応用情報技術者過去問題 令和2年秋期 午後問11
⇄問題文と設問を画面2分割で開く⇱問題PDF問11 システム監査
販売システムの監査に関する次の記述を読んで,設問1~5に答えよ。
S社は中堅の電子部品メーカーである。電子機器メーカーなどの得意先に対して,電子部品を製造し,販売している。
S社監査部では,定期的に業務監査を行っているが,これまでITに精通した要員がおらず,業務で利用されている情報システムの監査が十分にはできていなかった。そこで,情報システム部における開発経験が豊富なK氏を監査部に異動させることで,システム監査体制を強化した。今年度,監査部が販売システムの監査を実施するに当たり,監査部長は,①K氏を監査人に任命することに関して,独立性の観点から確認し,監査チームのメンバーとして参加させることにした。
監査チームは予備調査を行い,その結果,次のことが分かった。
〔販売業務の概要〕
(1) 受注処理
〔本調査に向けた監査手続書の策定〕
監査チームは,予備調査の結果に基づき,販売システムに関する監査手続を,表1のとおりまとめた。
K氏は,売上計上処理の監査手続の前提として,得意先別販売リストの販売金額が適切に出力されていることを確かめるために,次の監査手続の追加を提案した。
S社は中堅の電子部品メーカーである。電子機器メーカーなどの得意先に対して,電子部品を製造し,販売している。
S社監査部では,定期的に業務監査を行っているが,これまでITに精通した要員がおらず,業務で利用されている情報システムの監査が十分にはできていなかった。そこで,情報システム部における開発経験が豊富なK氏を監査部に異動させることで,システム監査体制を強化した。今年度,監査部が販売システムの監査を実施するに当たり,監査部長は,①K氏を監査人に任命することに関して,独立性の観点から確認し,監査チームのメンバーとして参加させることにした。
監査チームは予備調査を行い,その結果,次のことが分かった。
〔販売業務の概要〕
(1) 受注処理
- 得意先からの発注データはEDIによって販売システムに取り込まれる。EDIを利用していない得意先からの発注情報は,ファックス又は電子メールで送られてくるので,それに基づいてS社営業部担当者が営業部端末から販売システムに直接受注入力する。
- 得意先ごとの受注条件,与信限度額は,営業部担当者の申請に基づき,管理部担当者が,管理部長の承認を受け,販売システムのマスタ管理機能を利用して得意先マスタに登録する。
- 得意先マスタに登録されている受注条件,与信限度額の範囲内の発注データは,自動で受注確定されるとともに,物流システムに出荷指図データが送信される。
- 事前に登録された,受注条件や与信限度額の範囲を逸脱した発注データは,受注エラーリストに出力され,受注処理が保留される。保留された発注データは,営業部担当者が内容を確認のうえ,保留解除申請を行い,営業課長が販売システム上で承認処理を行うことで受注確定される。
- 物流センタでは,出荷予定日になると,物流システムの出荷指図データに基づき,出荷作業を行う。出荷作業が完了すると,物流システムから販売システムに出荷完了データが自動送信される。
- 物流システムからの出荷完了データに基づき,販売システムで販売データが作成される。
- 販売データは,会計システムに日次バッチ処理で自動送信され,出荷基準に基づいて売上計上される。会計システムからは,得意先別の売上金額などが記載された得意先元帳を出力することができる。
- 営業部担当者は,販売システムから得意先別販売リストを毎月出力し,内容を確認した後,営業課長に報告を行っている。
- S社の販売業務に関連するシステムは,販売システム,物流システム,会計システムである。各システムの関係及びデータの流れは,図1のとおりである。
- 販売システムと物流システムは,外部システムベンダに開発委託したシステムである。会計システムは,ソフトウェアパッケージをそのまま使用しており,販売システムからのインタフェース部分を除き,特に独自機能の追加などは行っていない。
監査チームは,予備調査の結果に基づき,販売システムに関する監査手続を,表1のとおりまとめた。
- 販売システムに取り込まれたdを集計し,得意先別販売リストの販売金額と一致することを確かめる。
設問1
本文中の下線①について,監査部長が確認したと考えられる事項を,30字以内で具体的に述べよ。
解答入力欄
解答例・解答の要点
- ・販売システムの担当から離れて一定期間経過していること (26文字)
・販売システムの開発・保守業務に対する関与度合 (21文字)
解説
監査人の独立性について回答する設問です。
一般的なシステム監査の知識から解答を導出します。
下線①を含む一文を確認すると「今年度,監査部が販売システムの監査を実施するに当たり,監査部長は,K氏を監査人に任命することに関して,独立性の観点から確認し,監査チームのメンバーとして参加させることにした」と記述されています。「独立性の観点から確認」とあるので、この観点を踏まえた解答としなければなりません。
システム監査人の独立性においては"システム監査基準"に「システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない」と定義されています。また、外観上の独立性のみならず、偏向を排し、常に公正かつ客観的に監査判断をするため、精神上の独立性も要求されます。
一般的に、内部監査部門が組織内の別部門のシステム監査を行う場合には、監査人または監査人の所属部門が監査対象と同じ指揮命令系統に属していないことや、監査人は原則として以前に監査対象の領域または業務に従事していないことが要求されます。K氏は情報システム部における豊富な開発経験があり、監査対象である販売システムの開発にも携わっていた可能性があるので、監査チームに参加させる際には「監査対象である販売システムから独立していること」を確認しなければなりません。ただし、設問には「具体的に」という条件がありますので、注意が必要です。確認すべき事項は「監査人であるK氏が監査対象である販売システムから独立していること」ですが、この設問ではもう一歩踏み込んで具体的に確認すべき事項を解答する必要があります。
K氏が販売システムから独立していることを確認するには、販売システムとの関係がない、または公平な判断が損なわれない程度に小さければ良いので、これらの事項を確認することになります。模範解答例として2つが挙げられていますが、"システム監査基準"において「システム監査人が、以前、監査対象の領域又は業務に従事していた場合、原則として、監査の任から外れることが望ましい」とされているので「K氏が販売システムの開発や保守に携わっていないこと」等の解答でも可でしょう。
∴販売システムの担当から離れて一定期間経過していること
販売システムの開発・保守業務に対する関与度合
一般的なシステム監査の知識から解答を導出します。
下線①を含む一文を確認すると「今年度,監査部が販売システムの監査を実施するに当たり,監査部長は,K氏を監査人に任命することに関して,独立性の観点から確認し,監査チームのメンバーとして参加させることにした」と記述されています。「独立性の観点から確認」とあるので、この観点を踏まえた解答としなければなりません。
システム監査人の独立性においては"システム監査基準"に「システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない」と定義されています。また、外観上の独立性のみならず、偏向を排し、常に公正かつ客観的に監査判断をするため、精神上の独立性も要求されます。
一般的に、内部監査部門が組織内の別部門のシステム監査を行う場合には、監査人または監査人の所属部門が監査対象と同じ指揮命令系統に属していないことや、監査人は原則として以前に監査対象の領域または業務に従事していないことが要求されます。K氏は情報システム部における豊富な開発経験があり、監査対象である販売システムの開発にも携わっていた可能性があるので、監査チームに参加させる際には「監査対象である販売システムから独立していること」を確認しなければなりません。ただし、設問には「具体的に」という条件がありますので、注意が必要です。確認すべき事項は「監査人であるK氏が監査対象である販売システムから独立していること」ですが、この設問ではもう一歩踏み込んで具体的に確認すべき事項を解答する必要があります。
K氏が販売システムから独立していることを確認するには、販売システムとの関係がない、または公平な判断が損なわれない程度に小さければ良いので、これらの事項を確認することになります。模範解答例として2つが挙げられていますが、"システム監査基準"において「システム監査人が、以前、監査対象の領域又は業務に従事していた場合、原則として、監査の任から外れることが望ましい」とされているので「K氏が販売システムの開発や保守に携わっていないこと」等の解答でも可でしょう。
∴販売システムの担当から離れて一定期間経過していること
販売システムの開発・保守業務に対する関与度合
設問2
受注処理における監査対象の機能に関する監査手続について,表1中のa,b,cに入れる適切な字句を,それぞれ10字以内で答えよ。
解答入力欄
- a:
- b:
- c:
解答例・解答の要点
- a:管理部長の承認記録 (9文字)
- b:登録権限がない (7文字) 又は 更新権限がない (7文字)
- c:受注入力権限がない (9文字)
解説
〔aについて〕
空欄を含む一文を確認すると「得意先マスタへの登録手続に関して,得意先マスタへの登録時にaがあることを確かめる」と記述されています。
S社における得意先マスタへの登録手続は以下のようになっています。
この2つが解答候補となりますが、「管理部長の承認」が受注条件と与信限度額の適正さをチェックするコントロールであることを考えれば、監査手続において"ある"ことを確認しなければならないのは「管理部長の承認」の方であると判断できます。
今回の設問で問われているのは監査手続は、監査の結論を裏付けるために十分かつ適切な監査証拠を入手するプロセスです。そうすると、証拠として入手できる必要がありますので「管理部長の承認記録」と答えることになります。
∴a=管理部長の承認記録
〔bについて〕
空欄を含む一文を確認すると「得意先マスタへのアクセス権限管理に関して,営業部担当者に得意先マスタのbことを確かめる」と記述されています。
先ほど確認した通り、得意先マスタへの登録は、管理部担当者が管理部長の承認を受けて行います。S社の業務上、EDIを利用していない得意先からの発注情報は、営業担当者が販売システムに直接登録するので、営業担当者も販売システムに対して一定のアクセス権限を与えられています。ここで営業部担当者に得意先マスタ自体を更新する権限が付与されていると、上記の承認フローを通さずに得意先マスタを変更することが可能となってしまいます。それだと不正の温床になりかねないため、営業担当者に得意先マスタの「登録権限がない」「更新権限がない」ようにアクセス権限管理がなされているかどうかを確かめることになります。
なお、発注情報を手動で登録する業務上、営業担当者が受注条件や与信限度額その他の情報を確認できるようになっている必要があるので、営業部担当者が得意先マスタを参照する権限は与えられていると考えるのが妥当です。したがって、採点講評でも指摘されているとおり「アクセス権がない」では正解とはなり得ません。
∴b=登録権限がない 又は 更新権限がない
〔cについて〕
空欄を含む一文を確認すると「受注処理の権限管理に関して,承認処理を行う営業課長にはcことを確かめる」と記述されています。
内部統制の考え方において「職務の分離(職務分掌)」という考え方があります。職務の分離とは、業務の担当者と承認者を分離し、職責と権限を適切に分配することで、各者間での相互牽制を働かせることです。先ほどの記述の通り、営業課長には承認処理を行う権限があるので、もし同時に受注入力権限があれば、自分で受注入力してエラーになったものを自分で承認することができてしまいます。この不正を防止するため、営業課長には「受注入力権限」を与えるべきではありません。よって、営業部長に「受注入力権限」がないことを確認すれば良いと判断できます。
∴c=受注入力権限がない
空欄を含む一文を確認すると「得意先マスタへの登録手続に関して,得意先マスタへの登録時にaがあることを確かめる」と記述されています。
S社における得意先マスタへの登録手続は以下のようになっています。
- 営業部担当者が申請する
- 管理部担当者が管理部長の承認を受ける
- 管理部担当者が販売システムに登録する
この2つが解答候補となりますが、「管理部長の承認」が受注条件と与信限度額の適正さをチェックするコントロールであることを考えれば、監査手続において"ある"ことを確認しなければならないのは「管理部長の承認」の方であると判断できます。
今回の設問で問われているのは監査手続は、監査の結論を裏付けるために十分かつ適切な監査証拠を入手するプロセスです。そうすると、証拠として入手できる必要がありますので「管理部長の承認記録」と答えることになります。
∴a=管理部長の承認記録
〔bについて〕
空欄を含む一文を確認すると「得意先マスタへのアクセス権限管理に関して,営業部担当者に得意先マスタのbことを確かめる」と記述されています。
先ほど確認した通り、得意先マスタへの登録は、管理部担当者が管理部長の承認を受けて行います。S社の業務上、EDIを利用していない得意先からの発注情報は、営業担当者が販売システムに直接登録するので、営業担当者も販売システムに対して一定のアクセス権限を与えられています。ここで営業部担当者に得意先マスタ自体を更新する権限が付与されていると、上記の承認フローを通さずに得意先マスタを変更することが可能となってしまいます。それだと不正の温床になりかねないため、営業担当者に得意先マスタの「登録権限がない」「更新権限がない」ようにアクセス権限管理がなされているかどうかを確かめることになります。
なお、発注情報を手動で登録する業務上、営業担当者が受注条件や与信限度額その他の情報を確認できるようになっている必要があるので、営業部担当者が得意先マスタを参照する権限は与えられていると考えるのが妥当です。したがって、採点講評でも指摘されているとおり「アクセス権がない」では正解とはなり得ません。
∴b=登録権限がない 又は 更新権限がない
〔cについて〕
空欄を含む一文を確認すると「受注処理の権限管理に関して,承認処理を行う営業課長にはcことを確かめる」と記述されています。
内部統制の考え方において「職務の分離(職務分掌)」という考え方があります。職務の分離とは、業務の担当者と承認者を分離し、職責と権限を適切に分配することで、各者間での相互牽制を働かせることです。先ほどの記述の通り、営業課長には承認処理を行う権限があるので、もし同時に受注入力権限があれば、自分で受注入力してエラーになったものを自分で承認することができてしまいます。この不正を防止するため、営業課長には「受注入力権限」を与えるべきではありません。よって、営業部長に「受注入力権限」がないことを確認すれば良いと判断できます。
∴c=受注入力権限がない
設問3
表1中の下線②について,この監査手続を実施する場合,監査人は業務への影響について,どのような点に留意しなければならないか。35字以内で述べよ。
解答入力欄
解答例・解答の要点
- 監査人が作成した発注データが受注確定されてしまわないこと (28文字)
解説
監査手続の実施における注意点について回答する設問です。
一般的なシステム監査の知識から解答を導出します。
設問文の条件に従い、下線②を含む一文を確認すると「発注データのチェックに関して,受注条件や与信限度額の範囲を逸脱した架空の発注データを監査人が作成し,営業部端末から販売システムに入力して,受注エラーリストに出力されることを確かめる」と記述されています。
この記述からわかる通り、今回の監査における発注データチェックは、実際に稼働している販売システムに対して、架空のデータを入力して実施しています。このような監査手続手法は「テストデータ法」と呼ばれます。"システム監査基準"において、コンピュータを利用した監査技法を適用する場合には、システムのバックアップ状況を確認して復元性を確保した上で利用することが望ましい」とされているように、監査手続による業務への影響を避けるために、チェックで使用した架空データを使った処理はチェック終了後に取り消す必要があります。今回の事例でこれを行わなかった場合、監査で使用した架空のデータが正式な発注データとして処理されてしまう可能性があります。
よって、正解は「監査人が作成した発注データが受注確定されてしまわないこと」となります。
∴監査人が作成した発注データが受注確定されてしまわないこと
一般的なシステム監査の知識から解答を導出します。
設問文の条件に従い、下線②を含む一文を確認すると「発注データのチェックに関して,受注条件や与信限度額の範囲を逸脱した架空の発注データを監査人が作成し,営業部端末から販売システムに入力して,受注エラーリストに出力されることを確かめる」と記述されています。
この記述からわかる通り、今回の監査における発注データチェックは、実際に稼働している販売システムに対して、架空のデータを入力して実施しています。このような監査手続手法は「テストデータ法」と呼ばれます。"システム監査基準"において、コンピュータを利用した監査技法を適用する場合には、システムのバックアップ状況を確認して復元性を確保した上で利用することが望ましい」とされているように、監査手続による業務への影響を避けるために、チェックで使用した架空データを使った処理はチェック終了後に取り消す必要があります。今回の事例でこれを行わなかった場合、監査で使用した架空のデータが正式な発注データとして処理されてしまう可能性があります。
よって、正解は「監査人が作成した発注データが受注確定されてしまわないこと」となります。
∴監査人が作成した発注データが受注確定されてしまわないこと
設問4
表1中の下線③について,このような監査手続を何というか。最も適切な字句を,解答群の中から選び,記号で答えよ。
解答群
- インタビュー法
- チェックリスト法
- 突合・照合法
- ペネトレーションテスト法
解答入力欄
解答例・解答の要点
- ウ
解説
"システム監査基準"では選択肢それぞれの監査手続の技法を次のように定義しています。
∴ウ:突合・照合法
- インタビュー法
- 監査対象の実態を確かめるために、システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する技法
- チェックリスト法
- システム監査人が、あらかじめ監査対象に応じて調整して作成したチェックリストに対して、関係者から回答を求める技法
- 突合・照合法
- 関連する複数の証拠資料間を突き合わせること、記録された最終結果について、原始資料まで遡ってその起因となった事象と突き合わせる技法
- ペネトレーションテスト法
- システム監査人が一般ユーザのアクセス権限又は無権限で、テスト対象システムへの侵入を試み、システム資源がそのようなアクセスから守られているかどうかを確認する技法
∴ウ:突合・照合法
設問5
本文中のdに入れる適切な字句は何か。本文中から選び,10字以内で答えよ。
解答入力欄
解答例・解答の要点
- 出荷完了データ (7文字)
解説
問題文の空欄に当てはまる字句を回答する設問です。
一般的なシステム監査の知識及び問題文の記述から解答を導出します。
空欄を含む一文を確認すると「販売システムに取り込まれたdを集計し,得意先別販売リストの販売金額と一致することを確かめる」と記述されています。この記述と図1より、販売システムに取り込まれるデータである「発注データ」または「出荷完了データ」が解答候補となります。
さらに、この文章の直前に「売上計上処理の監査手続の前提として,…,次の監査手続の追加を提案した」と記述されています。この記述から、空欄が含まれる一文が示す監査手続は売上計上処理の監査手続の前段の作業であることがわかります。
表1で売上計上処理に関する監査手続を確認すると、販売システムから会計システムへの販売データ送信が過不足なく行われていることを確かめるために、得意先別販売リストと得意先元帳を照合しています。どちらも同じ販売データをもとに金額を計算しているので、同じ金額であれば販売システムと会計システムのインタフェースに問題がないことがわかります。
しかし、(3)売上計上処理に「出荷基準に基づいて売上計上される」とあるように、売上金額は実際の出荷と一致すべきです。販売システムは、物流システムから受信した出荷完了データに基づき販売データを作成していますが、販売システムは独自開発のシステムであり、販売データの生成に不具合がある可能性がないとは言い切れません。つまり、上記の監査手続により売上計上処理が適切であるという結論は、販売データが正確であるという前提の下に成り立つと言えます。したがって前段の作業として、出荷完了データを集計した金額と、販売データを集計した得意先別販売リストを照合して、出荷完了データから正しい販売データが生成されていることを確かめる手続きが必要となります。
∴出荷完了データ
一般的なシステム監査の知識及び問題文の記述から解答を導出します。
空欄を含む一文を確認すると「販売システムに取り込まれたdを集計し,得意先別販売リストの販売金額と一致することを確かめる」と記述されています。この記述と図1より、販売システムに取り込まれるデータである「発注データ」または「出荷完了データ」が解答候補となります。
さらに、この文章の直前に「売上計上処理の監査手続の前提として,…,次の監査手続の追加を提案した」と記述されています。この記述から、空欄が含まれる一文が示す監査手続は売上計上処理の監査手続の前段の作業であることがわかります。
表1で売上計上処理に関する監査手続を確認すると、販売システムから会計システムへの販売データ送信が過不足なく行われていることを確かめるために、得意先別販売リストと得意先元帳を照合しています。どちらも同じ販売データをもとに金額を計算しているので、同じ金額であれば販売システムと会計システムのインタフェースに問題がないことがわかります。
しかし、(3)売上計上処理に「出荷基準に基づいて売上計上される」とあるように、売上金額は実際の出荷と一致すべきです。販売システムは、物流システムから受信した出荷完了データに基づき販売データを作成していますが、販売システムは独自開発のシステムであり、販売データの生成に不具合がある可能性がないとは言い切れません。つまり、上記の監査手続により売上計上処理が適切であるという結論は、販売データが正確であるという前提の下に成り立つと言えます。したがって前段の作業として、出荷完了データを集計した金額と、販売データを集計した得意先別販売リストを照合して、出荷完了データから正しい販売データが生成されていることを確かめる手続きが必要となります。
∴出荷完了データ
