応用情報技術者過去問題 平成23年特別 午後問12
⇄問題文と設問を画面2分割で開く⇱問題PDF問12 システム監査
表計算ソフトの利用についてのシステム監査に関する次の記述を読んで,設問1~4に答えよ。
E社は,主に製造機械を取り扱う商社で,中堅の上場企業である。部長以下12名の経理部員は,ソフトウェアパッケージを利用した経理システムで対応しきれない部分については,表計算ソフトを活用して業務効率の向上を図っている。
使用している表計算ソフトは,集計機能のほかに関数,マクロ言語によるプログラミング機能,パスワードを用いてセルに対する入力・変更を禁止できるセキュリティ機能などを備えている。表計算ソフトに精通した部員5名が,これらの機能を使用して表計算ファイルを作成している。
E社では,個人用のPC内にファイルを保存しない運用が全社に定着していて,業務用のファイルはすべてファイルサーバ内に格納されている。ファイルは業務ごとに分類されたディレクトリに保管され,使用権限に合わせたアクセス権が設定されている。
財務諸表の重要な勘定科目に影響を与えるおそれのあるデータを取り扱う表計算ファイルについては,表計算ファイルの管理規程が制定されている。この管理規程が制定されて6か月が経過したので,見直しも視野に入れ,その運用状況を確認するために,監査室のF君が経理部の表計算ファイルの管理状態を監査することになった。
〔管理規程(抜粋)〕
〔監査計画〕
F君は,監査計画を次のように考えた。
〔監査の実施〕
監査計画に従って監査を実施した結果,F君は次の事実を確認した。
経理部では,G課長が管理者に任命され,作成された表計算ファイルを管理対象とするかどうかの判断と管理レベルの決定を任されている。管理レベルが"高"の表計算ファイルはなく,レベル"中"と"低"がそれぞれ4本ずつ登録されている。ファイルは,すべて経理部のファイルサーバに保管され,毎週金曜日に定期的なバックアップが確実に実施されている。また,管理対象の各表計算ファイルの使用者と,ディレクトリのアクセス権の設定に不整合はない。
経理部のH係長は,ほぼ毎日,データを入力して管理レベル"中"の表計算ファイルを更新している。また,月1回使用される,①管理レベル"低"の表計算ファイルは,ほかの表計算ファイル中の一覧表内の係数を外部データとして参照している。参照先の表計算ファイルは管理対象外であった。
G課長が使用している管理レベル"中"の表計算ファイルは,入力部分以外のセルに対する入力・変更の禁止が設定されていない。G課長自身が作成したもので,登録時には入力・変更を禁止する設定をしていたが,内部処理の変更があったので設定を解除し,再度変更の予定があるので,その後は入力・変更を禁止する設定をせずに使用し続けている。
〔指摘事項(抜粋))
監査によって判明した事実に基づいて,F君は次の指摘を行った。
〔改善提言(抜粋)〕
指摘事項について,監査室は次の改善提言を行った。
E社は,主に製造機械を取り扱う商社で,中堅の上場企業である。部長以下12名の経理部員は,ソフトウェアパッケージを利用した経理システムで対応しきれない部分については,表計算ソフトを活用して業務効率の向上を図っている。
使用している表計算ソフトは,集計機能のほかに関数,マクロ言語によるプログラミング機能,パスワードを用いてセルに対する入力・変更を禁止できるセキュリティ機能などを備えている。表計算ソフトに精通した部員5名が,これらの機能を使用して表計算ファイルを作成している。
E社では,個人用のPC内にファイルを保存しない運用が全社に定着していて,業務用のファイルはすべてファイルサーバ内に格納されている。ファイルは業務ごとに分類されたディレクトリに保管され,使用権限に合わせたアクセス権が設定されている。
財務諸表の重要な勘定科目に影響を与えるおそれのあるデータを取り扱う表計算ファイルについては,表計算ファイルの管理規程が制定されている。この管理規程が制定されて6か月が経過したので,見直しも視野に入れ,その運用状況を確認するために,監査室のF君が経理部の表計算ファイルの管理状態を監査することになった。
〔管理規程(抜粋)〕
- 業務に使用する表計算ファイルを新たに作成したり,機能を変更したりする場合,作成者は,部門長が任命した表計算ファイル管理者(以下,管理者という)に事前に申告しなければならない。
- 管理者は,表計算ファイルのうち,その処理結果が財務諸表の重要な勘定科目に影響を与えるものを管理対象とし,勘定科目に与える影響を評価してセキュリティ管理レベル(以下,管理レベルという)を決定する。
- 管理者は,管理対象となる表計算ファイルを表計算ファイル管理簿(以下,管理簿という)に登録し,作成者によって文書化された仕様を保管する。
- 管理者は,表計算ファイルの使用権限をもつ使用者を管理簿に記載する。
- 管理簿には,ファイル名,影響を与える勘定科目,作成者,作成日付,使用者,管理レベルなどを記載する。
- 表計算ファイルの作成者は,指定された管理レベルに応じたセキュリティ対策を講じ,使用者がその表計算ファイルを改ざんできないようにする。
- 管理対象の表計算ファイルについては,管理レベルに応じたバックアップを行う。
F君は,監査計画を次のように考えた。
- 予備調査において,管理対象を特定するためにaの確認を行う。
- 繁忙期に当たるので,経理部員の3分の1に当たる4名を無作為に抽出して調査対象とし,そのほかの部員へのヒアリングは行わない。
- ヒアリングでは,表計算ファイルのbを理解し,守っているかどうかを質問する。
- 調査対象となった管理対象の表計算ファイルの作成者に,管理規程の運用に関する状況を確かめる。
- ファイルサーバ内のすべての表計算ファイルを確認し,管理対象の表計算ファイルを識別する。
- 管理対象の表計算ファイルのcの周期と状況を確認する。
- 管理対象の表計算ファイルのdと保管場所のディレクトリのアクセス権の一致を確認する。
〔監査の実施〕
監査計画に従って監査を実施した結果,F君は次の事実を確認した。
経理部では,G課長が管理者に任命され,作成された表計算ファイルを管理対象とするかどうかの判断と管理レベルの決定を任されている。管理レベルが"高"の表計算ファイルはなく,レベル"中"と"低"がそれぞれ4本ずつ登録されている。ファイルは,すべて経理部のファイルサーバに保管され,毎週金曜日に定期的なバックアップが確実に実施されている。また,管理対象の各表計算ファイルの使用者と,ディレクトリのアクセス権の設定に不整合はない。
経理部のH係長は,ほぼ毎日,データを入力して管理レベル"中"の表計算ファイルを更新している。また,月1回使用される,①管理レベル"低"の表計算ファイルは,ほかの表計算ファイル中の一覧表内の係数を外部データとして参照している。参照先の表計算ファイルは管理対象外であった。
G課長が使用している管理レベル"中"の表計算ファイルは,入力部分以外のセルに対する入力・変更の禁止が設定されていない。G課長自身が作成したもので,登録時には入力・変更を禁止する設定をしていたが,内部処理の変更があったので設定を解除し,再度変更の予定があるので,その後は入力・変更を禁止する設定をせずに使用し続けている。
〔指摘事項(抜粋))
監査によって判明した事実に基づいて,F君は次の指摘を行った。
- eは定期的に実施されているが,fが使用する表計算ファイルのgに対しては,現在実施されているeでは適切とはいえない。
- 管理対象の表計算ファイルが参照している管理対象外の表計算ファイルの内容が,財務諸表の重要な勘定科目に影響を与えるおそれがある。
- セルに対する②入力・変更の禁止の設定が解除されているものがある。
〔改善提言(抜粋)〕
指摘事項について,監査室は次の改善提言を行った。
- 管理対象の表計算ファイルが参照している管理対象外の表計算ファイルも管理対象とすること。
- h
設問1
監査計画について,(1),(2)に答えよ。
- 本文中のa~dに入れる適切な字句を解答群の中から選び,記号で答えよ。
- 〔監査計画〕の(2)について,監査室長から,ほかの項目と矛盾が発生するおそれがあるので,部員を管理対象の表計算ファイル作成者とそれ以外の2群に分け,それぞれの群の中で抽出するように指示された。ほかの項目とはどれか。〔監査計画〕中の(1)~(7)の番号で答えよ。また,その理由を40字以内で述べよ。
a,b,c,d に関する解答群
- 管理規程
- 管理対象外
- 事前評価
- 使用権限
- 入力・変更の禁止
- バックアップ
- 表計算ファイル
- 表計算ファイル管理簿
解答入力欄
- a:
- b:
- c:
- d:
- 項目:
- 理由:
解答例・解答の要点
- a:ク
- b:ア
- c:カ
- d:エ
- 項目:(4)
- 理由:
管理対象の表計算ファイルの作成者が抽出されないおそれがあるから (31文字)
解説
- 監査計画についての設問です。一般的なシステム監査の知識と問題文の記述から解答を導出します。
〔aについて〕
空欄を含む一文は以下の通りです。
「予備調査において,管理対象を特定するためにaの確認を行う」
〔管理規程(抜粋)〕によると、表計算ファイルを作成したり変更したりするときは以下の手順となっています。- 作成者は、管理者に事前に申告する
- 管理者は、申告があった表計算ファイルが管理対象に該当する場合は、管理レベルを決定する
- 管理者は管理対象となる表計算ファイルを管理簿に登録する
∴a=ク:表計算ファイル管理簿
〔bについて〕
空欄を含む一文は以下の通りです。
「ヒアリングでは,表計算ファイルのbを理解し,守っているかどうかを質問する」
ヒアリングではE社の経理部員が表計算ファイルの取扱い方法を理解し、守っているかを確認しています。この「取扱い方法」は何を指すのかが問われています。
問題文中に「財務諸表の重要な勘定科目に影響を与えるおそれのあるデータを取り扱う表計算ファイルについては,表計算ファイルの管理規程が制定されている」と記載があります。この「管理規程」が、E社の経理部員が守るべき表計算ファイルの取扱い方法となります。
∴b=ア:管理規程
〔cについて〕
空欄を含む一文は以下の通りです。
「管理対象の表計算ファイルのcの周期と状況を確認する」
表計算ファイルについて、何の周期と状況を確認するのかが問われています。
〔管理規程〕の「管理対象の表計算ファイルについては,管理レベルに応じたバックアップを行う」という記述および、表1「表計算ファイルのセキュリティ対策(抜粋)」より、管理対象となっている表計算ファイルは、管理レベルを問わずバックアップの対象となっていることがわかります。バックアップのタイミングが管理レベルごとに設定されていること、選択肢のうち"周期"が関係するのはバックアップしかないことから、空欄には「バックアップ」が当てはまると考えるのが妥当です。
∴c=カ:バックアップ
〔dについて〕
空欄を含む一文は以下の通りです。
「管理対象の表計算ファイルのdと保管場所のディレクトリのアクセス権の一致を確認する」
E社では、ファイルをファイルサーバに格納しており、「ファイルは業務ごとに分類されたディレクトリに保管され,使用権限に合わせたアクセス権が設定」されています。また、管理対象の表計算ファイルは、ファイルごとに使用権限をもつ使用者が管理簿に記載されています。
管理対象の表計算ファイルに適切なアクセス制御を施すには、適切なアクセス権限を設定したディレクトリに格納されている必要があります。よって、表計算ファイルの「使用権限」とそのファイルが格納されているディレクトリの「使用権限」が一致していることを確認することとなります。
∴d=エ:使用権限 - 〔監査計画〕(2)は以下の内容です。
「繁忙期に当たるので,経理部員の3分の1に当たる4名を無作為に抽出して調査対象とし,そのほかの部員へのヒアリングは行わない」
本文冒頭部には、E社には12名の経理部員がおり、表計算ファイルを作成しているのはこのうち5人であると説明されています。無作為抽出だと作成者がヒアリングから漏れてしまう可能性があり、その場合には〔監査計画〕(4)の「調査対象となった管理対象の表計算ファイルの作成者に,管理規程の運用に関する状況を確かめる」という監査手続の実施に支障を来します。
監査室長はこの点を懸念して、「部員を管理対象の表計算ファイル作成者とそれ以外の2群に分け,それぞれの群の中で抽出するように指示」したものと考えられます。
したがって、〔監査計画〕のうち矛盾する他の項目は(4)、その理由は「管理対象の表計算ファイルの作成者が抽出されないおそれがあるから」となります。
∴項目=(4)
理由=管理対象の表計算ファイルの作成者が抽出されないおそれがあるから
設問2
本文中の下線①の状態は,勘定科目に影響を与えるリスクがある。どのようなリスクか,40字以内で述べよ。
解答入力欄
- o:
解答例・解答の要点
- o:外部データとして参照している係数が不正に変更されるおそれがある (31文字)
解説
勘定科目に影響を与えるリスクを問われています。
一般的なシステム監査の知識と問題文の記述から解答を導出します。
下線①の状態とそれに対する指摘事項には以下のように記載があります。
設問では下線①の状態で生じる具体的なリスクが問われているため、「外部データとして参照している係数が不正に変更されるおそれがある」旨を解答するのが適切です。
∴外部データとして参照している係数が不正に変更されるおそれがある
一般的なシステム監査の知識と問題文の記述から解答を導出します。
下線①の状態とそれに対する指摘事項には以下のように記載があります。
- 下線①の状態
- 管理レベル"低"の表計算ファイルは,ほかの表計算ファイル中の一覧表内の係数を外部データとして参照している。参照先の表計算ファイルは管理対象外であった
- 指摘事項
- 管理対象の表計算ファイルが参照している管理対象外の表計算ファイルの内容が,財務諸表の重要な勘定科目に影響を与えるおそれがある。
設問では下線①の状態で生じる具体的なリスクが問われているため、「外部データとして参照している係数が不正に変更されるおそれがある」旨を解答するのが適切です。
∴外部データとして参照している係数が不正に変更されるおそれがある
設問3
本文中のe~gに入れる適切な字句を解答群の中から選び,記号で答えよ。
e,f,g に関する解答群
- G課長
- H係長
- 外部参照
- 管理対象
- 更新頻度
- 再度変更
- 使用権限
- 入力・変更の禁止
- バックアップ
解答入力欄
- e:
- f:
- g:
解答例・解答の要点
- e:ケ
- f:イ
- g:オ
解説
次の一文の指摘事項に入る字句を解答する設問です。問題文の記述から解答を導出します。
「eは定期的に実施されているが,fが使用する表計算ファイルのgに対しては,現在実施されているeでは適切とはいえない」
〔eについて〕
まず「定期的に実施されている」という文言を念頭におくと、〔管理規程〕、表1のセキュリティ対策で実施すべき内容および〔監査の実施〕の記載内容より、[e]には「バックアップ」が当てはまるとわかります。
∴e=ケ:バックアップ
〔f、gについて〕
バックアップに関する指摘事項となり得る点を〔監査の実施〕から探すと、「経理部のH係長は,ほぼ毎日,データを入力して管理レベル"中"の表計算ファイルを更新している」が問題となります。
表1のセキュリティ対策において管理レベル"中"の表計算ファイルは、「更新後,再度更新するまでにバックアップを行う」ことになっていますが、E社では、毎週金曜日の定期的なバックアップしか行われていませんから、H係長がほぼ毎日更新している管理レベル"中"の表計算ファイルはこの対策基準に従っていません。本来であれば、ファイル更新前にバックアップを行わなくてはならないからです。
したがって[f]には「H係長」、[g]には文脈と解答群から考えて「更新頻度」が当てはまります。
∴f=イ:H係長
g=オ:更新頻度
「eは定期的に実施されているが,fが使用する表計算ファイルのgに対しては,現在実施されているeでは適切とはいえない」
〔eについて〕
まず「定期的に実施されている」という文言を念頭におくと、〔管理規程〕、表1のセキュリティ対策で実施すべき内容および〔監査の実施〕の記載内容より、[e]には「バックアップ」が当てはまるとわかります。
∴e=ケ:バックアップ
〔f、gについて〕
バックアップに関する指摘事項となり得る点を〔監査の実施〕から探すと、「経理部のH係長は,ほぼ毎日,データを入力して管理レベル"中"の表計算ファイルを更新している」が問題となります。
表1のセキュリティ対策において管理レベル"中"の表計算ファイルは、「更新後,再度更新するまでにバックアップを行う」ことになっていますが、E社では、毎週金曜日の定期的なバックアップしか行われていませんから、H係長がほぼ毎日更新している管理レベル"中"の表計算ファイルはこの対策基準に従っていません。本来であれば、ファイル更新前にバックアップを行わなくてはならないからです。
したがって[f]には「H係長」、[g]には文脈と解答群から考えて「更新頻度」が当てはまります。
∴f=イ:H係長
g=オ:更新頻度
設問4
本文中のhに入れる,指摘事項(抜粋)の下線②に関する改善提言として,管理規程に追加すべき事項を30字以内で述べよ。
解答入力欄
- h:
解答例・解答の要点
- h:入力・変更の禁止の設定・解除を使用者以外のものが行う (26文字)
解説
改善提言についての設問です。一般的なシステム監査の知識と問題文の記述から解答を導出します。
下線②の「入力・変更の禁止の設定が解除されているものがある」とは、〔監査の実施〕で発覚したG課長が使用している管理レベル"中"の表計算ファイルを指しています。
〔管理規程〕では、表計算ファイルを新たに作成したり、機能を変更したりする場合、作成者は管理者に申告する手順になっていますが、〔監査の実施〕で「経理部では,G課長が管理者に任命され,作成された表計算ファイルを管理対象とするかどうかの判断と管理レベルの決定を任されている」と判明しているように、管理者であるG課長が自ら作成・変更した表計算ファイルを承認できてしまうことになります。「入力・変更を禁止する設定を解除する」など対策や規定に違反する変更であっても承認できてしまう状況は、財務報告の信頼性を損なうリスクとなるため内部統制上の問題となります。
職務の分離の観点から考えると、申請者と承認者を別にしなければならないので、管理者=使用者となる表計算ファイルの登録・変更については「当該管理者の上長の承認を得る」「当該管理者以外の者が承認する」などの管理規程を整備する必要があります。管理者であっても、入力・変更の禁止の設定・解除を自由に行えなくすることが重要です。
模範解答では「入力・変更の禁止の設定・解除を使用者以外のものが行う」としています。
∴h=入力・変更の禁止の設定・解除を使用者以外のものが行う
下線②の「入力・変更の禁止の設定が解除されているものがある」とは、〔監査の実施〕で発覚したG課長が使用している管理レベル"中"の表計算ファイルを指しています。
〔管理規程〕では、表計算ファイルを新たに作成したり、機能を変更したりする場合、作成者は管理者に申告する手順になっていますが、〔監査の実施〕で「経理部では,G課長が管理者に任命され,作成された表計算ファイルを管理対象とするかどうかの判断と管理レベルの決定を任されている」と判明しているように、管理者であるG課長が自ら作成・変更した表計算ファイルを承認できてしまうことになります。「入力・変更を禁止する設定を解除する」など対策や規定に違反する変更であっても承認できてしまう状況は、財務報告の信頼性を損なうリスクとなるため内部統制上の問題となります。
職務の分離の観点から考えると、申請者と承認者を別にしなければならないので、管理者=使用者となる表計算ファイルの登録・変更については「当該管理者の上長の承認を得る」「当該管理者以外の者が承認する」などの管理規程を整備する必要があります。管理者であっても、入力・変更の禁止の設定・解除を自由に行えなくすることが重要です。
模範解答では「入力・変更の禁止の設定・解除を使用者以外のものが行う」としています。
∴h=入力・変更の禁止の設定・解除を使用者以外のものが行う
