信息处理装置和信息处理方法与流程

本发明涉及一种信息处理装置和信息处理方法。

背景技术：

在日本专利文献特开2006-285360号公报中公开了一种提供系统的技术，该系统审查用于在诸如法人团体的组织机构中进行的内部审计的检查表的检查项目或内容，并可使该检查表成熟以便其检查项目或内容可用于进行更适当的内部审计。该公开的系统包括运算处理单元、信息获取单元、信息输出单元、数据库等。该系统计算有效比，即从审计员获取的每个检查项目的有效评估的数量与针对检查表的每个检查项目记入的注释的数量的比，该检查表包括从多个正在审计中的场所获取的答复信息中的多个检查项目。该系统将那些有效比未达到针对每个检查项目预定的最小检查项目有效比的检查项目从该检查表中删除，并创建由多个检查项目(不包括已删除的检查项目)构成的新检查表。

在日本专利文献特开2013-080299号公报中公开了一种技术，该技术允许多家公司共享从各个法人的信息中获得的作为基准的信息而不导致泄露各个法人的信息。该公开的信息处理系统具备多个数据库服务器，每个数据库服务器提供公共存储区域和单独存储区域，该单独存储区域分配给各个法人并且对该单独存储区域的访问仅限于相应法人的用户终端。另外，该信息处理系统包括部门份数存储器，其存储在各个法人的单独存储区域中并且保存每个部门的份数；搜索单元，其搜索保存每个单独存储区域的数据库服务器；法人份数计算单元，其根据保存在每个单独存储区域中的部门份数存储器中每个部分的份数计算每个法人的法人份数，并为各个法人将法人份数存储在单独存储区域中；以及基准份数计算单元，其根据各家公司的法人份数计算该信息处理系统的基准份数，并将该基准份数存储在公共存储区域中。

在背景技术中，为每个组织机构创建内部审计用检查表，并且该检查表用于进行内部审计。同时，从各个组织机构的信息中获取的作为基准的信息可以在多个组织机 构之间共享。

然而，当通过在特定组织机构中实施控制发现该组织机构中的缺陷时，则不能在其他具有与对应于该控制的风险同等的风险的组织机构中实施该控制。

技术实现要素：

因此，本发明的目的在于提供一种信息处理装置和信息处理方法，通过该信息处理装置和信息处理方法，当通过在第一组织机构中实施控制发现所述第一组织机构中的缺陷时，使第二组织机构实施在所述第一组织机构中实施的所述控制，所述第二组织机构具有与对应于所述控制的风险同等的风险。

为了达到上述目的本发明的示例性实施例的要旨在于以下几个方面。

根据本发明的第一方面，提供一种信息处理装置，其包括指示单元，其当通过在第一组织机构中实施控制发现所述第一组织机构中的缺陷时指示第二组织机构实施在所述第一组织机构中实施的所述控制，所述第二组织机构具有与对应于所述控制的风险同等的风险并且采取与所述控制不同等的控制。

根据本发明的第二方面，在根据第一方面的信息处理装置中，如果在所述第一组织机构中实施的所述控制比由所述第二组织机构采取的所述控制更严格，则所述指示单元指示所述第二组织机构实施在所述第一组织机构中实施的所述控制。

根据本发明的第三方面，根据第一或第二方面的信息处理装置还包括通知单元，其在所述第二组织机构不能执行在所述第一组织机构中实施的所述控制时提供描述所述控制的通知。

根据本发明的第四方面，根据第一至第三方面中任一项的信息处理装置还包括公开单元，其向除所述第一组织机构以外的至少一个组织机构公开在所述第一组织机构中实施的所述控制。

根据本发明的第五方面，根据第一至第四方面中任一项的信息处理装置还包括报告单元，其报告比较结果，所述比较结果是使所述第二组织机构实施在所述第一组织机构中实施的所述控制的情况与使所述第二组织机构实施由所述第二组织机构通常采取的所述控制的情况之间的比较结果。

根据本发明的第六方面，提供一种信息处理方法，其包括当通过在第一组织机构中实施控制发现所述第一组织机构中的缺陷时指示第二组织机构实施在所述第一组 织机构中实施的所述控制，所述第二组织机构具有与对应于所述控制的风险同等的风险并且采取与所述控制不同等的控制。

利用根据第一方面的信息处理装置，当通过在第一组织机构中实施控制发现所述第一组织机构中的缺陷时可以使第二组织机构实施在所述第一组织机构中实施的所述控制，所述第二组织机构具有与对应于所述控制的风险同等的风险。

利用根据第二方面的信息处理装置，如果在所述第一组织机构中实施的所述控制比由所述第二组织机构采取的所述控制更严格，则可以指示所述第二组织机构实施在所述第一组织机构中实施的所述控制。

利用根据第三方面的信息处理装置，在所述第二组织机构不能执行在所述第一组织机构中实施的所述控制时可以提供描述所述控制的通知。

利用根据第四方面的信息处理装置，可以向除所述第一组织机构以外的至少一个组织机构公开通过其发现所述缺陷的所述控制。

利用根据第五方面的信息处理装置，可以报告使所述第二组织机构实施在所述第一组织机构中实施的所述控制的情况与使所述第二组织机构实施由所述第二组织机构通常采取的所述控制的情况之间的比较结果。

利用根据第六方面的信息处理装置，当通过在第一组织机构中实施控制发现所述第一组织机构中的缺陷时可以使第二组织机构实施在所述第一组织机构中实施的所述控制，所述第二组织机构具有与对应于所述控制的风险同等的风险。

附图说明

将基于下列附图详细说明本发明的示例性实施例，其中：

图1是根据示例性实施例的示例性配置的概念模块图；

图2示出用于实施示例性实施例的示例性系统配置；

图3示出用于实施示例性实施例的示例性系统配置；

图4是示出根据示例性实施例的示例性处理的流程图；

图5是示出根据示例性实施例的示例性处理的流程图；

图6示出目标控制/替代控制对应表的示例性数据结构；

图7是示出根据示例性实施例的示例性处理的流程图；

图8示出控制/严格度对应表的示例性数据结构；以及

图9是示出实施示例性实施例的计算机的示例性硬件配置。

具体实施方式

下面参照附图与示例性实施例对本发明作进一步详细说明。

图1是根据示例性实施例的示例性配置的概念模块图。

术语“模块”通常指软件(计算机程序)、硬件等的逻辑可分离部件。因此，本示例性实施例中所用的术语“模块”不仅指计算机程序中的模块，还指硬件配置中的模块。由此，将在提供模块功能的计算机程序(使计算机执行各个步骤的程序、使计算机作为单独的单元运行的程序、以及使计算机实现各项功能的程序)、系统和方法的背景下描述本示例性实施例。为便于描述本发明中使用“存储”、“被存储”、以及同等的语句，这些语句当示例性实施例与计算机程序有关时表示“使存储器存储”或者“进行控制以便使存储器存储”。由于各个模块和各项功能可以具有一对一的对应关系，因此在实际实现中，单个模块可以通过单个程序实现，或者多个模块可以通过单个程序实现。相反，单个模块可以通过多个程序实现。另外，多个模块可以由单个计算机执行，或者单个模块可以由处于分布式或并列环境中的多个计算机执行。单个模块可以包括另一个模块。在以下描述中，术语“连接”不仅指物理连接，还指逻辑连接(例如数据的交换、指示的发布、以及数据项之间的交叉引用)。本发明中使用的术语“预定的”指在感兴趣的处理之前确定，其不仅指在根据本示例性实施例的处理开始之前确定，还指在根据本示例性实施例的处理开始之后的任一时间点确定，该任一时间点处于根据该任一时间点时的条件/状态或者根据达到该任一时间点时的条件/状态感兴趣的处理之前。如果存在多个“预定的值”，则这些值可以各不相同，或者这些值中的两个或两个以上的值可以相同(当然，包括这些值中的所有值均相同的情况)。另外，具有“如果A，则B”的含义的语句用于表示“确定是否A，如果确定A则B”，除非无需确定是否A。

另外，术语“系统”或“装置”不仅包括系统或装置由通过诸如网络的通信介质(包括一对一通信设置)相互连接的多个计算机、硬件部件、装置等构成的情况，还包括系统或装置通过单个计算机、硬件部件或装置实现的情况。本发明中使用的术语“系统”和“装置”作为同义词使用。当然，术语“系统”不包括纯粹的社会“机制”(社会系统)，社会“机制”是人为的规定。

另外，对于由每个模块执行的每个处理，或者如果多个处理将在一个模块中执行，对于多个处理中的每一个，从存储器中读取感兴趣的信息，并且在实施相应的处理之后将处理结果写入存储器中。因此，有关在处理之前从存储器中读取信息的描述，或者在处理之后在存储器中对信息的写入有时将被省略。本发明中使用的术语“存储器”可以包括硬盘、随机存取存储器(RAM)、外部存储介质、使用通信线路的存储器、以及中央处理单元(CPU)中的寄存器。

本示例性实施例在国际标准化组织((ISO)，更具体地，ISO27001等)、信息安全管理体系(ISMS)等规定的评估中，为组织机构中产生的各项风险指定适当的控制。

为实施内部控制，需要创建风险控制矩阵(RCM)等作为基本文档。RCM是为与组织机构中的业务处理相关的内部控制活动总结归纳待完成的控制要点(认定)、预期风险与相应的内部控制活动的表格。认定是可以认定财务信息可靠的前提条件。具体地，通常使用以下六项：存在性、完整性、估价、权利和义务、期间/分配、以及表达，尽管这几项常常被各家公司和审计法人部分修改，因此可以自定义。风险是指可能妨碍组织机构的目标，特别是妨碍业务处理中期望的认定的实现的因素。控制是指为缓解风险而设计的内部控制活动。控制类型包括预防性和侦测性。组织机构是对其应用内部控制的实体，例如法人、公司以及部门。在下文中，作为组织机构的实例将对公司进行描述。术语“抽样(数目)”作为控制(运营试验(下文简称“试验”))的评估中使用的术语，是指利用通过检查一个子集的项目获得的结果评估整个集的特征的方法。总体是指通过随机抽样从中提取试验对象进行抽样的整个集合。证迹是指可以作为证据的痕迹。

根据本示例性实施例的审计系统100作为内部控制实施审计。如图1所示，审计系统100具备审计系统管理员的终端105以及信息处理装置110。信息处理装置110具备不定期审计目标确定模块115、审计实施模块120、审计结果报告模块125、审计方法管理模块130、审计日程管理模块135、以及审计结果数据库140。

审计系统100是由通过通信线路连接到审计系统100上的公司A业务系统170A和公司B业务系统170B使用的系统。审计系统100进行，例如，具有通过发现缺陷而触发的不定期审计功能的审计服务。也就是说，审计系统100通过在特定组织机构中实施控制发现该组织机构中的缺陷时实施不定期审计，在该组织机构中实施的控制 应用于其他公司。

下面将对待审计的目标组织机构为公司A、公司B等的情况进行描述，但是目标组织机构可以是对其进行审计的任何实体，并且也可以是除公司以外的组织机构。例如，组织机构可以是公司内部的部门等。另外，公司A和公司B可以具有从属关系等，或者可以是彼此不相关的独立组织机构。

公司A业务系统170A具备公司A业务处理管理员的终端175A、公司A控制负责人的终端180A、公司A证迹登记员的终端185A、公司A业务处理数据库190A、以及公司A证迹数据库195A。公司B业务系统170B具备公司B业务处理管理员的终端175B、公司B控制负责人的终端180B、公司B证迹登记员的终端185B、公司B业务处理数据库190B、以及公司B证迹数据库195B。尽管公司A业务系统170A和公司B业务系统170B在系统配置上彼此同等，公司A业务系统170A和公司B业务系统170B可以不一定完全相同，但可能仅需要具备相对于审计系统100的同等功能。

业务处理数据库190连接到业务处理管理员的终端175、控制负责人的终端180、证迹数据库195、以及审计系统管理员的终端105上，并且连接到信息处理装置110的不定期审计目标确定模块115、审计实施模块120、以及审计方法管理模块130上。业务处理数据库190保存执行业务的处理的信息、此处理中产生的风险、以及用于防止风险表面化的控制。业务处理数据库190还可以保存处理的执行者或批准者的信息以及控制的执行者或批准者的信息。

业务处理管理员的终端175连接到业务处理数据库190上。业务处理管理员的终端175是授权登记、编辑、或删除业务处理数据库190中的数据的业务处理管理员为了进行这些操作而使用的终端。

证迹数据库195连接到控制负责人的终端180、证迹登记员的终端185、业务处理数据库190、以及信息处理装置110的审计实施模块120上。证迹数据库195保存执行控制的证迹。

证迹登记员的终端185连接到证迹数据库195上。证迹登记员的终端185是授权在证迹数据库195中登记证迹的证迹登记员为了进行登记处理而使用的终端。

控制负责人的终端180连接到业务处理数据库190和证迹数据库195上，并且连接到信息处理装置110的审计结果报告模块125上。控制负责人的终端180是业务处 理的控制负责人的终端。控制负责人的终端180显示由业务处理数据库190和证迹数据库195所保存的信息，由此允许检查控制的状态。控制负责人的终端180还可以显示从后述的审计系统100发送的报告。

审计日程管理模块135连接到审计系统管理员的终端105、不定期审计目标确定模块115、以及审计实施模块120上。审计日程管理模块135，其保存每家公司的审计日程，具有使后述的审计实施模块120根据日程实施审计的功能。

例如，定期审计的日程通过后述的审计系统管理员的终端105响应审计系统管理员的操作进行登记、编辑、或删除。不定期审计的日程由后述的不定期审计目标确定模块115进行登记。

根据此功能，一个审计日程代表一组下列属性。

·日程ID是用于唯一地标识审计系统100中的每个审计日程的数据。

·目标公司是表示待审计公司的数据。

·开始日期和时间是表示开始审计的日期和时间的数据。

·结束日期和时间是表示结束审计的日期和时间的数据。

·实施状态表示审计的实施的状态。实施状态具有表示以下一种状态的值：“尚未开始”、“正在进行”以及“已完成”。

·审计类型表示审计的类型。审计类型具有表示“定期”和“不定期”中一种状态的值。

·目标控制是表示待审计控制的数据。在示例性实施例中，目标控制采用单个值(也就是说，在一个审计日程中审计一种控制)。

·替代控制当审计类型是“不定期”时设置。替代控制是表示用来替代目标控制的控制的数据。在示例性实施例中，替代控制采用单个值(也就是说，在一个审计日程中审计一种控制)。

·审计方法是表示审计控制的方法的数据。由后述的审计方法管理模块130管理的审计方法ID被设置为属性值。

审计方法管理模块130连接到审计系统管理员的终端105、审计实施模块120、公司A业务系统170A的公司A业务处理数据库190A、以及公司B业务系统170B的公司B业务处理数据库190B上。审计方法管理模块130具有管理怎样利用证迹对控制进行审计的功能。例如，审计方法通过后述的审计系统管理员的终端105响应审 计系统管理员的操作进行登记、编辑、或删除。

审计实施模块120连接到审计系统管理员的终端105、不定期审计目标确定模块115、审计结果报告模块125、审计方法管理模块130、审计日程管理模块135、审计结果数据库140、公司A业务系统170A的公司A业务处理数据库190A和公司A证迹数据库195A、以及公司B业务系统170B的公司B业务处理数据库190B和公司B证迹数据库195B上。审计实施模块120从由公司A业务系统170A传输的信息中检测到通过在公司A中实施控制发现公司A中的缺陷。接着，当审计实施模块120检测到发现缺陷时，如果公司B具有与对应于在公司A中实施的控制的风险同等的风险，并且与该风险相对应的公司B中的控制与公司A中实施的控制不同等，则审计实施模块120指示公司B的公司B业务系统170B在公司B中实施在公司A中实施的控制。在公司B中，从不同的观点实施不定期审计，并且发现先前可能未被公司B认识的问题。

当然，术语“同等风险”包括完全相同的风险，并且还包括类似的风险。可以通过以下方式确定风险是否类似于另一种风险。也就是说，提前准备定义彼此类似的风险的表格，并且采用此表格进行该确定。当然，术语“同等控制”包括完全相同的控制，并且还包括类似的控制。可以通过以下方式确定控制是否类似于另一种控制。也就是说，提前准备定义彼此类似的控制的表格，并且采用此表格进行该确定。

另外，如果在公司A中实施的与风险相对应的控制比在公司B中采取的控制更严格，则审计实施模块120可以指示公司B业务系统170B在公司B中实施在公司A中实施的控制。

下面进行详细描述。

审计实施模块120根据保存在审计日程管理模块135中的审计日程利用每家公司的业务处理信息和证迹信息以及保存在审计方法管理模块130中的审计方法对每家公司实施审计。至于此时的“实施审计”的方法，可以利用计算机程序(脚本)实施审计，或者当未准备计算机程序时，可以向目标组织机构的控制负责人发出通知(电子邮件等)以通知将要实施审计。

A.审计日程的审计类型是“定期”的情况：通过将审计方法应用于目标公司的业务处理中存在的目标控制来实施审计。如果利用定期审计通过实施控制发现目标公司中的缺陷，则使不定期审计目标确定模块115确定将进行不定期审计的公司和控 制。

B.审计日程的审计类型是“不定期”的情况：目标公司的业务处理中存在的目标控制被替代控制替代的控制利用目标公司的业务处理信息和证迹信息执行或模拟，并且通过将审计方法应用于所获得的结果来实施审计。

不定期审计目标确定模块115连接到审计系统管理员的终端105、审计实施模块120、审计日程管理模块135、公司A业务系统170A的公司A业务处理数据库190A、以及公司B业务系统170B的公司B业务处理数据库190B上。

不定期审计目标确定模块115具有当在特定公司的定期审计处理中通过实施控制发现该公司中的缺陷时确定将进行不定期审计的其他家公司中的控制的功能。

在本示例性实施例中，确定在满足以下条件的情况下在特定公司，即公司Y，中进行不定期审计：

1.存在与试图通过在其中发现缺陷的公司X中的控制Cx解决的风险相同的风险。

2.试图通过不同于控制Cx的控制Cy解决风险。

如果发现不定期审计目标，则按照以下方式在审计日程管理模块135中登记审计日程。

·目标公司：公司Y

·开始日期和时间：<系统可以立即执行审计的日期和时间>

·审计类型：“不定期”

·目标控制：Cy

·替代控制：Cx

审计实施模块120根据以上登记的信息实施审计。

审计结果数据库140连接到审计系统管理员的终端105、审计实施模块120、以及审计结果报告模块125上。审计结果数据库140具有保存由审计实施模块120实施的每家公司的审计的结果的功能。审计结果与日程ID相关联地保存。如果登记新的审计结果，则通知审计结果报告模块125新登记的审计结果。

审计结果报告模块125连接到审计系统管理员的终端105、审计实施模块120、审计结果数据库140、公司A业务系统170A的公司A控制负责人的终端180A、以及公司B业务系统170B的公司B控制负责人的终端180B上。如果审计实施模块120检测 到通过实施控制发现组织机构中的缺陷，则审计结果报告模块125至少向除公司A以外的组织机构(例如，向公司B的公司B业务系统170B)公开已发现缺陷的控制(在公司A发现缺陷的控制)。“除公司A以外的组织机构”可以是至少一个组织机构。

下面进行详细描述。

审计结果报告模块125具有向已审计的公司的控制管理员报告公司审计的结果的功能。审计结果的实例包括定期审计的结果和不定期审计的结果。通过将来自审计结果数据库140的通知作为触发来实施结果的报告。接收到报告的结果时，每家公司的控制负责人可以考虑替代控制及其效果。

审计系统管理员的终端105连接到不定期审计目标确定模块115、审计实施模块120、审计结果报告模块125、审计方法管理模块130、审计日程管理模块135、审计结果数据库140、公司A业务系统170A的公司A业务处理数据库190A、以及公司B业务系统170B的公司B业务处理数据库190B上。审计系统管理员的终端105是用于审计系统的管理员的终端。审计系统管理员的终端105具有使得可以检查，例如，上述各种功能和处理状态的设置的功能。

图2示出用于实施示例性实施例的示例性系统配置。

图2示出图1所示的审计系统100作为审计云服务200实施的情况。审计云服务200、公司A业务系统170A、公司B业务系统170B和公司C业务系统170C通过通信线路290彼此连接。通信线路290可以是无线线路、有线线路或者其组合。例如，通信线路290可以是作为通信基础设施的内联网或互联网。

假设以下条件。例如，存在各家公司(公司A业务系统170A、公司B业务系统170B和公司C业务系统170C)对相同的风险应用不同的控制的情况。审计云服务200把应用于相同风险的控制视为不定期审计候选。例如，可以从这些候选中排出类似的控制。

图2示出在不定期的基础上通过对其他公司应用在其中发现缺陷的公司A中的控制来进行审计的情况。

在步骤1中，在公司A业务系统170A中发现缺陷。

在步骤2中，公司A业务系统170A向审计云服务200报告缺陷。

在步骤3中，审计云服务200判断是否对其他公司进行不定期审计。

在步骤4中，审计云服务200指示判断为审计目标的公司B业务系统170B和公 司C业务系统170C进行不定期审计。

在步骤5中，公司B业务系统170B和公司C业务系统170C中的每一个根据指示实施不定期审计。

图3示出用于实施示例性实施例的示例性系统配置。在图2所示的示例性系统配置中，审计系统100作为审计云服务200实施。然而，还可以采用每家公司具备其自己的信息处理装置110的系统配置，并且各家公司的信息处理装置110彼此通信以便指示其他信息处理装置110(或者审计系统管理员的终端105)进行不定期审计。

在每家公司中，审计系统管理员的终端105、信息处理装置110、业务处理管理员的终端175、控制负责人的终端180、证迹登记员的终端185、业务处理数据库190、以及证迹数据库195通过公司内部通信线路380彼此连接。公司内部通信线路380可以是无线线路、有线线路或者其组合。例如，公司内部通信线路380可以是作为通信基础设施的互联网。

公司内部通信线路380A、公司内部通信线路380B、以及公司内部通信线路380C通过通信线路390彼此连接。通信线路390可以是无线线路、有线线路或者其组合。例如，通信线路390可以是作为通信基础设施的互联网。

图4是示出根据示例性实施例的示例性处理的流程图。图4中描述的流程图示出当定期审计的审计日程达到审计开始日期和时间时执行的处理。图5和图7中描述的流程图分别示出包括在图4中所示的流程图中的不定期审计(步骤S408中的处理)的子流程。

在步骤S400中，开始定期审计。

在步骤S402中，为被激活的审计日程中设置的公司(本实例中的公司X)和目标控制(本实例中的控制Cx)接受实施的控制的结果。

在步骤S404中，判断是否通过实施Cx发现缺陷。如果发现缺陷，则处理进行到步骤S408。否则，处理进行到步骤S406。

在步骤S406中，记录表示通过实施Cx未发现缺陷的审计结果。

在步骤S408中，进行由Cx触发的不定期审计。

在步骤S410中，记录表示通过实施Cx发现缺陷的审计结果。

在步骤S412中，向公司X的控制负责人报告审计结果。

在步骤S499中，结束定期审计。

图5是示出根据示例性实施例的示例性处理(图4中所示的流程图中步骤S408中的示例性处理)的流程图。

在步骤S500中，开始由Cx触发的不定期审计。

在步骤S502中，从公司X的业务处理数据库中发现试图通过Cx防止表面化的风险Rx。

在步骤S504中，判断是否还有待评估不定期审计的必要性的公司。如果还有那样的公司，则处理进行到步骤S508。否则，处理进行到步骤S506。

在步骤S506中，结束由Cx触发的不定期审计。

在步骤S508中，从尚未评估的公司中选择一家公司(本实例中为公司Y)。

在步骤S510中，判断在公司Y中是否存在与风险Rx相同的风险。如果存在相同的风险，则处理进行到步骤S512。否则，处理进行到步骤S514。

在步骤S512中，判断公司Y中与公司Y中的风险相对应的控制Cy是否与Cx相同。如果控制相同，则处理进行到步骤S514。否则，处理进行到步骤S516。

在步骤S514中，公司Y被视为已评估。

在步骤S516中，用Cx替代公司Y中的Cy，并且接受基于公司Y中的业务处理和证迹在公司Y中实施的审计的结果。例如，可以利用目标控制/替代控制对应关系表600选择性地使用定期审计和不定期审计。图6示出目标控制/替代控制对应关系表600的示例性数据结构。目标控制/替代控制对应关系表600具有列方向上的公司X栏610和公司Y栏620，以及行方向上的目标控制栏630(表示在定期审计中实施的每种控制并且与相同的风险相对应)和替代控制栏640(包括在不定期审计中实施的控制)。列方向上的公司X栏610表示公司X(通过定期审计在其中发现缺陷的公司)中的控制。因此，不需要替代控制。列方向上的公司Y栏620表示公司Y(将对其进行不定期审计的公司)中的控制。定期审计中在公司Y中实施的控制是Cy。由于Cx和Cy与相同的风险相对应，因此这些控制被视为彼此相关连的目标控制(参见目标控制栏630)。因此，在将对其进行不定期审计的公司Y中，作为Cy的替代控制实施Cx。

在步骤S518中，判断是否在审计处理中通过实施Cx发现问题。如果发现问题，则处理进行到步骤S520。否则，处理进行到步骤S514。

在步骤S520中，向公司Y的控制负责人报告不定期审计的结果。

步骤S502至步骤S514中的处理与不定期审计目标的确定有关。另外，步骤S516至步骤S520中的处理与不定期审计的实施有关。

图7是示出根据示例性实施例的示例性处理(图4中所示流程图中步骤S408中的示例性处理)的流程图。

在步骤S700中，开始由Cx触发的不定期审计。

在步骤S702中，从公司X的业务处理数据库中发现试图通过Cx防止其表面化的风险Rx。

在步骤S704中，判断是否还有待评估不定期审计的必要性的公司。如果还有那样的公司，则处理进行到步骤S708。否则，处理进行到步骤S706。

在步骤S706中，结束由Cx触发的不定期审计。

在步骤S708中，从尚未评估的公司中选择一家公司(本实例中为公司Y)。

在步骤S710中，判断在公司Y中是否存在与风险Rx相同的风险。如果存在相同的风险，则处理进行到步骤S712。否则，处理进行到步骤S716。

在步骤S712中，判断公司Y中与公司Y中的风险相对应的控制Cy是否与Cx相同。如果控制相同，则处理进行到步骤S716。否则，处理进行到步骤S714。

在步骤S714中，判断是否“Cx的严格度＜Cy的严格度”。如果“Cx的严格度＜Cy的严格度”，则处理进行到步骤S716。否则，处理进行到步骤S718。控制的严格度可以利用控制/严格度对应关系表800进行识别。对在发现缺陷的时间点实施类似的更严格的控制的组织机构不实施不定期审计，由此避免增加不必要的审计成本。图8示出控制/严格度对应表800的示例性数据结构。控制/严格度对应表800具有控制栏810和严格度栏820。控制栏810存储控制。严格度栏820存储控制的严格度。例如，数值越大表示严格度水平越高。当然，此关系可以相反(顺序排名越高(数值越小)，严格度水平越高)。在图8所示的实例中，Cx的严格度是3，而Cy的严格度是2，表示Cx比Cy更严格。每种控制的严格度可以通过控制之间的包含关系进行定义。例如，如果控制A包含控制B，则表示控制B比控制A更严格。

在步骤S716中，公司Y被视为已评估。

在步骤S718中，用Cx替代公司Y中的Cy，并且接受基于公司Y中的业务处理和证迹在公司Y中实施的审计的结果。

在步骤S720中，判断是否在审计处理中通过实施Cx发现问题。如果发现问题， 则处理进行到步骤S722。否则，处理进行到步骤S716。

在步骤S722中，向公司Y的控制负责人报告不定期审计的结果。

步骤S702至步骤S716中的处理与不定期审计目标的确定有关。另外，步骤S718至步骤S722中的处理与不定期审计的实施有关。

如果第二组织机构不能实施在第一组织机构中实施的控制，则可以提供描述控制的通知。具体地，如果在判断需要不定期审计的公司或组织机构中，不能通过审计实施模块120自动应用所述控制，则可以向目标公司或组织机构的控制负责人提供建议控制负责人应用控制的通知。下面将描述更具体的实例(从事例1派生的事例)。其结果，即使在不能立即进行不定期审计的情况下，也使控制负责人认识到问题的存在，并使控制负责人有机会检查相关控制。

下面将描述具体事例。

(事例1)

各家公司针对发生非法交易的风险采取以下控制。

·公司A：检查交易单据的发送日期和时间以及接收日期和时间的历史

此控制由对日期和时间记入栏中的时间数据项之间的顺序关系以及“将来日期和时间”的存在与否进行自动检查的脚本实施。

·公司B和公司C：检查交易单据上的批准印章

此控制由对单据上的印章的图像进行识别的脚本实施。

进行以下处理。

(1)在公司A中发现历史数据有问题的单据。

(2)通知审计云服务200公司A的公司ID以及发现问题的控制。

(3)由于公司B和公司C针对相同的风险采取不同的控制，确定对这两家公司进行不定期审计。

(4)生成用于执行公司A中采用的审计方法的脚本，并发送给公司B和公司C。

(5)在公司B和公司C中的每一家公司中，执行步骤(4)中发送给公司的脚本，并且通知公司B和公司C中每一家公司的控制负责人执行结果。

(从事例1派生的事例)

各家公司采取的控制与事例1中的控制相同。下面对尽管通过在公司B中实施控制发现问题但公司A的系统不具备图像识别功能的情况进行描述。例如，此情况 与需要扫描仪来实现图像识别功能但公司A不具备所述扫描仪的情况相对应。

进行以下处理。

(1)发现无批准印章的单据。

(2)通知审计云服务200公司B的公司ID以及发现问题的控制。

(3)由于公司A针对相同的风险采取不同的控制，确定对公司A进行不定期审计。

(4)生成用于执行公司B中采用的审计方法的脚本，并发送给公司A。

(5)由于不能在公司A中执行脚本，因此通知公司A的控制负责人待实施的控制的描述，建议控制负责人手动执行控制。

(事例2)

关于工作场所的安全和卫生，各家公司针对发生灾难X的风险采取以下控制。

·公司A和公司B：定期地向工作场所的成员分发检查清单，并检查回答数据

此控制由对“不好”(不可接受)的回答的存在与否进行自动检查的脚本实施。

·公司C：定期地检查与灾难X相关的差点发生事故的情况的登记数量的增加

此控制由对已增加的情况的数量是否低于预定数量进行自动检查的脚本实施。

进行以下处理。

(1)在公司A中检查出“不好”的回答。

(2)通知审计云服务200公司A的公司ID以及发现问题的控制。

(3)由于公司C针对相同的风险采取不同的控制，确定对公司C进行不定期审计。

(4)向公司C发送检查清单项目和分发检查清单的成员的定义，并指示公司C进行不定期审计。

(5)在公司C中分发检查清单，并通知公司C的控制负责人对检查清单的回答。

(从事例2派生的事例)

各家公司采取的控制与事例2中的控制相同。根据控制的实施的严格度判断针对类似控制的不定期审计的必要性。

·在公司A中，为每个回答是“不好”的项目记入附加的注释。

·在公司B中，无论回答是“好”还是“不好”，负责回答检查清单的人都拍摄并附上作为证据的照片，并且工作场所的另一个成员在照片上签名以证明拍照区域以 及照片的日期和时间。

·审计云服务200保存相关信息，其表示在控制的实施的严格度上“公司A＜公司B”。

在这种情况下，进行以下处理。

·如果在公司A中检查出“不好”的回答，则不在公司B中实施不定期审计。

·如果在公司B中检查出“不好”的回答，则在公司A中实施不定期审计。此时，与公司B中采用的方法相同的方法继续使用预定的一段时间。

执行根据本示例性实施例的程序的计算机的硬件配置是图9所示的通用计算机的硬件配置，具体地，是可以作为个人电脑或者服务器的计算机等的硬件配置。也就是说，作为特定的实例，CPU 901作为处理单元(运算单元)使用，并且RAM 902、ROM 903和HD 904作为存储器使用。例如，硬盘或者固态硬盘(SSD)可以作为HD 904使用。计算机由以下部件组成：CPU 901，其执行用于实现诸如不定期审计目标确定模块115、审计实施模块120、审计结果报告模块125、审计方法管理模块130、以及审计日程管理模块135等模块的程序；RAM 902，其存储程序和数据；ROM 903，其中存储用于启动计算机的程序等；HD 904，其作为辅助存储器(可以是闪存等)；接受装置906，其基于用户利用键盘、鼠标、触控面板等进行的操作接受数据；图像输出装置905，例如CRT(阴极射线管显示器)或者液晶显示器；通信线路接口907，其用于创建与通信网络的连接，例如网络接口卡；以及母线908，其将上述部件互联以交换数据。多个所述计算机可以通过网络互相连接。

对于基于上述示例性实施例中的计算机程序的特征，使具备上述硬件配置的系统读取作为软件的计算机程序，并且通过软件与硬件资源的协作，实现上述示例性实施例。

图9中描述的硬件配置仅供说明用。只要可以执行示例性实施例中描述的模块，则示例性实施例不限于图9中所示的配置。例如，有些模块可以由专用的硬件(例如专用集成电路(ASIC))实现，而有些模块可以在外部系统中提供并且可以通过通信线路连接。另外，如图9中配置的多个系统可以通过通信线路彼此连接以便互相协作地运行。另外，除个人电脑以外，以上配置可以并入到，特别是，信息家电、复印机、传真机、扫描仪、打印机和多功能机器(例如，具有扫描仪、打印机、复印机和传真机功能中的两种或两种以上的图像处理装置)。

当将要实施不定期审计时，临时应用的控制与在感兴趣的组织机构中通常应用的控制可以应用特定的一段时间。接着，将这两种情况下的审计结果相比较并向控制负责人(特别是第二组织机构中的控制负责人)报告。如果比较结果显示明显的差异，报告可以包含建议由不定期审计中采取的控制替换或者并用两种控制的信息。也就是说，向控制负责人提供允许控制负责人判断哪种控制更适合作为从现在起将应用的控制的信息。

这里描述的程序可以以存储在记录介质中的形式提供，或者可以通过通信单元提供程序。例如，在这种情况下，上述程序可以被理解为与“记录程序的计算机可读记录介质”相关的发明。

“记录程序的计算机可读记录介质”是指在其上记录程序并且用于安装、执行以及程序的流通等目的的计算机可读记录介质。

记录介质的实例包括数字化通用磁盘(DVD)，例如由DVD论坛开发的标准，即“DVD-R、DVD-RW、DVD-RAM等”与由DVD论坛开发的标准，即“DVD+R、DVD+RW等”、诸如只读存储器(CD-ROM)与可录式(CD-R)和可抹写式(CD-RW)光盘的光盘(CD)、蓝光(注册商标)光盘、磁光盘(MO)、软盘(FD)、磁带、硬盘、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM(注册商标))、闪存、随机存取存储器(RAM)和安全数字(SD)存储卡。

上述程序或程序的一部分可以记录在上述记录介质上供保存和流通用。或者，程序可以通过诸如用于局域网(LAN)、城域网(MAN)、广域网(WAN)、互联网、内联网、外联网等或者组合的通信介质传输，或者可以承载在载波上进行传输。

另外，上述程序可以是另一个程序的一部分，或者可以与不同的程序一起记录在记录介质上。或者，程序可以分别记录在多个记录介质上。另外，程序可以以诸如压缩或者加密等的任何形式进行记录，只要程序可以恢复。

为了进行图示和说明，以上对本发明的示例性实施例进行了描述。其目的并不在于全面详尽地描述本发明或将本发明限定于所公开的具体形式。很显然，对本技术领域的技术人员而言，可以做出许多修改以及变形。本实施例的选择和描述，其目的在于以最佳方式解释本发明的原理及其实际应用，从而使得本技术领域的其他熟练技术人员能够理解本发明的各种实施例，并做出适合特定用途的各种变形。本发明的范围由与本说明书一起提交的权利要求书及其同等物限定。