平成23年秋期試験午後問題 問12

問12 システム監査

⇱問題PDF
購買業務の監査に関する次の記述を読んで,設問1~5に答えよ。
 R社は,電子機器の製造・販売を営む大手企業である。消耗品,ノベルティ用品,PCなどの間接材の購買業務(以下,購買業務という)の費用削減と内部統制の充実のために,最近,購買ワークフローシステム(以下,購買システムという)を導入し,従来各部門で行われていた発注を本社の購買課に集中するよう購買業務プロセスを変更した。
 R社の購買業務の手続は,購買規程で定められている。購買規程には,申請金額によって最終承認者が異なること,実際の購入金額が承認された申請金額を超える場合,購買の再申請・再承認が必要であることなどが記載されている。
 R社の内部監査部は,新しい購買業務プロセスの設計・運用が適切に実施されているかどうかを確認するために,内部監査部のS君をリーダーにして,購買システムの業務処理統制を含めた購買業務の監査を行った。

〔新しい購買業務プロセスの概要〕
 R社の新しい購買業務プロセスは,次のとおりである。
  • 取引先審査
    新規取引先については,購買課長が,取引先の信用調査などをして承認する。
  • 取引先登録
    購買課の取引先審査で承認を受けた後,経理課担当者が,取引先の会社名・銀行口座・支払条件などの情報を取引先マスタに仮入力する。経理課長が承認すると,仮入力した情報が取引先マスタに反映される。
  • 購買の申請
    物品の購買を希望する申請部署は,購買課に依頼し,登録取引先から見積書を取った後,購買システムに取引先,物品,数量,単価,希望納期などの情報を入力し,購買を申請する。購買の申請は,申請者の直属上司が購買システムで承認する。申請金額が直属上司の承認権限を超えている場合は,申請金額に応じた承認者が自動的に追加される。
  • 発注
    承認者が購買の申請を承認した後,購買課は購買の申請とaを照合し,間違いがないかどうかを確認する。間違いがあれば申請者に差し戻す。間違いがなければ,購買システムから発注書を出力した後,取引先にファックスで発注書を送付するとともに,写しを申請部署と経理課に送る。
  • 物品の検収
    申請部署は,取引先から物品が届くと,b(写し)の内容と照合して届いた物品を検収する。申請部署が検収した数量を購買システムに入力すると,検収した内容が記された検収書が作成される。検収書を取引先に送るとともに,写しを経理課に送る。取引先の都合などで分納されることもあり,数量が合わないこともあるので,購買システムは数量のチェックをしない。数量以外の情報の変更や追加入力はできない。
  • 請求書の検証
    取引先からの請求書は,発注した物品が全て納入された後に,経理課に届く。経理課は請求書,b(写し)及びc(写し)を確認し,購買システム上の取引先,物品,単価,数量などの情報をチェックする。単価や数量の増加によって請求書に記載された購入金額が増えている場合は,申請部署に差し戻し,購買の再申請・再承認を指示する。その他の場合は,購買システム上の該当データの支払ステータスを支払可に変更する。ステータスを支払可に変更されたデータは,夜間バッチ処理で会計システムに送られる。
  • 支払
    資金課では,会計システムに送られた支払可のデータを確認し,取引先に物品の代金を振り込む。
〔購買システムのアクセス権管理〕
 業務上の必要性から,システム課長と,購買システムを担当するシステム課の2人の合計3人の社員が,購買システムに,高いレベルのアクセス権をもつアカウント(以下,特権アカウントという)をもっている。システム課長は,特権アカウントをもったユーザリストとアクセスログを,購買システムから四半期ごとに出力し,アクセス権が適切に付与されているかどうか,アカウントが適切に使用されているかどうかを確認している。なお,特権アカウントの新規登録,変更,削除については,システム課長の承認を必要としている。

〔システム間データ転送〕
 購買システムと会計システムとの間のデータのやり取りは,一連の夜間バッチ処理の中で,ファイル転送によって行われている。両システムの文字コードが異なるので,ファイル転送プログラムのオプション機能を使用し,ファイル転送と同時に文字コード変換も行っている。変換できない文字があれば,該当レコードは破棄される。システム課では,夜間バッチ処理について,個々のジョブが開始され,正常に終了していることを,夜間バッチコントロールシステムを使って毎日モニタリングしている。

〔購買業務の監査結果〕
 監査リーダーのS君は,監査で判明した購買業務の問題点をまとめ,内部監査部長に報告した。
  • 最近,経理課は,データを集計した際,会計システムのデータの合計金額が購買システムのデータの合計金額と異なっているという異常が起きていたことに気付いた。夜間バッチ処理の該当ジョブの開始・終了は正常なので,ファイル転送の異常について経理課から指摘があるまでシステム課は気付かなかった。
     再発防止のために,夜間バッチ処理のジョブの開始・終了をチェックするだけでなく,ファイル転送の誤りがなかったかどうかをチェックするべきである。
  • 申請部署が取引先に対して口頭発注を行うことが原因で,承認量を超える数量の物品が検収され,購入金額が承認された申請金額を超過するという事象が,請求書の検証時に多く発生していることが分かった。
     口頭発注は禁止である旨の申請部署への周知徹底と併せて,請求書の検証の前にこのような①金額超過を防止するシステム機能を追加すべきである
  • 購買業務に関するR社の職務分離方針は次のとおりとなっている。
    ・購買に関する各業務を兼任することはできない。ただし,次の業務は例外とする。
    1. 発注を行う部署は,取引先審査と取引先登録の業務を兼任できる。
    2. 購買の申請を行う部署は,物品の検収の業務を兼任できる。
     これに準拠せず,例外とした業務以外にも兼任している業務があることが分かった。
     このような業務のうちで,他部署に移管できる業務は移管し,不適切な兼任を解消すべきである。
 S君の報告を受けた内部監査部長は,S君の報告に加え,現状の購買システムのアクセス権管理では,②不正を発見できないおそれがあると指摘した。

設問1

本文中のacに入れる適切な字句を,本文中の書類名で答えよ。

解答例・解答の要点

a:見積書
b:発注書
c:検収書

解説

aについて〕
空欄を含む一文を確認すると「承認者が購買の申請を承認した後,購買課は購買の申請とaを照合し,間違いがないかどうかを確認する」となっています。したがって、何らかの写しであり、購買の申請との照合に使えるものを解答する必要があります。

R社における購買申請のプロセスは以下のようになっています。
  1. 購買申請部署は、購買課に依頼して、登録取引先から見積書を取る
  2. 購買申請部署の申請者は、購買システムに仮入力し、上長等に購買を申請する
  3. 上長等が購買を承認する
購買課によるaとの照合は、購買申請部署による購買システムへの入力が正しく行われているかどうかを確認するためのコントロールとなります。申請者は見積りを同じ内容を購買システムに入力するわけですから、購買課は登録取引先から取った「見積書」と購買の申請を照合すれば良いことがわかります。よって、aには「見積書」が当てはまります。

a=見積書

bについて〕
空欄を含む一文を確認すると「申請部署は,取引先から物品が届くと,b(写し)の内容と照合して届いた物品を検収する」となっています。したがって、物品の検収時に取引先から届いた物品と照合すべきものを解答する必要があります。

R社における発注から検収のプロセスは以下のようになっています。
  1. 購買課は、購買システムから発注書を出力し、取引先に送付するとともに、写しを申請部署と経理課に送る
  2. 申請部署は、取引先から届いた物品を検収する
発注どおりの物品が納品されたかどうかを確認するには、発注時に購買課から申請部署に送られる「発注書(写し)」と照合すれば良いことがわかります。よって、bには「発注書」が当てはまります。

b=発注書

cについて〕
空欄を含む一文を確認すると「経理課は請求書,[発注書](写し)及びc(写し)を確認し,購買システム上の取引先,物品,単価,数量などの情報をチェックする」となっています。したがって、何らかの写しであり請求書の検証において経理課が確認すべきものを解答する必要があります。

R社における検収から請求書の検証のプロセスは以下のようになっています。
  1. 申請部署は、検収した数量を購買システムに入力する→検収書が作成される
  2. 申請部署は、検収書を取引先に送り、写しを経理課に送る
  3. 経理課は、発注された物品が全て納入された後、取引先からの請求書を検証する
経理課では、請求書の正しさについて検証を行うことになるので、発注内容、実際に納品された数量および請求書の数量が合致しているかどうかを確認することになります。実際に納品された物品の情報は、検収時に申請部署から経理課に送られる「検収書(写し)」を見ることでわかります。よって、cには「検収書」が当てはまります。

c=検収書

設問2

〔購買業務の監査結果〕の(1)にあるファイル転送の誤りを検出する方法として有効な策を解答群の中から選び,記号で答えよ。
解答群
  • 送信ファイルと受信ファイルのデータ件数を比較する。
  • データの暗号化を行う。
  • データマイニングを行う。
  • ファイル転送の前にパリティビットを付加し,受信時にこれをチェックする。

解答例・解答の要点


解説

ファイル転送の誤りを検出する有効策を選択肢から選んで解答する設問です。
問題文の記述から解答を導出します。

ファイル転送の誤りの原因を問題文中から探すと、〔システム間データ転送〕に「変換できない文字があれば,該当レコードは破棄される」と記述されています。

この記述から、変換できない文字を含むファイルに関するファイル転送がバッチ処理の中で破棄されていることが異常の原因だと判断できます。該当レコードが破棄されると、そのファイルの転送が行われないので、集計漏れが生じて合計金額が合わなくなるからです。さらに、ファイル転送の誤りが生じていてもそれを破棄するのが仕様なので、バッチ処理自体は正常終了と判断されてしまいアラートとして検知できないという事態が発生しています。

この異常を検知するためには、ファイル転送が破棄されたことを検知すれば良いので、ジョブ終了時に、送信ファイルと受信ファイルのデータ件数が一致しているかどうかを確認するコントロールが有効です。これにより、ファイル転送ジョブが破棄されたことを検知できます。よって、正解は「ア」となります。

∴ア:送信ファイルと受信ファイルのデータ件数を比較する。
  • 正しい。
  • データを暗号化しても、ファイル転送ジョブが破棄されたことを検知できないので不適切です。
  • データマイニングはデータの解析手法です。今回の事象とは関係ないので不適切です。
  • パリティビットは送信データ等の誤りを検出する手法です。パリティビットを付加することで、受信ファイルに誤りがあれば検出できますが、該当レコードが破棄されるとそもそも送受信自体が行われないので、パリティビットを付加してもファイルが転送されなかったことを検出することはできません。

設問3

本文中の下線①について,(1),(2)に答えよ。
  • 追加すべきシステム機能は,新しい購買業務プロセスのどの業務に組み込むべきか。解答群の中から選び,記号で答えよ。
  • 追加すべきシステム機能を30字以内で述べよ。
解答群
  • 取引先審査
  • 取引先登録
  • 購買の申請
  • 発注
  • 物品の検収
  • 請求書の検証
  • 支払

解答例・解答の要点


  • 承認額を超えた場合に購買の申請を差し戻す機能 (22文字)

解説

追加すべき機能について回答する設問です。
問題文の記述から解答を導出します。

まず、下線①を含む一文を確認すると「請求書の検証の前にこのような①金額超過を防止するシステム機能を追加すべきである」となっているので、機能を追加すべき業務は「請求書の検証」の前であると判断できます。

さらに、下線①の直前を確認すると「申請部署が取引先に対して口頭発注を行うことが原因で,承認量を超える数量の物品が検収され,購入金額が承認された申請金額を超過するという事象が,請求書の検証時に多く発生していることが分かった」と記述されています。この事象を防ぐために追加する機能と機能を解答しなければなりません。

発生原因が「申請部署が取引先に対して口頭発注を行うこと」であることから、通常の「購買の申請→発注」という発注フローを通らずに、物品が納入されることになります。そして、分割納入が行われる関係で、検収時には発注数量とのチェックが行われていないので、申請部署が口頭発注した納入も含めた数量を検収することができてしまうという問題があります。

口頭発注は通常の発注フローを通らないので、「発注」に口頭発注による金額超過を防ぐ機能を付けても意味がありません。よって、機能を追加すべき業務は「物品の検収」であると判断できます。
追加する機能ですが、口頭発注によって承認量を超える数量の物品が検収され「購入金額が承認された申請金額を超過する」ことが問題となっていますから、検収時にその状況が判明した場合に、申請者に購買申請を差し戻して、正しい数値に直させる、誤発注であれば返品するなどの手順を加えれば、検収書と購買システムの数値を一致させることができます。正規の分割納入の場合には、購入金額が承認額を上回ることはないので、超えた場合に限り対処すれば十分です。

∴(1)=オ:物品の検収
 (2)=承認額を超えた場合に購買の申請を差し戻す機能

設問4

〔購買業務の監査結果〕の(3)にある他の部署へ移管すべき業務に関して,どの部署から,どの部署へ,どの業務を移管すべきか。それぞれ解答群の中から選び,記号で答えよ。
解答群
  • 経理課
  • 購買課
  • 資金課
  • 申請部署
業務 に関する解答群
  • 取引先審査
  • 取引先登録
  • 購買の申請
  • 発注
  • 物品の検収
  • 請求書の検証
  • 支払

解答例・解答の要点

移管元の部署:
移管先の部署:
業務:

解説

業務移管について回答する設問です。
問題文の記述から解答を導出します。

まず、購買業務と実行部門を整理します。〔新しい購買業務プロセスの概要〕の記述から、以下の通りとなります。複数の業務を兼任しているのは、経理課、購買課、申請部署です。
  • 経理課:(2)取引先登録、(6)請求先の検証
  • 購買課:(1)取引先審査、(4)発注
  • 資金課:(7)支払
  • 申請部署:(3)購買の申請、(5)物品の検収
〔購買業務の監査結果〕(3)より、R社には次の「購買業務に関するR社の職務分離方針」があるので、この職務分離方針に違反している業務を見つけ、移管先を解答することになります。
  1. 発注を行う部署は,取引先審査と取引先登録の業務を兼任できる。
  2. 購買の申請を行う部署は,物品の検収の業務を兼任できる。
a.の条件から、(4)発注と(1)取引先審査と(2)取引先登録の業務は兼任可能なので、購買課の業務兼任は許可されていることがわかります。また、b.の条件から、(3)購買の申請と(5)物品の検収は兼任可能なので、申請部署の業務兼任も許可されていることがわかります。一方、経理課が(2)取引先登録と(6)請求先の検証を兼任しているのは、R社の職務分離方針に準拠していません。

したがって、経理課の業務のどちらかを他の部門に移管しなければなりません。a.の条件では「(4)発注と(1)取引先審査と(2)取引先登録を兼任できる」ことになっているので、(2)取引先登録を購買課に移管すれば、不適切な兼任を解消できることになります。

以上より、「経理課」の「取引先登録」を「購買課」に移管するのが適切な措置であると判断できます。

∴移管元の部署=経理課
 移管先の部署=購買課
 業務=取引先登録

設問5

本文中の下線②について,なせ不正を発見できないおそれがあるのか。35字以内で述べよ。

解答例・解答の要点

特権アカウントの管理と行使の権限が同一人に与えられているから (30文字)

解説

不正を検知できない懸念について回答する設問です。
問題文の記述と一般的なシステム管理についての知識から解答を導出します。

設問文の条件に従い、下線②を含む一文を確認すると「現状の購買システムのアクセス権管理では,②不正を発見できないおそれがあると指摘した」と記述されています。

現状の購買システムのアクセス権管理については〔購買システムのアクセス権管理〕に、次の旨の記述があります。
  • システム課長と,購買システムを担当するシステム課の2人の合計3人の社員が,特権アカウントをもっている
  • システム課長は、特権アカウントの使用状況を確認している
  • 特権アカウントの新規登録,変更,削除については,システム課長の承認を必要としている
この記述から、システム課長については特権アカウントの行使及び管理を実施可能であり、また他の2人から使用状況を監視される立場にあるがわかります。「不正のトライアングル理論」でも説明されているように、このような不正ができる、不正をしても見つからない状況は内部不正の温床となり得ます。

通常、システム管理において適切に権限管理を行うため、特権アカウントの管理者と行使者は独立している必要があります。この部分がシステム管理上不適切で、発見できない不正を生む懸念となっていると判断できます。

よって、「特権アカウントの管理と行使の権限が同一人に与えられているから」「特権アカウントの使用状況確認をシステム課長だけが行っているから」などの解答が適切となります。

∴特権アカウントの管理と行使の権限が同一人に与えられているから
模範解答

Pagetop