応用情報技術者過去問題 平成29年秋期 午後問11

⇄問題文と設問を画面2分割で開く⇱問題PDF

問11 システム監査

受発注業務に関わる情報システムの監査に関する次の記述を読んで,設問1~5に答えよ。

 J社は,ビル建設会社及び土木工事会社に対して,工事資材及び機器の販売を行っている。J社では,これまで本社の営業本部で一括して受発注処理を行ってきたが,顧客の注文に迅速に対応するために,各営業所での受発注処理に切り替え,関係する情報システムの変更を行った。そこで,受発注処理の変更に伴う問題がないかどうかを確認するために,J社監査部は,変更後の情報システムの監査を実施することにした。

〔受発注業務の概要〕
 情報システム変更後の各営業所での受発注業務は,次のとおりである。
1. 受注業務
  • 営業担当者は,顧客の注文内容に基づいて受注仕様書を作成して押印する。このとき,原則として顧客からの注文書を添付することになっているが,緊急の場合には受注仕様書にその旨を記載して,注文書なしで提出することが認められている。ただし,この場合でも,営業担当者は納品日までに必ず注文書を入手しなければならない。
  • 営業事務担当者は,受注仕様書の内容,及び顧客からの注文書が入手済みか否かを受注管理システムに入力する。入力された情報を基に,受注管理システムによって受注票が作成される。営業事務担当者は,出力された受注票に間違いがないことを確認した上で,受注仕様書,受注票及び注文書(入手している場合)を営業所長に提出する。
  • 営業所長は,受注内容の妥当性をチェックし,問題がなければ受注票に押印し,受注管理システム上で承認入力を行う。このとき,受注金額が100万円未満の場合は営業所長の承認入力によって受注が確定するが,100万円以上の場合は営業所長以外に本社営業部長の承認入力が必要である。
  • 営業担当者が注文書を後日入手した場合,営業事務担当者は,受注管理システムに注文書入手済みの入力を行う。
2.受注品目の種類
 受注品目には,J社で在庫を保有している汎用品と,顧客が指定する仕様に基づいて,その都度外部に発注する特殊品がある。
  • 汎用品については,受注管理システムで確定した受注データを基に,物流管理システムによって出庫指図処理が行われる。
  • 特殊品については,受注管理システムで確定した受注データを基に発注管理システムによって発注処理が行われる自動発注業務と,受注が確定する前に発注処理が行われる先行発注業務とがある。
3.特殊品の自動発注業務
  • 発注管理システムによって自動発注処理が行われ,仕入先宛ての発注書が出力される。
  • 営業事務担当者は,発注書を仕入先に送付する。
  • 仕入先から,顧客の指定納品場所に特殊品が直送される。
  • 納品後2日以内に,顧客が押印した受領書を仕入先から入手し,営業事務担当者が発注管理システムに納品完了入力を行う。
4.特殊品の先行発注業務
 特殊品は,受注が確定する前に仕入先に発注しておかないと,納期に間に合わないことがある。その場合は,仮受注仕様書に基づいて先行発注を行う。
  • 営業担当者が仮受注仕様書を作成して押印し,営業事務担当者に提出する。
  • 営業事務担当者は,仮受注仕様書の内容を発注管理システムに入力する。入力された情報を基に,発注管理システムによって発注書が作成される。
  • 営業事務担当者は,発注書を仕入先に送付し,仮受注仕様書を営業担当者に返却する。
  • 前記3. 特殊品の自動発注業務の(3),(4)と同様の処理が行われる。
5.先行発注した特殊品の受注業務
  • 営業担当者は,顧客からの注文書を入手したら仮受注仕様書に"受注済"の押印を行い,営業事務担当者に提出する。
  • "受注済"が押印された仮受注仕様書に基づいて,前記1. 受注業務の(2),(3)と同様の処理が行われる。
  • 仕入先に対する発注は既に行われているので,前記3. 特殊品の自動発注業務の(1),(2)を新たに行う必要はない。
〔小規模営業所での受発注業務〕
 J社の営業所の中には,営業所長と1~2名の営業担当者で業務を行っている小規模営業所がある。このような小規模営業所では営業事務担当者がいないので,受発注業務に関する職務分掌が他の通常の営業所とは異なっている。受注管理システム及び発注管理システムの各入力業務のアクセス権限について,その違いを表1に示す。
 なお,アクセス権限は,従業員ごとに設定されている。
pm11_1.png/image-size:440×132
〔監査の実施〕
 監査チームのメンバーであるK君は,予備調査を実施して,J社の受発注業務に関するリスクを識別し,各リスクに対して現状実施されているコントロールを表2のとおりまとめた。
pm11_2.png/image-size:534×300
 K君は,表2の項番1~3の現状実施されているコントロールについて検討し,今後の監査方針について次のように考えた。
  • 項番1,2の現状実施されているコントロールについては,どちらもリスクを低減する上で効果的と考えられるので,実際に機能していることを確認する監査手続を実施することにした。
  • 項番3については,現状では適切なコントロールが存在しないので,①アクセス権限の観点からの改善案を提示することにした

設問1

表2中の項番1のリスク及び現状実施されているコントロールのaに入れる適切な字句を,10字以内で答えよ。

解答入力欄

  • a:

解答例・解答の要点

  • a:注文書なし (5文字)

解説

受発注処理の変更を題材に、小規模な事業拠点における職務の兼務と不十分なアクセスコントロールに起因するリスクの識別と改善策が問われています。問題文は長文で、かつ、業務の流れが複雑です。このような場合は、システム名(受注管理システム、…)、担当者(営業担当者、営業事務担当者、…)、ドキュメント(発注書、受領書、…)に別々のマークを付けながら読むと、後で問題文を読んだときに振り返りやすくなります。また、問題文に書かれていなくとも、システム監査が対象としている内部統制の考え方を踏まえておく必要があります。

aについて〕
aは、営業所における受注業務におけるリスクとコントロールを記載した項にあるので、〔受発注業務の概要〕の中で営業所での受注業務について記載された 1. を読み込みます。すると、営業担当者が注文書を受領しているか否かで2通りの処理が行われていることがわかります。このうちのどちらの場合に「架空受注が行われるおそれが」あって、それを防ぐ対策として、営業事務担当者が「受注データを抽出し、営業所長に報告するとともに営業担当者に督促」するのかを考えると、注文書なしで受注仕様書が提出される場合となります。

注文書なしの場合でも、営業担当者は納品日までに必ず納品書を入手しなければならない取り決めになっています。項番1のリスクコントロールでは、納品日前に注文書がないという異常をチェックすることで架空受注を防止することを目的としています。

aの前後の文脈を考えると適切な字句は 注文書なし になります。

∴注文書なし

設問2

表2中の項番2のリスクのb及びcに入れる入力業務を,表1の項番で答えよ。

解答入力欄

  • b:
  • c:

解答例・解答の要点

  • b:1
  • c:2

解説

bcについて〕
2つの空欄は、小規模営業所の受注業務におけるリスクとコントロールを記載した項にあるので、〔小規模営業所での受発注業務〕を読み込みます。

「営業事務担当者がいないので,受発注業務に関する職務分掌が他の通常の営業所とは異なっている」と記載され、受注管理システム及び発注管理システムの各入力業務のアクセス権限の表が示されています。リスクには「両方を単独で行うことができる場合」と記載されていますので、アクセス権限が与えられている職責が複数の入力業務で重複している組み合わせを選びます。表1を見ると、小規模営業所では営業所長に「項番1 受注仕様書の入力」と「項番2 受注表の承認入力」の両方のアクセス権限が与えられています。これだと、営業所長が同じ受注について入力と承認を行うことができるため内部不正のリスクが考えられます。職務分掌の観点から言えば、入力者と承認者は別にしなければなりません。
pm11_3.png/image-size:440×132
よって、bcには、1 及び 2 が入ります。

bc=1、2(順不同)

設問3

表2中の項番2の現状実施されているコントロールのdに入れる適切な字句を,15字以内で答えよ。

解答入力欄

  • d:

解答例・解答の要点

  • d:営業所長が入力した (9文字)

解説

dについて〕
設問2では、営業所長が受注の入力と承認を単独でできることが問題となりました。dには、このリスクをコントロールするための策について適切な字句が入ります。

受注承認についてのJ社のルールを確認すると、受注金額が100万円未満の場合は営業所長の承認、100万円以上の場合は営業部長に加えて本社営業部長の承認が必要とされています。つまり、小規模営業所において内部不正リスクがある業務は、営業所長が単独で入力と承認可能な100万円未満の受注に限定されます。

内部統制では、入力者と承認者を別人にするコントロールが機能するようにしなければならず、営業所長が入力したものを同じ営業所長が承認していれば適切とは言えません。この解決策として、小規模営業所の営業所長が行った受注入力については、受注金額が100万円未満のものについても、上長にあたる本社営業部長の承認を要するというコントロールが導けます。

∴営業所長が入力した

設問4

表2中の項番3のリスクのeに入れる適切な字句を,10字以内で答えよ。

解答入力欄

  • e:

解答例・解答の要点

  • e:受注管理システム (8文字)

解説

eについて〕
「先行発注」とは、〔受発注業務の概要〕の「2.受注品目の種類」より、特殊品について「受注が確定する前に発注処理が行われる」ことです。そのリスクについて問われているので「4.特殊品の先行発注業務」に記載されている手順から答えを探します。

「特殊品は,受注が確定する前に仕入先に発注しておかないと,納期に間に合わないことがある。その場合は,仮受注仕様書に基づいて先行発注を行う」との記載があり、この手順が原則であることがわかります。ところが、表2の項番3で指定されているリスクは、顧客からの注文に基づかない不正な発注が行われるということです。その原因とされているのが、リスクを記載した文の前半のeを含む箇所になります。

まず、"連携"という文脈からeに入るのは業務または業務処理を行うシステムであることを予想できます。小規模営業所における先行発注の業務において、顧客からの注文に基づかない不正な発注が起こりうる原因を「4.特殊品の先行発注業務」から探すと、
  • 営業担当者が仮受注仕様書を作成する
  • 営業担当者が仮受注仕様書の内容を発注管理システムに入力して、発注書を作成する
  • 営業担当者が発注書を送付し、仮受注仕様書は営業担当者に返却される
というように、受注管理システムで確定した受注データを基に物流管理システム出庫指図処理が行われる汎用品、同じく受注管理システムで確定した受注データを基に発注処理が行われる特殊品(自動発注)とは異なり、先行発注では発注時に受注管理システムへの入力がなされない手順になっていることがわかります。受注管理システムへの入力がいつ行われるかというと、営業担当者が顧客から注文書を入手した後(発注後)です。

上長による受注入力の承認は、受注管理システムへの入力時に行われるため、営業担当者が先行発注入力を行う小規模営業所では、別の人に確認されることなく単独で発注業務が完了してしまいます。これは、①受注管理システムへの入力→②受注承認→③発注 となっている汎用品・特殊品(自動発注)では、起こり得ないことです。

つまり、先行発注業務が受注管理システムと連携していないことが、営業担当者による不正発注が起こりうるリスクになっています。

e=受注管理システム

設問5

本文中の下線①について,K君が提示することにしたと考えられる改善案を30字以内で述べよ。

解答入力欄

  • o:

解答例・解答の要点

  • o:先行発注と納品完了の権限を有する者を別にする (22文字)

解説

「4.特殊品の先行発注業務」の(1)と(2)より、営業担当者が仮受注仕様書を作成して発注管理システムに入力し、入力された情報を基に、発注管理システムによって発注書が作成されるまでは営業所長のチェックが入っていないことに着目します。その後、「営業事務担当者は,発注書を仕入先に送付し,仮受注仕様書を営業担当者に返却」しますので、営業担当者はノーチェックで発注ができ、そのうえ、納品完了入力までできてしまいます。問われている改善案とは、このリスクが実際には起きないようにする業務手順を新たに作り出すこと、すなわち、コントロールを効かせるということです。

それは設問3と同じく、入力者と承認者を別人にするということです。リスクに「営業担当者が入力した先行発注について自ら納品完了入力もできる」と記載され、これを防ぐコントロールが現状にないのであれば、これを別人に行わせればよいことになります。

∴先行発注と納品完了の権限を有する者を別にする
問11成績

平成29年秋期 午後問題一覧

問1 問2 問3 問4 問5 問6 問7 問8 問9 問10 問11 採点講評
© 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop