信息处理装置和信息处理方法与流程

本发明涉及信息处理装置和信息处理方法。

背景技术：

日本未审查专利申请公开No.2006-285360公开了下文所描述的用于提供一种系统的技术，该系统对用于在组织(诸如公司)中所执行的内部审计的校验表中的检查项目及其内容进行审核，并完善该校验表，从而使检查项目及其内容更有助于内部审计。该系统包括：处理单元、信息获取单元、信息输出单元和数据库。该系统计算这样有效比，该有效比是指以下两者之间的比例：与从负责审计的人员处获得的各个检查项目有关的有效评估的数目；与包括从多个被审计方处获得的回答信息中的多个检查项目的校验表中的各个检查项目有关的评论的数目。并且，该系统从校验表的检查项目中删除其中有效比没有达到为检查项目预定的最小检查项目有效比的检查项目，从而生成包括多个检查项目但不包括被删除的检查项目的新的校验表。

日本未审查专利申请公开No.2013-080299公开了下文所描述的技术，该技术用于在多个公司之间分享从关于个别公司的信息中获得的参考信息，而不造成该关于个别公司的信息的泄漏。信息处理系统包括多个数据库服务器，该数据库服务器提供公共存储区域和个别存储区域，该个别存储区域被分配给个别公司并且只能从该个别公司的用户终端进入。该信息处理系统还包括：部门点存储单元，该部门点存储单元保持于个别公司的个别存储区域中，并存储个别部门的点；搜索单元，该搜索单元对支持个别存储区域的数据库服务器进行搜索；公司点计算单元，该公司点计算单元通过利用存储在该部门点存储单元中的个别部门的点来对每个公司计算公司点，并将该公司点存储在该公司的个别存储区域；以及参考点计算单元，该参考点计算单元通过利用个别公司的公司点来计算信息处理系统中的参考点，并将该参考点存储在公共存储区域。

上述现有技术公开了一种为每个组织生成和操作内部审计的校验表的技术，以及 一种能够分享从关于个别组织的信息中获得的参考信息的技术。

然而，在当某个组织的某个控制中出现缺陷的情况下，无法变更用于具有等同于该某个控制的控制的另一组织的审计方法。

技术实现要素：

因此，本发明的一个目的是提供一种信息处理装置和一种信息处理方法，在某个控制的缺陷在第一组织的审计期间被检测出来的情况下，其变更用于第二组织的审计方法，该第二组织具有等同于该某个控制的控制。

根据本发明的第一个方面，提供了一种信息处理装置，该信息处理装置包括变更单元。在某个控制的缺陷在第一组织的审计期间被检测出来的情况下，该变更单元变更用于第二组织的审计方法，该第二组织具有等同于该某个控制的控制。

根据本发明的第二个方面，在当第二组织的等同控制中出现缺陷时会对第二组织造成影响的影响度大于或者等于预定阙值的情况下，该变更单元变更用于第二组织的审计方法。

根据本发明的第三个方面，该变更单元确定用于第二组织的变更的审计方法所适用的期间，存储变更之前的原始审计方法，并且，在所述期间过去之后将所变更的审计方法变更为所存储的原始审计方法。

根据本发明的第四个方面，作为一种审计方法，该变更单元变更可靠性、容许偏差和样本数量中的任一个，或者变更可靠性、容许偏差和样本数量中的全部或一些组合。

根据本发明的第五个方面，提供了一种信息处理方法，该信息处理方法包括如下步骤：在某个控制的缺陷在第一组织的审计期间被检测出来的情况下，变更用于第二组织的审计方法，该第二组织具有等同于该某个控制的控制。

根据本发明的第一个方面，在某个控制的缺陷在第一组织的审计期间被检测出来的情况下，可以变更用于第二组织的审计方法，该第二组织具有等同于该某个控制的控制。

根据本发明的第二个方面，对用于第二组织的审计方法进行变更的条件可以被定义为：在第二组织的等同控制中出现缺陷时会对第二组织造成影响的影响度大于或者等于预定阙值。

根据本发明的第三个方面，可以确定用于第二组织的变更的审计方法所适用的期间，并且，在所述期间过去之后所变更的审计方法可以被变更为原始审计方法。

根据本发明的第四个方面，作为一种审计方法，可以变更可靠性、容许偏差和样本数量中的任一个，或者可靠性、容许偏差和样本数量中的全部或一些组合。

根据本发明的第五个方面，在某个控制的缺陷在第一组织的审计期间被检测出来的情况下，可以变更用于第二组织的审计方法，该第二组织具有等同于该某个控制的控制。

附图说明

本发明的示例性实施方式将根据以下附图而被详细描述，其中：

图1是示出了根据该示例性实施方式的示例构成的概念模块构造图；

图2是示出了用于实现该示例性实施方式的示例系统的说明图；

图3是示出了用于实现该示例性实施方式的示例系统的说明图；

图4是示出了根据该示例性实施方式的处理的示例的流程图；

图5A和图5B包括示出了根据该示例性实施方式的处理的示例的流程图；

图6是示出了审计方法管理表的数据结构的示例的说明图；

图7是示出了变更规则管理表的数据结构的示例的说明图；

图8是示出了样本数量管理表的数据结构的示例的说明图；

图9是示出了根据该示例性实施方式的处理的示例的说明图；

图10是示出了控制/影响度管理表的数据结构的示例的说明图；

图11是示出了根据该示例性实施方式的处理的示例的说明图；

图12是示出了根据该示例性实施方式的处理的示例的说明图；

图13是示出了根据该示例性实施方式的处理的示例的说明图；

图14是示出了根据该示例性实施方式的处理的示例的说明图；

图15是示出了根据该示例性实施方式的处理的示例的说明图；

图16是示出了实现该示例性实施方式的计算机硬件构造的示例的框图。

具体实施方式

在下文中，将参照附图对本发明的示例性实施方式进行描述。

图1是示出了根据本示例性实施方式的示例构成的概念模块构造图；

这些模块是可以在逻辑上彼此分离的软件(计算机程序)或硬件的组件。因此，根据本示例性实施方式的模块不仅对应于计算机程序中的模块，而且还对应于硬件构造中的模块。因此，对本示例性实施方式的描述包括对用于使计算机像那些模块那样运行的计算机程序(使计算机执行个别程序步骤的程序、使计算机像个别单元那样运行的程序、或使计算机实现个别功能的程序)的描述，也包括对系统和方法的描述。为了便于描述，“存储”和“使……存储”的表达以及与之等同的表达将会被使用。这些表达特别地表示在计算机程序的情况下“使存储装置存储”或“进行控制来使存储装置存储”。模块可以以一对一关系对应于功能。在组成方面，单个模块可以由单个程序构成，多个模块可以由单个程序构成，或者单个模块可以由多个程序构成。此外，在分布式或并行环境中，多个模块可以由单个计算机来执行，或者单个模块可以由多个计算机来执行。另选地，单个模块可以包括另一个模块。在下文中，“连接”被用于指代逻辑连接(数据、指令和各条数据之间的引用关系等的发送和接收)和物理连接。“预定”表示在目标处理之前被确定，并且包含以下含义：根据当前的情况/状态，或在根据该示例性实施方式的处理开始之后以及在根据该示例性实施方式的处理开始之前，根据进行目标处理之前的情况/状态被确定。在存在多个预定值的情况下，该多个预定值可以是彼此不同的，或者这些值中的两个或多个(当然包含所有的值)可以是相同的。含有“在A情况下，B被执行”的意思的描述被用来表示“是否A确定，并且，如果确定A，则B被执行”的含义，除了在没有必要对是否A进行确定的情况下。

系统或装置可以由通过诸如网络(包括具有一一对应关系的通信连接)的通信介质而彼此连接的多个计算机、硬件单元、设备等构成，或者也可以由单个计算机、硬件单元、设备等构成。“装置”和“系统”作同义使用。当然，“系统”不包括人造的社会“组织”(社会系统)。

目标信息被从由各个的模块所进行的个别处理操作或由单个模块所进行的个别处理操作中的存储装置中读取。在进行每个处理操作之后，处理结果被写入存储装置。因此，对于在处理操作之前从该存储装置读取和在处理操作之后写入该存储装置的描述可以省略。在本文中，存储装置的示例包括通过硬盘、随机存取存储器(RAM)、外部存储介质、通信线路连接的存储装置、和中央处理器(CPU)中的寄存器等。

在本示例性实施方式中，适用于对组织中可能产生的风险进行管理的控制是根据由国际标准化组织(ISO)(特别地，ISO27001等)和信息安全管理体系(ISMS)等所限定的评估来分配的。

为了执行内部控制，有必要生成风险控制矩阵(RCM)等作为基本文件。该RCM是指针对要被实现的控制、可能的风险、和相应的内部控制活动的认定(assertion)的表格，该相应的内部控制活动是关于与组织中的业务流程相关的内部控制活动的。该认定是将财务信息限定为可靠信息的前提。特别地，以下六项通常被使用：真实性、完整性、评估、权利和义务、期间/分布、和显示。然而，这些项随着公司或审计员而变化，因此其可以是自定义的。风险是阻碍组织的目标的实现的因素，特别地，是业务流程中所假设的认定的障碍。控制是用于降低风险的内部控制活动，并且其包括预防性控制和启发式控制。组织是应用内部控制的目标，例如，企业、公司、部门等。在下文中，公司被用作为组织的一个示例。抽样(样本数量)是用来评估控制(操作测试，在下文中简称为测试)的术语，并且是基于从一些项的核实中所获得的结果来评估整体特征的过程。人口是从中随机抽取抽样的测试目标的整个组。跟踪是作为证据的轨迹。

如图1中所示，根据本示例性实施方式的审计系统100把审计执行为内部控制，并且，该审计系统100包括：审计系统管理者终端105和信息处理装置110。该信息处理装置110包括：审计方法变更判定模块115、审计方法变更模块120、审计方法变更规则管理模块125、审计执行模块130、审计结果报告模块135、审计方法管理模块140、审计计划管理模块145、和审计结果数据库(DB)150。

从经由通信线路与审计系统100连接的公司A业务系统170A和公司B业务系统170B使用审计系统100。该审计系统100执行以下服务：例如，当缺陷被检测出来时，变更用于组织的审计方法。更具体地，在某个控制的缺陷在某个组织的审计期间被检测出来的情况下，该审计系统100变更用于另一组织的审计方法，该另一组织具有等同于该某个控制的控制。

对如下的示例的描述将被提供，其中公司A、公司B等是目标组织。除了公司以外，作为审计目标的任何组织可以是目标组织，例如公司中的部门。公司A和公司B可以是集团公司、连锁加盟、附属公司等，或者也可以是互不相关的独立组织。

有必要加强审计，以便在某个公司的审计期间控制中的缺陷出现的时候，确定类 似缺陷是否在另一家公司中出现过。在对多个公司进行审计的审计服务中，审计系统100对某个公司的控制状态进行审计，如果在该审计中检测到缺陷，则判定是否要变更用于另一家公司的审计方法，并且根据该判定断结果来变更用于另一家公司的审计方法。

公司A业务系统170A包括：公司A业务流程管理者终端175A、公司A控制监督者终端180A、公司A跟踪登记者终端185A、公司A业务流程DB 190A、和公司A跟踪DB 195A。公司B业务系统170B包括：公司B业务流程管理者终端175B、公司B控制监督者终端180B、公司B跟踪登记者终端185B、公司B业务流程DB 190A和公司B跟踪DB 195B。公司A业务系统170A和公司B业务系统170B具有彼此等同的系统构造。该系统构造不需要彼此相同，只要两个系统在与审计系统100的关系上具有彼此等同的功能就足够了。

业务流程DB 190与业务流程管理者终端175、控制监督者终端180、跟踪DB 195、和审计系统管理者终端105连接，并且也与信息处理装置110的审计方法变更判定模块115、审计执行模块130、和审计方法管理模块140连接。业务流程DB 190存储关于以下方面的信息：执行业务的过程、该过程所包含的风险、和用于防止该风险的实现的控制。此外，业务流程DB 190可以存储关于该过程的执行者和批准者的信息，以及关于该控制的执行者和批准者的信息。

业务流程管理者终端175与业务流程DB 190连接。业务流程管理者终端175被业务流程管理者使用，业务流程管理者有权对存储在业务流程DB 190中的数据进行记录，修改和删除，以进行记录、修改或删除数据的操作。

跟踪DB 195与控制监督者终端180、跟踪登记者终端185、业务流程DB 190和信息处理装置110的审计执行模块130连接。跟踪DB 195存储对控制的执行的跟踪。

跟踪登记者终端185与跟踪DB 195连接。跟踪登记者终端185由跟踪登记者使用，跟踪登记者有权将跟踪记录在跟踪DB 195中，以进行记录操作。

控制监督者终端180与业务流程DB 190、跟踪DB 195和信息处理装置110的审计结果报告模块135连接。控制监督者终端180是由业务流程的控制监督者所使用的终端。控制监督者终端180显示存储在业务流程DB 190和跟踪DB 195中的信息，从而可以检查控制状态。此外，控制监督者终端180能够显示发送自审计系统100的报告(下文描述)。

审计计划管理模块145与审计系统管理者终端105和审计执行模块130连接。审计计划管理模块145存储用于个别组织的审计计划，并且具有使审计执行模块130(下文描述)根据该审计计划来执行审计的功能。

根据普通审计的计划，记录、修改、删除等是根据审计系统管理者所进行的操作、经由审计系统管理者终端105(下文描述)来执行的。

在这个功能下，一个审计计划是由以下一组属性来表示的：

·计划ID是用于在审计系统100中唯一地识别审计计划的数据。

·目标组织是表示作为审计目标的组织的数据。

·开始日期和时间是表示审计开始的日期和时间的数据。

·结束日期和时间是表示审计结束的日期和时间的数据。

·执行状态表示审计的执行状态，并且是表示“尚未开始”、“正在执行”和“已经执行”中的任一个的值。

·审计类型表示审计的类型，并且是表示“普通”和“特殊”两者之一的值。

·目标控制是表示要被审计的目标控制的数据。在本示例性实施方式中，目标控制具有单一值(也就是说，一个控制是根据一个审计计划来审计的)。

·另选控制在审计的类型是“特殊”的情况下被设置，并且是表示用于变更目标控制的控制的数据。在本示例性实施方式中，另选控制具有单一值(也就是说，一个控制是根据一个审计计划来审计的)。

·审计方法是表示用于控制的审计方法的数据。由审计方法管理模块140(下文描述)所管理的审计方法ID被设置为一属性值。

审计方法管理模块140与审计方法变更模块120、审计执行模块130、公司A业务系统170A的公司A业务流程DB 190A、以及公司B业务系统170B的公司B业务流程DB 190B连接。审计方法管理模块140具有以下功能：管理如何利用跟踪来对控制执行审计。审计方法可以通过审计系统管理者终端105(下文描述)而被记录、修改或删除。在由于组织中出现了缺陷而导致审计方法需要被变更的情况下，该审计方法可以被审计方法变更模块120(下文描述)变更。在审计方法已经被审计方法变更模块120变更的情况下，变更前的审计方法和变更后的审计方法被存储用于控制。此外，变更后的审计方法的适用期间也被存储。

审计执行模块130与审计系统管理者终端105、审计方法变更判定模块115、审 计结果报告模块135、审计方法管理模块140、审计计划管理模块145、审计结果DB 150、公司A业务系统170A的公司A业务流程DB 190A和公司A跟踪DB 195A、以及公司B业务系统170B的公司B业务流程DB 190B和公司B跟踪DB 195B连接。审计执行模块130根据存储在审计计划管理模块145中的审计计划中的一个，通过利用关于个别组织的业务流程信息和跟踪信息以及存储在审计方法管理模块140中的审计方法，来执行对该个别组织的审计。审计的结果被存储在审计结果DB 150(下文描述)中。审计执行模块130通过将审计方法应用在存在于目标组织的业务流程中的目标控制来执行审计。

此外，审计执行模块130从发送自公司A业务系统170A的信息中检测在公司A的审计期间在控制中出现了缺陷。在控制的缺陷被检测出来的情况下，审计执行模块130使审计方法变更判定模块115(下文描述)将该公司和控制判定为要变更审计方法的目标。

审计方法变更判定模块115与审计方法变更模块120、审计执行模块130、公司A业务系统170A的公司A业务流程DB 190A、公司B业务系统170B的公司B业务流程DB 190B连接。审计方法变更判定模块115具有以下功能：当审计执行模块130在某个组织的审计期间检测出控制的缺陷的时候，判定要变更审计方法的组织的控制。此外，审计方法变更判定模块115还具有以下功能：获得关于被检测出的缺陷对另一组织的影响度的信息，并且确定是否根据该影响度来变更审计方法。与当控制中出现缺陷时会产生的影响度有关的信息是从每个组织的业务流程DB 190中获得的。即使问题是相同的，该影响度也随着组织的规模(销售额或总资产)而变化。在影响度很小的情况下，审计成本的增长可以通过不变更审计方法而得到控制。

在本示例性实施方式中，当控制中出现缺陷时会产生的影响度被表示为，例如，“大”、“中”或“小”，并且，在以下情况下审计方法被变更：(1)某个公司中存在与检测出缺陷的控制相类似的控制，(2)该缺陷在该控制中的影响度是“大”或“中”。影响度“大”的范围(或下限值)、影响度“中”的范围(或既不“大”也不“小”的范围)以及影响度“小”的范围(或上限值)是预定的，并且，包含该影响度的范围被判定以确定影响度“大”、“中”或“小”的程度。从而，影响度是“大”或“中”的情况对应于该影响度的值大于或者等于范围“中”的下限值的情况。

审计方法变更模块120与审计方法变更判定模块115、审计方法变更规则管理模 块125、以及审计方法管理模块140连接。在审计方法变更判定模块115判定审计方法需要被变更的情况下，审计方法变更模块120从审计方法变更规则管理模块125(下文描述)获得变更的审计方法，并变更用于由审计方法管理模块140所管理的控制的审计方法。

在审计执行模块130检测到缺陷的出现的情况下，审计方法变更模块120变更用于公司B的审计方法，该公司B具有等同于存在缺陷的控制(公司A的审计中的控制)的控制。该变更是根据预定的规则来执行的。当然，“等同控制”包括相同的控制和相似的控制。例如，作为对出现非法贸易的风险进行管理的控制，控制A和控制B可以被看作是等同控制，其中，控制A检查引用日期和收到交易日期的历史，控制B检查引用日期和时间以及收到交易日期和时间的历史。对于控制是否彼此相似，可以通过利用定义了相似控制的预先准备的表格来判断。

在以下情况下，审计方法变更模块120可以变更用于公司B的审计方法：审计执行模块130检测到缺陷的出现；以及在公司B的控制中出现缺陷时对公司B造成影响的影响度大于或者等于预定阙值。

此外，审计方法变更模块120可以确定用于公司B的变更的审计方法的适用期间，使审计方法管理模块140存储在变更之前的原始审计方法，并且在该期间结束后将该变更的审计方法变更为存储在审计方法管理模块140中的原始审计方法。

作为一种审计方法，该审计方法变更模块120可以变更可靠性、容许偏差和样本数量中的任一个，或者变更可靠性、容许偏差和样本数量中的一些或全部的组合。

审计方法变更规则模块125与审计系统管理者终端105和审计方法变更模块120连接。审计方法变更规则管理模块125具有以下功能：管理用于判定是否要变更审计方法的条件，以及在判定审计方法需要被变更的情况下，管理如何变更审计方法。审计方法变更规则可以通过审计系统管理者终端105(下文描述)而被记录、修改或删除。在本示例性实施方式中，针对缺陷的影响度来管理“可靠性的调整值”、“容许偏差的调整值”和“适用期间”。

审计结果DB 150与审计系统管理者终端105、审计执行模块130和审计结果报告模块135连接。审计结果DB 150具有以下功能：存储由审计执行模块130所执行的对个别组织的审计的结果。审计结果被与计划ID相关联地存储。当新的审计结果被记录时，审计结果DB 150通知其审计结果报告模块135。

审计结果报告模块135与审计系统管理者终端105、审计执行模块130、审计结果DB 150、公司A业务系统170A的公司A控制监督者终端180A、和公司B业务系统170B的公司B控制监督者终端180B连接。审计结果报告模块135具有以下功能：向作为审计目标的组织的控制管理器报告该组织的审计结果。审计结果报告模块135响应于来自审计结果DB 150的通知而报告该结果。

审计系统管理者终端105与审计方法变更规则管理模块125、审计执行模块130、审计结果报告模块135、审计计划管理模块145、审计结果DB 150、公司A业务系统170A的公司A业务流程DB 190A、以及公司B业务系统170B的公司B业务流程DB 190B连接。审计系统管理者终端105是被审计系统100的管理者使用的终端，并且具有对上述功能进行设置和检查处理状态的功能。

图2是示出了用于实现该示例性实施方式的示例系统的说明图；

审计系统100、公司A业务系统170A、公司B业务系统170B、和公司C业务系统170C经由通信线路290相互连接。通信线路290可以是无线链路、有线链路、或者二者的组合，例如，作为通信基础结构的因特网等。在公司A业务系统170A的审计期间在控制中出现缺陷的情况下，审计系统100检测该缺陷的出现，并变更用于公司B业务系统170B和公司C业务系统170C的审计方法。此时，审计系统100可以判定是否要变更审计方法。另选地，审计系统100可以被实现为云系统。

图3是示出了用于实现该示例性实施方式的示例系统的说明图。如图2中所示，审计系统100可以被实现为云系统。在每个公司都具有信息处理装置110的情况下，个别信息处理装置110之间相互通信，并且，在审计期间，信息处理装置110中的任一个检测控制的缺陷的出现，变更审计方法的判定指令可以被提供给其他信息处理装置110(或审计系统管理者终端105)。

在每个公司中，审计系统管理者终端105、信息处理装置110、业务流程管理者终端175、控制监督者终端180、跟踪登记者终端185、业务流程DB 190、和跟踪DB 195经由内部通信线路380彼此连接。内部通信线路380可以是无线链路、有线链路或者二者的组合，例如，作为通信基础结构的因特网等。

内部通信线路380A、内部通信线路380B和内部通信线路380C经由通信线路390相互连接。通信线路390可以是无线链路、有线链路或者二者的组合，例如，作为通信基础结构的因特网等。

图4是示出了根据该示例性实施方式的处理的示例的流程图。图4中所示的流程图表示当开始审计的日期和时间取决于普通审计的计划时所执行的处理。图5A和5B中所示的流程图表示被包括在图4所示的流程图中的特殊审计(步骤S408的处理)的子流程。

在步骤S400中，审计开始。

在步骤S402中，针对公司(公司X)和激活的审计计划中所设置的目标控制(控制C01)，所执行的审计的结果被接受。

在步骤S404中，确定该控制C01是否存在缺陷。如果存在缺陷，则处理过程转至步骤S408。否则，处理过程转至步骤S406。

在步骤S406中，控制C01不存在缺陷被记载作为审计结果。

在步骤S408中，用于另一公司的审计方法被变更。

在步骤S410中，控制C01存在缺陷被记载作为审计结果。

在步骤S412中，审计结果被报告给公司X的控制监督器。

在步骤S499中，审计结束。

图5A和5B包括示出了根据该示例性实施方式的处理的示例(在图4中所示的流程图中的步骤S408中的处理的示例)的流程图。

在步骤S500中，开始对用于另一家公司的审计方法的变更。

在步骤S502中，确定是否存在尚未判定变更其审计方法的必要性/不必要性的公司。如果存在这样的公司，则处理过程转至步骤S506。否则，处理过程转至步骤S504。

在步骤S504中，结束对用于另一公司的审计方法的变更。

在步骤S506中，从尚未判定变更其审计方法的必要性/不必要性的公司中选择一家公司(公司Y)。

在步骤S508中，确定公司Y中是否存在与控制C01相同的控制。如果存在相同的控制，则处理过程转至步骤S510。否则，处理过程转至步骤S516。

在步骤S510中，获得公司Y的控制C01中的缺陷的影响度。

在步骤S512中，对应于“影响度”的“变更或不变更”是从变更规则管理表格700中获得的。

在步骤S514中，确定“变更或不变更”的设定值是否为“变更”。如果设定值是“变更”，则处理过程转至步骤S518。否则(“不变更”)，处理过程转至步骤S516。

在步骤S516中，公司Y被看作是已经被判定。

在步骤S518中，确定用于公司Y的审计方法是否已经被变更。如果该审计方法已经被变更，则处理过程转至步骤S516。否则，处理过程转至步骤S520。

在步骤S520中，用于公司Y的控制C01的“估计偏差”、“可靠性”和“容许偏差”是从审计方法管理表600中获得的。

在步骤S522中，“影响度”的“适用期间”和“可靠性调整值”、“容许偏差调整值”是从变更规则管理表700中获得的。

在步骤S524中，公司Y的控制C01的样本数量是通过利用在步骤S520中获得的“估计偏差”和被步骤S522中获得的“可靠性调整值”和“容许偏差调整值”所变更的“可靠性”和“容许偏差”，来从样本数量管理表800中获得的。

在步骤S526中，在审计方法管理表600中，在前述步骤中变更的或获得的“可靠性”、“容许偏差”、“样本数量”和“适用期间”的值被相应地设置为“可靠性(变更后)”、“容许偏差(变更后)”、“样本数量(变更后)”和“适用期间(变更后)”。

图6是示出了审计方法管理表600的数据结构的示例的说明图。

审计方法管理表600包括“公司”栏610、“控制”栏615、“估计偏差”栏620、“可靠性”栏625、“容许偏差”栏630、“样本数量”栏635、“可靠性(变更后)”栏640、“容许偏差(变更后)”栏645、“样本数量(变更后)”栏650和“适用期间”栏655。

“公司”栏610存储表示要为其设置审计方法的公司的值。该值中的每一个都是指定一家公司的唯一值。例如，该值可以是公司标识(ID)或公司名称。

“控制”栏615存储表示要为其设置审计方法的控制的值。该值中的每一个都是指定一个控制的唯一值。

“估计偏差”栏620存储表示根据控制的成熟度所估计的抽样的偏差的百分比。在控制不够成熟的情况下，估计偏差被设置为高。

“可靠性”栏625存储表示审计的可靠性的值，该可靠性是通过抽样以统计方式获得的。在对内部控制的审计中，通常要求90％或更高的可靠性。

“容许偏差”栏630存储表示审计中所容许的缺陷的百分比的值。在对内部控制的审计中，通常要求小于9％的偏差。

“样本数量”栏635存储表示样本数量的值，该值中的每一个都是根据可靠性和容许偏差计算而来的。在图6中的“样本数量”栏635中，括号中的值表示样本数量中所 容许的偏差的数量。

“可靠性(变更后)”栏640存储表示在审计方法被变更之后的可靠性的值。

“容许偏差(变更后)”栏645存储表示在审计方法被变更之后所容许的偏差的值。

“样本数量(变更后)”栏650存储表示在审计方法被变更之后的样本的数量的值。

“适用期间(变更后)”栏655存储表示在审计方法被变更之后的适用期间的值。每个期间可以用小时、日、月、年等来指定，或者当适用到期后可以用日期和时间(年、日、小时、分钟、秒、秒以下或其组合)来指定。

图7是示出了变更规则管理表700的数据结构的示例的说明图。

变更规则管理表700包括“缺陷的影响度”栏710、“变更或不变更”栏720、“可靠性调整值”栏730、“容许偏差调整值”栏740和“适用期间”栏750。

“缺陷的影响度”栏710存储表示缺陷的影响度的值。该值中的每一个都唯一地代表了影响度的程度。

“变更或不变更”栏720存储表示审计方法是否要被变更的值。

“可靠性调整值”栏730存储表示变更之前的可靠性要被调整的百分比的值。该值中的每一个都可以是放大率等。

“容许偏差调整值”栏740存储表示变更之前的容许偏差要被调整的百分比的值。该值中的每一个都可以是放大率等。

“适用期间”栏750存储表示适用变更的期间的值。该期间中的每一个都可以用小时、日、月、年等来指定，或者，当适用结束以后可以用日期和时间来指定。

图8是示出了样本数量管理表800的数据结构的示例的说明图。

样本数量管理表800包括“估计偏差”栏810、“可靠性”栏815、“当容许偏差小于2％时的样本数量”栏820、“当容许偏差小于3％时的样本数量”栏825、“当容许偏差小于4％时的样本数量”栏830、“当容许偏差小于5％时的样本数量”栏835、“当容许偏差小于6％时的样本数量”栏840、“当容许偏差小于7％时的样本数量”栏845、“当容许偏差小于8％时的样本数量”栏850、以及“当容许偏差小于9％时的样本数量”栏855。

“估计偏差”栏810存储表示根据控制的成熟度所估计的抽样的偏差的百分比的值。

“可靠性”栏815存储表示审计的可靠性的值。样本数量随着可靠性的增长而增 长。

“当容许偏差小于2％时的样本数量”栏820到“当容许偏差小于9％时的样本数量”栏855存储表示与审计中所容许的缺陷的百分比相对应的样本数量的值。具体地，“当容许偏差小于2％时的样本数量”栏820存储表示当容许偏差小于2％的时候的样本数量的值。“当容许偏差小于3％时的样本数量”栏825存储表示当容许偏差小于3％的时候的样本数量的值。“当容许偏差小于4％时的样本数量”栏830存储表示当容许偏差小于4％的时候的样本数量的值。“当容许偏差小于5％时的样本数量”栏835存储表示当容许偏差小于5％的时候的样本数量的值。“当容许偏差小于6％时的样本数量”栏840存储表示当容许偏差小于6％的时候的样本数量的值。“当容许偏差小于7％时的样本数量”栏845存储表示当容许偏差小于7％的时候的样本数量的值。“当容许偏差小于8％时的样本数量”栏850存储表示当容许偏差小于8％的时候的样本数量的值。“当容许偏差小于9％时的样本数量”栏855存储表示当容许偏差小于9％的时候的样本数量的值。在图8中，从“当容许偏差小于2％时的样本数量”栏820到“当容许偏差小于9％时的样本数量”栏855中的括号中的每个值都是在样本数量中所容许的偏差的数量。

以下将通过图9至图15中所示的示例来描述处理的特定示例。

1.相同的控制(控制C01)存在于公司X、公司Y、公司Z中。

2.公司X的控制C01中的缺陷的影响度被设置为“中”，公司Y的控制C01中的缺陷的影响度被设置为“大”，并且公司Z的控制C01中的缺陷的影响度被设置为“小”。例如，以在控制/影响度对应表1000中所示的方式来设置这些影响度。图10是示出了控制/影响度对应表1000的数据结构的示例的说明图。控制/影响度对应表1000包括“公司”栏1010、“控制”栏1020和“缺陷的影响度”栏1030。“公司”栏1010存储指定个别公司的唯一值。“控制”栏1020存储指定个别公司的审计中的控制的唯一值。“缺陷的影响度”栏1030存储当控制中出现缺陷时会产生的影响度。可以存储表示这些影响度的值，或者代表上述“大”、“中”和“小”的值。

3.如从图9中所示的审计方法管理表600中可见那样，针对存在于公司X、公司Y和公司Z(参见行910、920和930)中的相同的控制(控制C01)，来设置审计方法。此时，审计方法尚未被变更，因此“可靠性(变更后)”栏640、“容许偏差(变更后)”栏645、“样本数量(变更后)”栏650和“适用期间”栏655是空白的。

4.在公司X的审计期间在控制C01中检测出缺陷的情况下，基于对公司Y和公司Z中的控制C01的影响度，判定审计方法是否需要被变更。具体地，由于对公司Y中的控制C01的影响度是“大”，通过利用如图11中所示的变更规则管理表700，根据栏1110判定审计方法需要被变更。同样地，由于对公司Z中的控制C01的影响度是“小”，通过利用如图11中所示的变更规则管理表700，根据栏1120判定该审计方法不需要被变更。

5.获得用于公司Y中的控制C01的当前的审计方法，也就是，估计偏差、可靠性和容许偏差。具体地，通过利用如图12中所示的审计方法管理表600，从栏1210中获得0.00％的估计偏差，从栏1220中获得90％的可靠性，并且从栏1230中获得9％的容许偏差。

6.获得关于公司Y中的控制C01的影响度“大”的可靠性调整值、容许偏差调整值以及适用期间。具体地，通过利用如图13中所示的变更规则管理表700，从栏1310中获得+5％的可靠性调整值，从栏1320中获得-1％的容许偏差调整值，并且从栏1330中获得六个月的适用期间。

7.在过程6中所获得的调整值被应用于在过程5中所获得的90％的可靠性和9％的容许偏差，并且95％(90+5)的可靠性和8％(9-1)的容许偏差被计算作为变更的值。估计偏差不变更。

8.通过利用在过程5中所获得的估计偏差，和在过程7中所获得的变更的95％的可靠性和变更的8％的容许偏差，并且利用样本数量管理表800，获得变更之后的样本数量。具体地，通过利用图14中所示的样本数量管理表800，获得栏1410中的“35(0)”，其位于“当容许偏差小于8％时的样本数量”栏850中，并对应于0.00％的估计偏差和95％的可靠性。

9.在过程6中所获得的六个月的适用期间，在过程7中所计算的变更的95％的可靠性和变更的8％的容许偏差，以及在过程8中所获得的样本数量35(0)被设置为用于公司Y中的控制C01的变更之后的审计方法的值。具体地，95％的可靠性被设置在如图15所示的审计方法管理表600的栏1510，8％的容许偏差被设置在栏1515，样本的数量35(0)被设置到栏1520，并且六个月的适用期间被设置到栏1525。

因此，由图15中所示的审计方法管理表600中的栏1510、1515、1520和1525可见，在公司X的审计期间在控制中出现缺陷的情况下，用于具有等同于(在本示 例中为相同的)该控制的控制的公司Y的审计方法被变更。

作为一种审计方法,已经对这样的示例进行了描述，其中所有的可靠性、容许偏差和样本数量都被变更。另选地，这些项中的任一项或这些项中的一些项的组合可以被变更。

如图16中所示，执行根据该示例性实施方式的程序的计算机具有等同于典型计算机(具体地，个人计算机或作为服务器的计算机)的硬件构造。也就是说，作为特定示例，中央处理器(CPU)1601被用作处理单元(计算单元)，并且，随机存取存储器(RAM)1602、只读存储器(ROM)1603、和硬盘(HD)1604被用作存储装置。硬盘或固状驱动器(SSD)被用作HD 1604。该计算机包括：CPU 1601，其执行实现审计方法变更判定模块115、审计方法变更模块120、审计方法变更规则管理模块125、审计执行模块130、审计结果报告模块135、审计方法管理模块140、审计计划管理模块145等的程序；RAM 1602，其存储程序和数据；ROM 1603，其存储用于启动计算机的程序；HD 1604，其作为辅助存储装置(或者可以是闪存等)；接收装置1606，其根据用户在键盘、鼠标、触摸板等上所进行的操作来接收数据；输出装置1605，诸如为阴极射线管(CRT)或液晶显示器；通信线路接口1607，其用于与通信网络连接，诸如网络接口卡；以及总线1608，其用于连接这些装置以便使得数据在这些装置之间传输和接收。其中每个计算机都具有上述构造的多个计算机可以通过网络彼此连接。

在上述实施方式的元件中，基于计算机程序的元件是通过使具有上述硬件构造的系统将计算机程序读取为软件，并且使软件资源和硬件资源相互合作来实现的，从而实现上述实施方式。

如图16中所示的硬件构造是一个示例构造。根据该示例性实施方式的硬件构造不局限于图16中所示的构造，并且，只要能够执行该示例性实施方式中的上述模块，任何其他构造都是可用的。例如，一些模块可以由专用硬件(例如，专用集成电路(ASIC))来组成。一些模块可以设置在外部系统中，并且经由通信线路连接。此外，其中每个系统都具有如图16中所示的构造的多个系统可以经由通信线路彼此连接，从而该系统相互协作运行。特别地，除了个人计算机以外，还可以将一些模块并入到信息设备、复印机、传真机、扫描仪、打印机、或多功能外部设备(具有扫描功能、打印功能、复印功能、传真功能等中的两个或多个功能的图像处理装置)中。

对于与上述实施方式的描述中的预定值进行比较，只要在其组合中不产生矛盾，那么“等于或大于”、“等于或小于”、“大于”和“小于”可以被相应地替换为“大于”、“小于”、“等于或大于”、“等于或小于”。

上述程序可以被设置为存储在存储介质中，或者可以通过通信介质来提供。在这种情况下，例如，上述程序可以被看作是“存储程序的计算机可读记录媒介”。

“存储程序的计算机可读记录介质”是一种用于存储程序的计算机可读记录介质，并且被用于安装、执行或传播程序。

记录媒介的示例包括：数字化通用盘(DVD)，例如由DVD论坛规定的标准：DVD-R、DVD-RW、DVD-RAM等，以及由DVD+RW规定的标准：DVD+R、DVD+RW等；光盘(CD)，例如只读存储器(CD-ROM)、可记录式CD(CD-R)、可重写式CD(CD-RW)等；蓝光(注册商标)盘；磁光(MO)盘；软盘(FD)；磁带；硬盘；只读存储器(ROM)；电可檫可编程只读存储器(EEPROM,注册商标)；闪存；随机存取存储器(RAM)；以及安全数字(SD)记忆卡。

上述程序或其部分可以通过将其记录在记录媒介上而被存储或传播。另选地，该程序或其部分可以通过通信而被传输，例如，利用有线网络(诸如局域网(LAN、城域网(MAN)、广域网(WAN)、因特网、内联网、或外联网)、或无线通信网、或通过结合有线网络和无线网络而获得的传送介质)。另选地，该程序或其部分可以利用载波来执行。

此外，上述程序可以是另一程序的一部分，或者可以与另一程序一起被记录在记录媒介上。另选地，该程序可以以分布式方式被记录在多个记录媒介上。只要该程序能够被压缩、编码或修复，那么记录该程序的方式不被指定。

提供上述的对本发明的该示例性实施方式的描述旨在解释和描述，而并不是要对本发明进行穷举或将本发明限制为所公开的确切的形式。显然地，一些修改和变化对于本领域技术人员来说是显而易见的。选择和描述该实施方式是为了最佳地解释本发明及其实际应用的原理，从而使本领域其他技术人员能够将用于各种实施方式的、具有各种修改的本发明理解为适用于所预期的特定用途。本发明的范围意在由所附权利要求书及其等同物来限定。