similar control detection module 115 of the present embodiment. This process is performed by the similar control detection module 115 of another risk management apparatus 110 to which the correction recommendation is transmitted in step S422 of the flowchart shown in the example of FIG.
In step S602, a correction recommendation is received. More specifically, the correction recommendation transmitted in step S422 is received.
In step S604, it is determined whether it has been approved. If approved, the process proceeds to step S606; otherwise, the process ends (step S699). This is the same processing as step S424.
In step S606, control integration is executed. This is the same processing as step S426.
図7は、本実施の形態の類似コントロール検出モジュール115による別の処理例を示すフローチャートである。図4の例に示すフローチャートでは、期間整合性はすべての勧告実施の前提条件としたが、他のものと同等に扱い、2つ以上の勧告を含む場合があるように処理を行うものである。なお、ステップS702の処理は指示受取モジュール116によって行われ、ステップS704からステップS728までの処理は判断モジュール117によって行われる。 FIG. 7 is a flowchart illustrating another example of processing performed by the similar control detection module 115 according to the present embodiment. In the flowchart shown in the example of FIG. 4, the term consistency is a precondition for implementation of all recommendations, but it is handled in the same way as the others, and processing is performed so that two or more recommendations may be included. . Note that the process of step S702 is performed by the instruction receiving module 116, and the processes from step S704 to step S728 are performed by the determination module 117.
ステップS702からステップS706まで、ステップS708、ステップS712、ステップS716の各処理は、図4の例に示すフローチャートのステップS402からステップS406まで、ステップS408、ステップS412、ステップS416の各処理とそれぞれ同等である。
ステップS710、ステップS714、ステップS718の処理が、図4の例に示すフローチャートのステップS410、ステップS414、ステップS418の処理と異なるところは、判断処理(ステップS708、ステップS712、ステップS716)の直後に進む点である。
Each process from step S702 to step S706, step S708, step S712, and step S716 is equivalent to each process from step S402 to step S406 in the flowchart shown in the example of FIG. 4, step S408, step S412, and step S416. is there.
The processing of step S710, step S714, and step S718 differs from the processing of step S410, step S414, and step S418 in the flowchart shown in the example of FIG. 4 immediately after the determination processing (step S708, step S712, and step S716). It is a point to go.
ステップS720では、整合勧告又は統合勧告があるか否かを判断する。つまり、ステップS706、ステップS710、ステップS714、ステップS718のいずれかの処理が行われた場合はステップS724へ進み、それ以外の場合はステップS722へ進む。
ステップS722からステップS728までの各処理は、図4の例に示すフローチャートのステップS420からステップS426までの各処理とそれぞれ同等である。
In step S720, it is determined whether there is a matching recommendation or an integrated recommendation. That is, if any of Step S706, Step S710, Step S714, and Step S718 is performed, the process proceeds to Step S724. Otherwise, the process proceeds to Step S722.
Each process from step S722 to step S728 is equivalent to each process from step S420 to step S426 in the flowchart shown in the example of FIG.
図8は、類似コントロール検出モジュール115が是正勧告を検知又は受信した場合に、リスクマネジメント装置110のディスプレイに表示する是正勧告表示画面例800を示す説明図である。
是正勧告表示画面例800は、MSID表示欄802、コントロールID表示欄804、取得対象アクティビティID表示欄806、対象期間表示欄808、是正勧告内容表示欄810、自MS是正項目表示欄812、相手MS是正項目表示欄814、相手MS担当者表示欄816、相手MS担当者電話番号表示欄818、相手MS担当者メールアドレス表示欄820を有している。
つまり、母集団データ取得監視モジュール120から受け取った通知に基づいてMSID表示欄802から対象期間表示欄808を埋め、図4又は図8の例に示したフローチャートの処理結果に基づいて是正勧告内容表示欄810から相手MS是正項目表示欄814を埋める。
FIG. 8 is an explanatory diagram showing a correction recommendation display screen example 800 displayed on the display of the risk management apparatus 110 when the similar control detection module 115 detects or receives a correction recommendation.
A correction recommendation display screen example 800 includes an
That is, based on the notification received from the population data
そして、担当者テーブル900、連絡先テーブル1000を用いて、相手MS担当者表示欄816、相手MS担当者電話番号表示欄818、相手MS担当者メールアドレス表示欄820を埋める。図9は、担当者テーブル900のデータ構造例を示す説明図である。担当者テーブル900は、MSID欄910、コントロールID欄920、担当者ID欄930を有している。
MSID欄910は、リスクマネジメント装置110のMSIDを記憶する。
コントロールID欄920は、そのリスクマネジメント装置110におけるコントロールのコントロールIDを記憶する。
担当者ID欄930は、そのコントロールを担当する担当者を一意に識別する担当者IDを記憶する。
図10は、連絡先テーブル1000のデータ構造例を示す説明図である。
連絡先テーブル1000は、担当者ID欄1010、名前欄1020、連絡先電話番号欄1030、連絡先メールアドレス欄1040を有している。
担当者ID欄1010は、担当者の担当者IDを記憶する。
名前欄1020は、その担当者の名前を記憶する。
連絡先電話番号欄1030は、その担当者の連絡先である電話番号を記憶する。
連絡先メールアドレス欄1040は、その担当者の連絡先であるメールアドレスを記憶する。
類似コントロール検出モジュール115は、母集団データ取得監視モジュール120から受け取った通知内のMSID、コントロールIDに基づいて担当者テーブル900から担当者IDを抽出し、その担当者IDに基づいて連絡先テーブル1000から名前、電話番号、メールアドレスを抽出して、相手MS担当者表示欄816、相手MS担当者電話番号表示欄818、相手MS担当者メールアドレス表示欄820に記憶させる。
Then, using the person-in-charge table 900 and the contact table 1000, the partner MS person in
The
The
The person-in-
FIG. 10 is an explanatory diagram showing an example of the data structure of the contact address table 1000.
The contact table 1000 includes a person-in-
The person-in-
The
The contact
The contact
The similar control detection module 115 extracts a person-in-charge ID from the person-in-charge table 900 based on the MSID and control ID in the notification received from the population data
なお、本実施の形態としてのプログラムが実行されるコンピュータ(リスクマネジメント装置110、母集団データ取得監視モジュール120を構成として有する情報処理装置、BPM130)のハードウェア構成は、図11に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバーとなり得るコンピュータ等である。つまり、具体例として、処理部(演算部)としてCPU1101を用い、記憶装置としてRAM1102、ROM1103、HD1104を用いている。HD1104として、例えばハードディスクを用いてもよい。母集団データ取得監視モジュール120、類似コントロール検出モジュール115等のプログラムを実行するCPU1101と、そのプログラムやデータを記憶するRAM1102と、本コンピュータを起動するためのプログラム等が格納されているROM1103と、補助記憶装置であるHD1104と、キーボード、マウス等のデータを入力する入力装置1106と、CRTや液晶ディスプレイ等の出力装置1105と、ネットワークインタフェースカード等の通信ネットワークと接続するための通信回線インタフェース1107、そして、それらをつないでデータのやりとりをするためのバス1108により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
Note that the hardware configuration of a computer (risk management apparatus 110, information processing apparatus having the population data
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図11に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図11に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えばASIC等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図11に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
Among the above-described embodiments, the computer program is a computer program that reads the computer program, which is software, in the hardware configuration system, and the software and hardware resources cooperate with each other. Is realized.
Note that the hardware configuration illustrated in FIG. 11 illustrates one configuration example, and the present embodiment is not limited to the configuration illustrated in FIG. 11, and is a configuration capable of executing the modules described in the present embodiment. I just need it. For example, some modules may be configured by dedicated hardware (for example, ASIC), and some modules may be in an external system and connected via a communication line. A plurality of systems shown in FIG. 5 may be connected to each other via communication lines so as to cooperate with each other. In particular, in addition to personal computers, information appliances, copiers, fax machines, scanners, printers, and multifunction machines (image processing apparatuses having two or more functions of scanners, printers, copiers, fax machines, etc.) Etc. may be incorporated.
前述の実施の形態においては、BPM130が1台である場合は、母集団データ取得監視モジュール120をBPM130に組み込んで構成してもよい。
前記実施の形態においては、図3、9、10で示したデータ構造は、これらのデータ構造に限られず、他のデータ構造であってもよい。例えば、テーブル構造ではなく、リンク構造等であってもよい。また、データ項目は、これらに図示したものに限られず、他のデータ項目を有していてもよい。
In the above-described embodiment, when there is one BPM 130, the population data
In the above embodiment, the data structures shown in FIGS. 3, 9, and 10 are not limited to these data structures, and may be other data structures. For example, a link structure or the like may be used instead of the table structure. Further, the data items are not limited to those shown in the drawings, and may have other data items.
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray Disc(登録商標))、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
The program described above may be provided by being stored in a recording medium, or the program may be provided by communication means. In that case, for example, the above-described program may be regarded as an invention of a “computer-readable recording medium recording the program”.
The “computer-readable recording medium on which a program is recorded” refers to a computer-readable recording medium on which a program is recorded, which is used for program installation, execution, program distribution, and the like.
The recording medium is, for example, a digital versatile disc (DVD), which is a standard established by the DVD Forum, such as “DVD-R, DVD-RW, DVD-RAM,” and DVD + RW. Standard “DVD + R, DVD + RW, etc.”, compact disc (CD), read-only memory (CD-ROM), CD recordable (CD-R), CD rewritable (CD-RW), Blu-ray disc ( Blu-ray Disc (registered trademark), magneto-optical disk (MO), flexible disk (FD), magnetic tape, hard disk, read-only memory (ROM), electrically erasable and rewritable read-only memory (EEPROM), flash Includes memory, random access memory (RAM), etc. .
The program or a part of the program may be recorded on the recording medium for storage or distribution. Also, by communication, for example, a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), a wired network used for the Internet, an intranet, an extranet, etc., or wireless communication It may be transmitted using a transmission medium such as a network or a combination of these, or may be carried on a carrier wave.
Furthermore, the program may be a part of another program, or may be recorded on a recording medium together with a separate program. Moreover, it may be divided and recorded on a plurality of recording media. Further, it may be recorded in any manner as long as it can be restored, such as compression or encryption.
110…リスクマネジメント装置
115…類似コントロール検出モジュール
120…母集団データ取得監視モジュール
125…母集団取得履歴DB
130…BPM
DESCRIPTION OF SYMBOLS 110 ... Risk management apparatus 115 ... Similar
130 ... BPM
Claims (1)
前記要求受取手段によって受け取られた第1の統制処理装置からの第1の要求の対象と前記要求受取手段によって受け取られた第2の統制処理装置からの第2の要求の対象が同じ場合は、前記第1の統制処理装置又は前記第2の統制処理装置に、該活動に対する統制のコントロールを統合すべきか否かの判断を行わせる指示を通知する統合判断通知手段
を備える情報処理装置と、
前記情報処理装置と接続されており、活動に対する統制のコントロールを統合すべきか否かの判断指示を前記情報処理装置から受け取る指示受取手段と、
前記指示受取手段によって受け取られた指示に基づいて、前記活動に対する統制における年度期間、該活動に対する統制における証憑のサンプリング方法、該活動に対する統制における評価の手続き種別、該活動に対する統制におけるコントロールの目的のうちいずれか1つ以上に基づいて、コントロールを統合すべきか否かの判断を行う判断手段
を備える複数の統制処理装置
を具備することを特徴とする情報処理システム。 Request receiving means for receiving a request for information on the activity from the control processing device that performs processing on control of the activity with respect to the activity information storage device storing the information on the activity;
If the subject of the first request from the first control processing device received by the request receiving means is the same as the subject of the second request from the second control processing device received by the request receiving means, An information processing apparatus comprising: an integrated determination notification means for notifying the first control processing apparatus or the second control processing apparatus of an instruction to determine whether or not to control control for the activity should be integrated;
An instruction receiving means connected to the information processing apparatus for receiving from the information processing apparatus a determination instruction as to whether or not to integrate control of control over activities;
Based on the instruction received by the instruction receiving means, the annual period in the control for the activity, the method of sampling the voucher in the control for the activity, the procedure type of the evaluation in the control for the activity, the purpose of the control in the control for the activity An information processing system comprising: a plurality of control processing devices including determination means for determining whether or not to integrate controls based on any one or more of them.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009210893A JP5397111B2 (en) | 2009-09-11 | 2009-09-11 | Information processing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009210893A JP5397111B2 (en) | 2009-09-11 | 2009-09-11 | Information processing system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011060132A JP2011060132A (en) | 2011-03-24 |
| JP5397111B2 true JP5397111B2 (en) | 2014-01-22 |
Family
ID=43947668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009210893A Expired - Fee Related JP5397111B2 (en) | 2009-09-11 | 2009-09-11 | Information processing system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5397111B2 (en) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11272536A (en) * | 1998-03-20 | 1999-10-08 | Nippon Telegr & Teleph Corp <Ntt> | How to lock database data |
| JP2007170019A (en) * | 2005-12-21 | 2007-07-05 | Matsushita Electric Works Ltd | Gate control system and gate controller |
| JP5145784B2 (en) * | 2007-06-15 | 2013-02-20 | 富士ゼロックス株式会社 | Information processing system and information processing program |
-
2009
- 2009-09-11 JP JP2009210893A patent/JP5397111B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011060132A (en) | 2011-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020142245A1 (en) | Identification, prediction, and assessment of cyber security risk | |
| US9077609B2 (en) | Scalable reusable scanning of application networks/systems | |
| US8384930B2 (en) | Document management system for vouchers and the like | |
| Woods et al. | Towards integrating insurance data into information security investment decision making | |
| US20120209846A1 (en) | Document processing system and computer readable medium | |
| KR100929844B1 (en) | Audit information system based on the enterprise resource management system, method of operating audit information using the same, and recording media recording the program | |
| JP5397111B2 (en) | Information processing system | |
| KR20090001786A (en) | Business Impact Analysis System due to Computational Disability | |
| KR101415528B1 (en) | Apparatus and Method for processing data error for distributed system | |
| JP2016045840A (en) | Information processor and information processing program | |
| JP5751376B1 (en) | Information processing apparatus and information processing program | |
| JP7163687B2 (en) | Information processing device, information processing system and information processing program | |
| JP5157309B2 (en) | Information processing system and information processing program | |
| US9531611B2 (en) | Device management system and method | |
| JP5195108B2 (en) | Information processing apparatus and information processing program | |
| JP2008234503A (en) | Information processing system and information processing program | |
| JP2010287009A (en) | Apparatus and program for processing information | |
| JP5787017B1 (en) | Information processing apparatus and information processing program | |
| JP5088125B2 (en) | Control processing system and control processing program | |
| JP5880144B2 (en) | Information processing apparatus and information processing program | |
| Dewi et al. | Risk Management Analysis of Information Technology (IT) Asset Security Using ISO 31000 and FMEA | |
| Lubis et al. | Assessing Network Accounting Management Approaches | |
| JP2009042865A (en) | Information processor, information processing program, and information processing system | |
| US20180253872A1 (en) | Information processing device | |
| Oye et al. | Future of Data Privacy Regulations Beyond CCPA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120817 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130903 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130905 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130924 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131007 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |