Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5397111B2 - 情報処理システム - Google Patents
[go: Go Back, main page]

JP5397111B2 - 情報処理システム - Google Patents

情報処理システム Download PDF

Info

Publication number
JP5397111B2
JP5397111B2 JP2009210893A JP2009210893A JP5397111B2 JP 5397111 B2 JP5397111 B2 JP 5397111B2 JP 2009210893 A JP2009210893 A JP 2009210893A JP 2009210893 A JP2009210893 A JP 2009210893A JP 5397111 B2 JP5397111 B2 JP 5397111B2
Authority
JP
Japan
Prior art keywords
control
activity
request
column
risk management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009210893A
Other languages
English (en)
Other versions
JP2011060132A (ja
Inventor
明 黒澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2009210893A priority Critical patent/JP5397111B2/ja
Publication of JP2011060132A publication Critical patent/JP2011060132A/ja
Application granted granted Critical
Publication of JP5397111B2 publication Critical patent/JP5397111B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、情報処理システム、情報処理装置及び情報処理プログラムに関する。
企業の統制活動の一環としてリスク管理が体系的に行われている。
これに関連する技術として、例えば、特許文献1には、企業に関係する品質、環境、労働安全衛生、CSR(Corporate Social Responsibility)の各リスクを一元的に統合し、リスクによる損害から企業活動を守り、さらに企業の社会的責任を高め持続的成長を指向するマネジメントに供する統合アセスメント・コントロール表を提供することを課題とし、リスクとしてコントロールすべき事象を列挙する共通項目の欄と、リスク評価対象となる複数のリスクアセスメント項目の欄と、管理すべき対象のリスク低減活動の結果を記入するリスクコントロール項目の欄とを備え、複数のリスクアセスメント項目が、少なくとも、品質リスクアセスメント、労働安全衛生リスクアセスメント、環境リスクアセスメント、情報セキュリティリスクアセスメント、CSRアセスメントからなり、企業がこれを活用することにより、企業活動におけるリスクをより高度にコントロールでき、企業の存在と存続を守ることができることが開示されている。
特開2006−110978号公報
本発明は、複数の統制処理装置におけるそれぞれの統制活動がなされている場合において、別々に行われているコントロールを統合すべきか否かの判断を行わせるようにした情報処理システム、情報処理装置及び情報処理プログラムを提供することを目的としている。
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、活動に関する情報を記憶している活動情報記憶装置に対して、活動の統制に関する処理を行う統制処理装置からの該活動に関する情報の要求を受け取る要求受取手段と、前記要求受取手段によって受け取られた第1の統制処理装置からの第1の要求の対象と前記要求受取手段によって受け取られた第2の統制処理装置からの第2の要求の対象が同じ場合は、前記第1の統制処理装置又は前記第2の統制処理装置に、該活動に対する統制のコントロールを統合すべきか否かの判断を行わせる指示を通知する統合判断通知手段を備える情報処理装置と、前記情報処理装置と接続されており、活動に対する統制のコントロールを統合すべきか否かの判断指示を前記情報処理装置から受け取る指示受取手段と、前記指示受取手段によって受け取られた指示に基づいて、前記活動に対する統制における年度期間、該活動に対する統制における証憑のサンプリング方法、該活動に対する統制における評価の手続き種別、該活動に対する統制におけるコントロールの目的のうちいずれか1つ以上に基づいて、コントロールを統合すべきか否かの判断を行う判断手段を備える複数の統制処理装置を具備することを特徴とする情報処理システムである。
請求項1記載の情報処理システムによれば、複数の統制処理装置におけるそれぞれの統制活動がなされている場合において、別々に行われているコントロールを統合すべきか否かの判断を行わせることができるようになる。
本実施の形態の構成例についての概念的なモジュール構成図である。 本実施の形態の母集団データ取得監視モジュールによる処理例を示すフローチャートである。 母集団取得履歴DBのデータ構造例を示す説明図である。 本実施の形態の類似コントロール検出モジュールによる処理例を示すフローチャートである。 本実施の形態の母集団データ取得監視モジュールによる処理例を示すフローチャートである。 本実施の形態の他方の類似コントロール検出モジュールによる処理例を示すフローチャートである。 本実施の形態の類似コントロール検出モジュールによる別の処理例を示すフローチャートである。 是正勧告表示画面例を示す説明図である。 担当者テーブルのデータ構造例を示す説明図である。 連絡先テーブルのデータ構造例を示す説明図である。 本実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
まず、本実施の形態の対象となる企業の統制活動の一例として、財務内部統制について説明する。
近年、財務内部統制が求められている。その財務内部統制とは、1992年にCOSO(トレッドウェイ委員会組織委員会)が発表した「内部統制−統合的枠組み」が、事実上の標準となっており、「(1)業務の有効性・効率性、(2)財務諸表の信頼性、(3)関連法規の遵守の3つの目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者及びその他の職員によって遂行される1つのプロセス」と定義されている。
財務内部統制において、活動/システム/資源/知識情報などの関係を整理して業務プロセスを文書化する必要がある。財務内部統制の文書としては、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表の4文書がある。
まず、内部統制の「基本4文書」について説明する。
基本4文書とは、財務内部統制の対象となる業務プロセス毎に作成される基本文書のことをいい、具体的には、業務記述書、業務フロー図、RCM(リスク・コントロール・マトリックス)、職務分離表がある。
業務記述書とは、ナラティブとも呼ばれる。取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを文書化したものである。人事規定、経理業務規定などの規定書類は、業務記述書の上位文書であり、その改訂は、業務記述書に影響を与える。また、業務マニュアルは、業務記述書の下位文書であり、その改訂に影響を受ける。
業務フロー図とは、取引の開始から最終的な総勘定元帳への記帳、報告へ至るまでの一連の業務の流れを視覚的にフローチャート化したものである。リスクとコントロールもこのフロー上に配置される。
RCM(リスク・コントロール・マトリックス)とは、業務プロセスに関連する内部統制活動について、達成されるべき統制上の要点(アサーション)、想定されるリスク、対応する内部統制活動を一覧表としてまとめたものである。つまり、リスクとそれを低減するコントロールのペアを記述したものである。
職務分離表とは、業務プロセスの流れの中で、財務統制上問題となるような、同一の担当者による処理の重複が発生していないかをチェックするためのものである。
なお、アサーションとは、財務情報が信頼性のある情報といえるための前提条件となるものであり、具体的には、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6項目が一般には使用されるが、各社また監査法人により一部変更があるため、カスタマイズできることが望ましい。また、財務リスクに対して、アサーションの観点でリスクが網羅されていることが必要で、これら6つのアサーションのいずれかに該当するリスクは重要性が高いといえる。
リスクとは、業務プロセス上で想定されるアサーションに対する阻害要因のことをいう。
コントロールとは、リスクに対する内部統制活動のことをいい、統制のタイプとして、防止的、発見的等がある。
また、財務内部統制において、財務に関連した業務を分析しその結果をまとめた文書に対して、その文書の正当性と正確性をチェックする整備評価と文書通りに運用されているかをテストする運用評価の2種類の評価がある。
運用評価は、コントロールに記載される活動が正しく実施されていることを確認することである。運用評価フェーズにおいて実際の企業活動(財務内部統制等においては取引活動等)をサンプリングし、そのコントロールが適切に実施されたことを証明する書類(証憑)を担当者から収集する(又は収集依頼する)ことを行っている。
業務統制の運用テスト負担軽減とIT全般統制の整備コスト負担増加を効果的にバランスさせるには、以下に示す3つの手順で実施する必要がある。
(1)業務統制におけるITシステムを用いた(自動化された)統制の洗い出し。
(2)前記(1)の統制から、重要な統制を選別する。
(3)前記(2)の統制が依存するITシステムの洗い出し。つまり、IT全般統制の対象を決定する。
しかし、業務統制とIT全般統制はそれぞれ実施担当者が異なり、また統制整備の時期も異なる場合もあるため、IT全般統制におけるITシステムの対象選択時に前述のフィードバック(前記(3)を行うには前記(1)が必要である)を行うには困難なケースが多く、主観的な選択とならざるを得なかった。本実施の形態は、このような状況、つまり、複数の統制処理装置があり、その運用テストにおける証憑収集が別個に行われており、各担当者が異なるような場合に利用するものである。
以下、図面に基づき本発明を実現するにあたっての好適な一実施の形態の例を説明する。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、コンピュータ・プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。
本実施の形態である情報処理システムは、図1の例に示すように、リスクマネジメント装置110、母集団データ取得監視モジュール120を構成として有する情報処理装置、BPM(Business Process Management system)130を有している。図1の例では、リスクマネジメント装置110、BPM130はそれぞれ複数であるが、BPM130は1台であってもよいし、リスクマネジメント装置110も同じ活動に対してコントロールが異なる場合があるのであれば、物理的な筐体として1台のリスクマネジメント装置110であってもよい。ただし、リスクマネジメント装置110が物理的な筐体として1台であったとしても、同じ活動に対してコントロールが異なる場合があるのであれば、本実施の形態では複数のリスクマネジメント装置110として捉える。なお、リスクマネジメント装置110、母集団データ取得監視モジュール120、BPM130は、それぞれ通信回線を介して接続されている。
リスクマネジメント装置110は、活動の統制に関する処理を行う。例えば、具体的には、財務内部統制におけるRMS(Risk Management System)、情報セキュリティマネジメントシステム(Information Security Management System、以下、単に「ISMS」ともいう)、品質マネジメントシステム(Quality Management System、以下、単に「QMS」ともいう)等が該当する。例えば、リスクマネジメント装置110Aが財務内部統制におけるRMSであり、リスクマネジメント装置110BがISMSであるように、異なるRMSが並立している。
リスクマネジメント装置110は、運用テストにおける統制実施の証憑を収集するために、BPM130から母集団データを収集する。例えば、より具体的には、RMSの担当者が、証憑の収集を他の担当者に依頼するために、BPM130から、対象活動の一覧(以下、母集団データともいう。例えば、財務内部統制などでは取引の一覧等が該当する)を入手する。そして、その一覧からサンプリングを行って収集活動を実施する。なお、証憑とは、コントロール活動の証跡となる証拠であり、紙伝票などではスキャン登録された画像データ等を含んでいてもよい。
BPM130は、活動に関する情報を記憶している。ビジネスプロセスの運用管理などを支援する情報処理装置であり、例えば、具体的には、ワークフローシステム、EAI(Enterprise Application Integration)等が該当する。
BPM130は、母集団データを記憶しており、リスクマネジメント装置110からの要求に応じて、その母集団データをリスクマネジメント装置110へ渡す。
母集団データ取得監視モジュール120は、要求受取モジュール121と統合判断モジュール122を有し、リスクマネジメント装置110、母集団取得履歴DB125、BPM130と接続されている。
要求受取モジュール121は、類似コントロール検出モジュール115とBPM130との間にあり、両者間の通信のやりとりを監視する。つまり、BPM130に対しての、リスクマネジメント装置110からの活動に関する情報の要求を受け取る。
そして、統合判断モジュール122は、要求受取モジュール121によって受け取られたリスクマネジメント装置110Aからの第1の要求の対象とリスクマネジメント装置110Bからの第2の要求の対象が同じ場合は、リスクマネジメント装置110Aの類似コントロール検出モジュール115A又はリスクマネジメント装置110Bの類似コントロール検出モジュール115Bに、その活動に対する統制のコントロールを統合すべきか否かの判断を行わせる指示を通知する。その判断をするために、母集団データ取得監視モジュール120は、受け取られたリスクマネジメント装置110からの要求の対象を母集団取得履歴DB125に記憶させる。そして、新たにリスクマネジメント装置110からの要求を受け取ったときに、母集団取得履歴DB125内に記憶されている要求の履歴から該当する要求を検索して、該当する要求があれば、統合すべきか否かの判断を行わせる指示を類似コントロール検出モジュール115A又は類似コントロール検出モジュール115Bに通知する。母集団データ取得監視モジュール120が行う処理については、図2を用いて後述する。
母集団取得履歴DB125は、母集団データ取得監視モジュール120からアクセスされる。母集団データ取得監視モジュール120が受け取った要求の内容を記憶する。例えば、母集団取得履歴DB300を記憶する。図3は、母集団取得履歴DB300のデータ構造例を示す説明図である。母集団取得履歴DB300は、ID欄310、取得対象アクティビティID欄320、取得日時欄330、取得対象期間欄340、要求元のMSID欄350、要求元のコントロールID欄360、是正勧告済み対象ID欄370を有している。
ID欄310は、リスクマネジメント装置110からBPM130への要求を一意に識別するID(IDentification)を記憶する。
取得対象アクティビティID欄320は、その要求の内容の一部(母集団データ内における対象とする活動、具体的には、アクティビティ(取引種別))を記憶する。
取得日時欄330は、その要求又は要求に対する返信が行われた日時(年、時分秒等を含んでいてもよい)を記憶する。
取得対象期間欄340は、その要求の内容の一部(母集団データ内における対象とする活動の期間)を記憶する。
要求元のMSID欄350は、その要求を行ったリスクマネジメント装置110を一意に識別するMSIDを記憶する。
要求元のコントロールID欄360は、その要求を行ったリスクマネジメント装置110におけるコントロールを一意に識別するコントロールIDを記憶する。
是正勧告済み対象ID欄370は、是正勧告が行われた場合に、その要求のID(ID欄310のID)に対応する他の要求のID(ID欄310のID)を記憶する。
リスクマネジメント装置110内の類似コントロール検出モジュール115は、指示受取モジュール116と判断モジュール117を有する。
指示受取モジュール116は、母集団データ取得監視モジュール120から活動に対する統制のコントロールを統合すべきか否かの判断指示を受け取る。
そして、判断モジュール117は、指示受取モジュール116によって受け取られた判断指示に基づいて、活動に対する統制における年度期間、その活動に対する統制における証憑のサンプリング方法、その活動に対する統制における評価の手続き種別、その該活動に対する統制におけるコントロールの目的のうちいずれか1つ以上に基づいて、コントロールを統合すべきか否かの判断を行う。
また、類似コントロール検出モジュール115内の判断モジュール117は、さらに、年度期間の整合、サンプリング方法の整合、手続き種別の統合、コントロールの目的の統合のうちいずれか1つ以上を行うか否かの判断を行うようにしてもよい。類似コントロール検出モジュール115が行う処理については、図4等を用いて後述する。
図2は、本実施の形態の母集団データ取得監視モジュール120による処理例を示すフローチャートである。概略的な処理として、母集団データ取得監視モジュール120は、リスクマネジメント装置110によるBPM130への母集団データの取得を監視し、その監視の結果を基に統合可能なコントロールの候補を検出する。なお、ステップS202の処理は要求受取モジュール121によって行われ、ステップS204からステップS210までの処理は統合判断モジュール122によって行われる。
ステップS202では、リスクマネジメント装置110からBPM130への母集団データ取得要求を受信する。
ステップS204では、ステップS202で受信した母集団データ取得要求を母集団取得履歴DB300に登録する。より具体的には、その要求の内容を取得対象アクティビティID欄320、取得対象期間欄340に記憶させ、要求元のリスクマネジメント装置110のMSID、コントロールIDをそれぞれ要求元のMSID欄350、要求元のコントロールID欄360に記憶させる。そして、その要求を受信した日時(又はBPM130が母集団データ取得要求を返信した日時)を取得日時欄330に記憶させる。
ステップS206では、「要求元のMSID、要求元のコントロールID」の組が異なり、取得対象アクティビティID、取得対象期間が同じデータが母集団取得履歴DBにあるか否かを判断する。データがあった場合はステップS208へ進み、それ以外の場合は処理を終了する(ステップS299)。つまり、例えば、異なるコントロールから同じアクティビティの母集団データ取得要求がBPM130に対してあった場合には、重複する母集団データ取得要求として検出する。
ステップS208では、両者のいずれか一方に是正勧告済み対象IDが既にあるか否かを判断する。既にあった場合は処理を終了し(ステップS299)、それ以外の場合はステップS210へ進む。つまり、過去に行われた是正勧告にしたがって、コントロールの統合等の修正が行われていた場合は、今回の是正勧告の対象とはしない。
ステップS210では、同じ母集団データの取得が行われた旨の通知を、ステップS202で受信した母集団データ取得要求を行ったリスクマネジメント装置110へ送信する。また、ステップS206で同じ取得対象アクティビティID、取得対象期間の母集団データ取得要求を行ったリスクマネジメント装置110へ送信してもよい。
図4は、本実施の形態の類似コントロール検出モジュール115による処理例を示すフローチャートである。概略的な処理として、類似コントロール検出モジュール115は、母集団データ取得監視モジュール120から受け取った通知(重複しているコントロール情報)を基に、そのコントロールの統合を判断し、結果を是正勧告として担当者に通知する。そして、担当者による是正の承認を受けると、類似コントロール検出モジュール115は通知した是正勧告に基づきコントロールの統合を実行する。なお、フローチャート内の各判断処理(ステップS404、ステップS408、ステップS412、ステップS416)は、母集団データ取得監視モジュール120から受け取った通知以外に、他のリスクマネジメント装置110と通信を行って、他のリスクマネジメント装置110で用いている情報と比較してもよい。なお、ステップS402の処理は指示受取モジュール116によって行われ、ステップS404からステップS426までの処理は判断モジュール117によって行われる。
ステップS402では、母集団データ取得監視モジュール120から同じ母集団データの取得通知を受信する。
ステップS404では、年度期間が同じであるか否かを判断する。同じである場合はステップS408へ進み、それ以外の場合はステップS406へ進む。なお、年度期間とは、統制活動を行う期間(年度)であり、通常はリスクマネジメント装置110単位で定められている。
期間整合性はすべての勧告実施の前提条件であるため、他の条件と独立した是正勧告事項とする。それ以外は、下位レベルの整合性として判定し、差異が見つかったレベルでの統合勧告を実施する。
ステップS406では、期間整合勧告を追加する。この後、ステップS408へ進む。
ステップS408では、サンプリング方法が同じであるか否かを判断する。同じである場合はステップS412へ進み、それ以外の場合はステップS410へ進む。なお、サンプリング方法とは、母集団データの中から評価を行うために、サンプルを抽出する方式であり、具体的には、ランダムサンプリングや系統的サンプリング(1件目をランダムに選択し、以降等間隔にサンプリング)などがある。また、サンプリングする件数やその他の属性条件(金額が予め定められた額以上など)等を含めてもよい。
ステップS410では、サンプリング方式整合勧告を登録する。この後、ステップS422へ進む。
ステップS412では、手続き種別が同じであるか否かを判断する。同じである場合はステップS416へ進み、それ以外の場合はステップS414へ進む。なお、手続き種別とは、評価の際のテストを行う方法であり、具体的には、照合、閲覧、観察、質問等がある。
ステップS414では、収集活動レベル統合勧告を登録する。この後、ステップS422へ進む。
ステップS416では、統制目的が同じであるか否かを判断する。同じである場合はステップS420へ進み、それ以外の場合はステップS418へ進む。なお、統制目的とは、コントロールが統制する目的を示し、具体的には、網羅性、正確性、正当性、維持継続性等がある。
ステップS418では、テストレベル統合勧告を登録する。この後、ステップS422へ進む。
ステップS420では、コントロール統合勧告を登録する。つまり、サンプリング方法、手続き種別、統制目的が同じ場合は、コントロールの統合勧告を登録する。
ステップS422では、是正勧告を送信する。つまり、ステップS406、ステップS410、ステップS414、ステップS418、ステップS420の勧告を是正勧告として、他のリスクマネジメント装置110の類似コントロール検出モジュール115(図2に例示したフローチャート内のステップS206でYesとなり、ステップS299で同じ母集団データの取得通知が送信されなかったリスクマネジメント装置110)、母集団データ取得監視モジュール120へ送信する。
ステップS424では、承認されたか否かを判断する。承認された場合はステップS426へ進み、それ以外の場合は処理を終了する(ステップS499)。図4の例に示すフローチャートの処理を行ったリスクマネジメント装置110の担当者は、ステップS422で同様の是正勧告を送信した他のリスクマネジメント装置110の担当者と協議して、承認するか否かを決定する。類似コントロール検出モジュール115は、その決定結果を受け取って、承認か否かを判断する。
ステップS426では、承認されたコントロールの統合を実行する。例えば、異なったリスクマネジメント装置110間で、同じコントロールとして変更する。また、サンプリング方法等の整合を行うようにしてもよい。
図5は、本実施の形態の母集団データ取得監視モジュール120による処理例を示すフローチャートである。
ステップS502では、是正勧告を受信する。より具体的には、図4の例に示すフローチャートのステップS422で送信された是正勧告を受信する。
ステップS504では、母集団取得履歴DB300内の是正勧告済み対象ID欄370に互いのIDを記録させる。つまり、是正勧告を送信したリスクマネジメント装置110、その是正勧告を受信したリスクマネジメント装置110に対応する是正勧告済み対象ID欄370に、互いのID(ID欄310)を記録させる。図3の例では、ID欄310が「1」である行の是正勧告済み対象ID欄370に「3」を記録し、ID欄310が「3」である行の是正勧告済み対象ID欄370に「1」を記録している。
図6は、本実施の形態の他方の類似コントロール検出モジュール115による処理例を示すフローチャートである。図4の例に示すフローチャートのステップS422で是正勧告が送信された他のリスクマネジメント装置110の類似コントロール検出モジュール115が行う処理である。
ステップS602では、是正勧告を受信する。より具体的には、ステップS422で送信された是正勧告を受信する。
ステップS604では、承認されたか否かを判断する。承認された場合はステップS606へ進み、それ以外の場合は処理を終了する(ステップS699)。ステップS424と同等の処理である。
ステップS606では、コントロールの統合を実行する。ステップS426と同等の処理である。
図7は、本実施の形態の類似コントロール検出モジュール115による別の処理例を示すフローチャートである。図4の例に示すフローチャートでは、期間整合性はすべての勧告実施の前提条件としたが、他のものと同等に扱い、2つ以上の勧告を含む場合があるように処理を行うものである。なお、ステップS702の処理は指示受取モジュール116によって行われ、ステップS704からステップS728までの処理は判断モジュール117によって行われる。
ステップS702からステップS706まで、ステップS708、ステップS712、ステップS716の各処理は、図4の例に示すフローチャートのステップS402からステップS406まで、ステップS408、ステップS412、ステップS416の各処理とそれぞれ同等である。
ステップS710、ステップS714、ステップS718の処理が、図4の例に示すフローチャートのステップS410、ステップS414、ステップS418の処理と異なるところは、判断処理(ステップS708、ステップS712、ステップS716)の直後に進む点である。
ステップS720では、整合勧告又は統合勧告があるか否かを判断する。つまり、ステップS706、ステップS710、ステップS714、ステップS718のいずれかの処理が行われた場合はステップS724へ進み、それ以外の場合はステップS722へ進む。
ステップS722からステップS728までの各処理は、図4の例に示すフローチャートのステップS420からステップS426までの各処理とそれぞれ同等である。
図8は、類似コントロール検出モジュール115が是正勧告を検知又は受信した場合に、リスクマネジメント装置110のディスプレイに表示する是正勧告表示画面例800を示す説明図である。
是正勧告表示画面例800は、MSID表示欄802、コントロールID表示欄804、取得対象アクティビティID表示欄806、対象期間表示欄808、是正勧告内容表示欄810、自MS是正項目表示欄812、相手MS是正項目表示欄814、相手MS担当者表示欄816、相手MS担当者電話番号表示欄818、相手MS担当者メールアドレス表示欄820を有している。
つまり、母集団データ取得監視モジュール120から受け取った通知に基づいてMSID表示欄802から対象期間表示欄808を埋め、図4又は図8の例に示したフローチャートの処理結果に基づいて是正勧告内容表示欄810から相手MS是正項目表示欄814を埋める。
そして、担当者テーブル900、連絡先テーブル1000を用いて、相手MS担当者表示欄816、相手MS担当者電話番号表示欄818、相手MS担当者メールアドレス表示欄820を埋める。図9は、担当者テーブル900のデータ構造例を示す説明図である。担当者テーブル900は、MSID欄910、コントロールID欄920、担当者ID欄930を有している。
MSID欄910は、リスクマネジメント装置110のMSIDを記憶する。
コントロールID欄920は、そのリスクマネジメント装置110におけるコントロールのコントロールIDを記憶する。
担当者ID欄930は、そのコントロールを担当する担当者を一意に識別する担当者IDを記憶する。
図10は、連絡先テーブル1000のデータ構造例を示す説明図である。
連絡先テーブル1000は、担当者ID欄1010、名前欄1020、連絡先電話番号欄1030、連絡先メールアドレス欄1040を有している。
担当者ID欄1010は、担当者の担当者IDを記憶する。
名前欄1020は、その担当者の名前を記憶する。
連絡先電話番号欄1030は、その担当者の連絡先である電話番号を記憶する。
連絡先メールアドレス欄1040は、その担当者の連絡先であるメールアドレスを記憶する。
類似コントロール検出モジュール115は、母集団データ取得監視モジュール120から受け取った通知内のMSID、コントロールIDに基づいて担当者テーブル900から担当者IDを抽出し、その担当者IDに基づいて連絡先テーブル1000から名前、電話番号、メールアドレスを抽出して、相手MS担当者表示欄816、相手MS担当者電話番号表示欄818、相手MS担当者メールアドレス表示欄820に記憶させる。
なお、本実施の形態としてのプログラムが実行されるコンピュータ(リスクマネジメント装置110、母集団データ取得監視モジュール120を構成として有する情報処理装置、BPM130)のハードウェア構成は、図11に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバーとなり得るコンピュータ等である。つまり、具体例として、処理部(演算部)としてCPU1101を用い、記憶装置としてRAM1102、ROM1103、HD1104を用いている。HD1104として、例えばハードディスクを用いてもよい。母集団データ取得監視モジュール120、類似コントロール検出モジュール115等のプログラムを実行するCPU1101と、そのプログラムやデータを記憶するRAM1102と、本コンピュータを起動するためのプログラム等が格納されているROM1103と、補助記憶装置であるHD1104と、キーボード、マウス等のデータを入力する入力装置1106と、CRTや液晶ディスプレイ等の出力装置1105と、ネットワークインタフェースカード等の通信ネットワークと接続するための通信回線インタフェース1107、そして、それらをつないでデータのやりとりをするためのバス1108により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図11に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図11に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えばASIC等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図11に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
前述の実施の形態においては、BPM130が1台である場合は、母集団データ取得監視モジュール120をBPM130に組み込んで構成してもよい。
前記実施の形態においては、図3、9、10で示したデータ構造は、これらのデータ構造に限られず、他のデータ構造であってもよい。例えば、テーブル構造ではなく、リンク構造等であってもよい。また、データ項目は、これらに図示したものに限られず、他のデータ項目を有していてもよい。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray Disc(登録商標))、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
110…リスクマネジメント装置
115…類似コントロール検出モジュール
120…母集団データ取得監視モジュール
125…母集団取得履歴DB
130…BPM

Claims (1)

  1. 活動に関する情報を記憶している活動情報記憶装置に対して、活動の統制に関する処理を行う統制処理装置からの該活動に関する情報の要求を受け取る要求受取手段と、
    前記要求受取手段によって受け取られた第1の統制処理装置からの第1の要求の対象と前記要求受取手段によって受け取られた第2の統制処理装置からの第2の要求の対象が同じ場合は、前記第1の統制処理装置又は前記第2の統制処理装置に、該活動に対する統制のコントロールを統合すべきか否かの判断を行わせる指示を通知する統合判断通知手段
    を備える情報処理装置と、
    前記情報処理装置と接続されており、活動に対する統制のコントロールを統合すべきか否かの判断指示を前記情報処理装置から受け取る指示受取手段と、
    前記指示受取手段によって受け取られた指示に基づいて、前記活動に対する統制における年度期間、該活動に対する統制における証憑のサンプリング方法、該活動に対する統制における評価の手続き種別、該活動に対する統制におけるコントロールの目的のうちいずれか1つ以上に基づいて、コントロールを統合すべきか否かの判断を行う判断手段
    を備える複数の統制処理装置
    を具備することを特徴とする情報処理システム。
JP2009210893A 2009-09-11 2009-09-11 情報処理システム Expired - Fee Related JP5397111B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009210893A JP5397111B2 (ja) 2009-09-11 2009-09-11 情報処理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009210893A JP5397111B2 (ja) 2009-09-11 2009-09-11 情報処理システム

Publications (2)

Publication Number Publication Date
JP2011060132A JP2011060132A (ja) 2011-03-24
JP5397111B2 true JP5397111B2 (ja) 2014-01-22

Family

ID=43947668

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009210893A Expired - Fee Related JP5397111B2 (ja) 2009-09-11 2009-09-11 情報処理システム

Country Status (1)

Country Link
JP (1) JP5397111B2 (ja)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11272536A (ja) * 1998-03-20 1999-10-08 Nippon Telegr & Teleph Corp <Ntt> データベースのデータロック方法
JP2007170019A (ja) * 2005-12-21 2007-07-05 Matsushita Electric Works Ltd ゲート管理システム、ゲート管理装置
JP5145784B2 (ja) * 2007-06-15 2013-02-20 富士ゼロックス株式会社 情報処理システム及び情報処理プログラム

Also Published As

Publication number Publication date
JP2011060132A (ja) 2011-03-24

Similar Documents

Publication Publication Date Title
WO2020142245A1 (en) Identification, prediction, and assessment of cyber security risk
US9077609B2 (en) Scalable reusable scanning of application networks/systems
US8384930B2 (en) Document management system for vouchers and the like
Woods et al. Towards integrating insurance data into information security investment decision making
US20120209846A1 (en) Document processing system and computer readable medium
KR100929844B1 (ko) 전사적 자원 관리 시스템 기반의 감사정보 시스템 및 이를 이용한 감사정보 운영 방법, 그 프로그램이 기록된 기록매체
JP5397111B2 (ja) 情報処理システム
KR20090001786A (ko) 전산장애로 인한 비즈니스 영향도 분석 시스템
KR101415528B1 (ko) 분산된 시스템을 위한 데이터 오류 처리 장치 및 방법
JP2016045840A (ja) 情報処理装置及び情報処理プログラム
JP5751376B1 (ja) 情報処理装置及び情報処理プログラム
JP7163687B2 (ja) 情報処理装置、情報処理システム及び情報処理プログラム
JP5157309B2 (ja) 情報処理システム及び情報処理プログラム
US9531611B2 (en) Device management system and method
JP5195108B2 (ja) 情報処理装置及び情報処理プログラム
JP2008234503A (ja) 情報処理システム及び情報処理プログラム
JP2010287009A (ja) 情報処理装置及び情報処理プログラム
JP5787017B1 (ja) 情報処理装置及び情報処理プログラム
JP5088125B2 (ja) 統制処理システム及び統制処理プログラム
JP5880144B2 (ja) 情報処理装置及び情報処理プログラム
Dewi et al. Risk Management Analysis of Information Technology (IT) Asset Security Using ISO 31000 and FMEA
Lubis et al. Assessing Network Accounting Management Approaches
JP2009042865A (ja) 情報処理装置、情報処理プログラム及び情報処理システム
US20180253872A1 (en) Information processing device
Oye et al. Future of Data Privacy Regulations Beyond CCPA

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120817

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130903

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130905

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130924

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131007

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees