応用情報技術者過去問題 令和5年春期 午後問11
⇄問題文と設問を画面2分割で開く⇱問題PDF問11 システム監査
工場在庫管理システムの監査に関する次の記述を読んで,設問に答えよ。
Y社は製造会社であり,国内に5か所の工場を有している。Y社では,コスト削減,製造品質の改善などの生産効率向上の目標達成が求められており,あわせて不正防止を含めた原料の入出庫及び生産実績の管理の観点から,情報の信頼性向上が重要となっている。このような状況を踏まえ,内部監査室長は,工場在庫管理システムを対象に工場での運用状況の有効性についてシステム監査を実施することにした。
〔予備調査の概要〕
監査担当者が予備調査で入手した情報は,次のとおりである。
〔監査手続の作成〕
監査担当者が作成した監査手続案を表1に示す。 内部監査室長は,表1をレビューし,次のとおり監査担当者に指示した。
Y社は製造会社であり,国内に5か所の工場を有している。Y社では,コスト削減,製造品質の改善などの生産効率向上の目標達成が求められており,あわせて不正防止を含めた原料の入出庫及び生産実績の管理の観点から,情報の信頼性向上が重要となっている。このような状況を踏まえ,内部監査室長は,工場在庫管理システムを対象に工場での運用状況の有効性についてシステム監査を実施することにした。
〔予備調査の概要〕
監査担当者が予備調査で入手した情報は,次のとおりである。
- 工場在庫管理システム及びその関連システムの概要を,図1に示す。
- 工場在庫管理システムは,原料の入庫データ・出庫データ,原料・仕掛品の在庫データ,仕掛品の工程別の製造実績データ及び工程マスタを有している。また,工程マスタには,仕掛品の各製造工程で消費する原料標準使用量などが登録されている。
- 原料の入庫データは,購買管理システムの入荷データから入手する。また,製造実績データは,製造工程を制御・管理しているMESの工程実績データから入手する。
- 工程マスタ,入庫データ・出庫データなどの入力権限は,工場在庫管理システムの個人別の利用者IDとパスワードで制御している。過去の内部監査において,工場の作業現場のPCが利用後もログインされたまま,複数の工場担当者が利用していたことが指摘されていた。
- 工場在庫管理システムの開発・運用業務は,本社のシステム部が行っている。
- 工場在庫管理システムに関するプロセスの概要は,次のとおりである。
- 工場担当者が購買管理システムの当日の入荷データをCSVファイルにダウンロードし,件数と内容を確認後に工場在庫管理システムにアップロードすると,入庫データの生成及び在庫データの更新が行われる。工場担当者は,作業実施結果として,作業実施日及びエラーの有無を入庫作業台帳に記録している。
- 製造で消費された原料の出庫データは,製造実績データ及び工程マスタの原料標準使用量に基づいて自動生成(以下,出庫データ自動生成という)される。このため,実際の出庫実績を工場在庫管理システムに入力する必要はない。また,工程マスタは,目標生産効率を考慮して,適宜,見直しされる。
- 仕掛品については,MESから日次で受信した工程実績データに基づいて,日次の夜間バッチ処理で,製造実績データ及び在庫データが更新される。
- 工場では,本社管理部の立会いの下で,原料・仕掛品の実地棚卸が月次で行われている。工場担当者は,保管場所・在庫種別ごとに在庫データを抽出し,実地棚卸リストを出力する。工場担当者は,実地棚卸リストに基づいて実地棚卸を実施し,在庫の差異があった場合には実地棚卸リストに記入し,在庫調整入力を行う。この入力に基づいて,原料の出庫データ及び原料・仕掛品の在庫データの更新が行われる。
- 工場では,工場在庫管理システムから利用者ID,利用者名,権限,ID登録日,最新利用日などの情報を年次で利用者リストに出力し,不要な利用者IDがないか確認している。この確認結果として,不要な利用者IDが発見された場合は,利用者IDが削除されるように利用者リストに追記する。
〔監査手続の作成〕
監査担当者が作成した監査手続案を表1に示す。 内部監査室長は,表1をレビューし,次のとおり監査担当者に指示した。
- 表1項番1の①は,bを確かめる監査手続である。これとは別に不正リスクを鑑み,アップロードしたCSVファイルとcとの整合性を確保するためのコントロールに関する追加的な監査手続を作成すること。
- 表1項番2の①は,出庫データ自動生成ではdが発生する可能性が
高いので,設定される工程マスタの妥当性についても確かめること。 - 表1項番3の②は,eを確かめる監査手続なので,今回の監査目的を踏まえて実施の要否を検討すること。
- 表1項番4の①の前提として,fに記載されたgの網羅性が確保されているかについても確かめること。
- 表1項番4の②は,在庫の改ざんのリスクを踏まえ,差異のなかったgについて在庫調整入力が行われていないか追加的な監査手続を作成すること。
- 表1項番5の②は,不要な利用者IDだけでなく,hを利用してアクセスしている利用者も検出するための追加的な監査手続を作成すること。
設問1
〔監査手続の作成〕のaに入れる適切な字句を5字以内で答えよ。
解答入力欄
- a:
解答例・解答の要点
- a:ログイン (4文字)
解説
製造会社の工場在庫管理システムを題材に、不正リスクを想定しながら、システムの運用状況を確かめるための監査手続が問われています。監査手続についての問いに対して、〔予備調査の概要〕に記載された情報を探して回答するパターン、そして、正解にたどり着くためには業務プロセスの理解が不可欠になっていることは例年どおりです。しかし、2つの外部システムとのインタフェースがあり、内部には5つのデータを保持している本問の業務プロセスは例年に比べてやや複雑です。問題文の説明量が少ないことで、特に、製造プロセスになじみのない受験者にとっては、業務プロセスを読み取ることが難しい出題と言えます。
〔aについて〕
〔予備調査の概要〕において、アクセス管理についての記載を探します。空欄を含む文は「工場内PC」に関する内容であること、そして観察することによって確認できるという点に着目すると、③の「過去の内部監査において,工場の作業現場のPCが利用後もログインされたまま,複数の工場担当者が利用していたことが指摘されていた」との記載がこれに該当します。前回の指摘を受けて、ログインされたままになっていないことを現地調査により確認することになるので、空欄aは「ログイン」が当てはまります。
∴a=ログイン
〔aについて〕
〔予備調査の概要〕において、アクセス管理についての記載を探します。空欄を含む文は「工場内PC」に関する内容であること、そして観察することによって確認できるという点に着目すると、③の「過去の内部監査において,工場の作業現場のPCが利用後もログインされたまま,複数の工場担当者が利用していたことが指摘されていた」との記載がこれに該当します。前回の指摘を受けて、ログインされたままになっていないことを現地調査により確認することになるので、空欄aは「ログイン」が当てはまります。
∴a=ログイン
設問2
〔監査手続の作成〕のb,cに入れる最も適切な字句の組合せを解答群の中から選び,記号で答えよ。
解答群
解答入力欄
解答例・解答の要点
- カ
解説
〔bについて〕
「自動処理」か「手作業」かの二者択一です。〔予備調査の概要〕(2)①に、「工場担当者が購買管理システムの当日の入荷データをCSVファイルにダウンロードし,件数と内容を確認後に工場在庫管理システムにアップロードすると,入庫データの生成及び在庫データの更新が行われる」とあるので、原料の入庫プロセスは工場担当者の「手作業」で行われていることがわかります。
〔cについて〕
CSVファイルとの整合性を確かめる相手です。CSVファイルが購買管理システムからダウンロードされた後、工場在庫管理システムにアップロードされるまでの間に、人が介在するため、不正行為により何らかの改変がされてしまうリスクがあります。よって、このプロセスが正当に行われているかどうかを確認するための監査手続が必要と言えます。
原料の入庫プロセスでは、ダウンロードしたCSVファイルをそのままアップロードすることになっています。このため、ダウンロードされたCSVファイルとアップロードされたCSVファイルが一致していれば、適切に処理されたとみなすことができます。ダウンロードされるCSVファイルは、購買管理システムの入荷データを元に作成されますから、その元の入荷データとアップロードされたCSVファイルを照合することにより、改変などの不正を検知することが可能です。一方、工場在庫管理システム内の在庫データと入庫データは、アップロードされたCSVファイルの内容に基づいて生成・更新されるため、もしアップロードされたCSVファイルが改変されていても不一致は生じないはずです。このため、正しさを確認する相手として適切ではありません。
以上より、空欄bは「手作業」、空欄cは「購買管理システムの入荷データ」の組合せが適切です。
∴カ
「自動処理」か「手作業」かの二者択一です。〔予備調査の概要〕(2)①に、「工場担当者が購買管理システムの当日の入荷データをCSVファイルにダウンロードし,件数と内容を確認後に工場在庫管理システムにアップロードすると,入庫データの生成及び在庫データの更新が行われる」とあるので、原料の入庫プロセスは工場担当者の「手作業」で行われていることがわかります。
〔cについて〕
CSVファイルとの整合性を確かめる相手です。CSVファイルが購買管理システムからダウンロードされた後、工場在庫管理システムにアップロードされるまでの間に、人が介在するため、不正行為により何らかの改変がされてしまうリスクがあります。よって、このプロセスが正当に行われているかどうかを確認するための監査手続が必要と言えます。
原料の入庫プロセスでは、ダウンロードしたCSVファイルをそのままアップロードすることになっています。このため、ダウンロードされたCSVファイルとアップロードされたCSVファイルが一致していれば、適切に処理されたとみなすことができます。ダウンロードされるCSVファイルは、購買管理システムの入荷データを元に作成されますから、その元の入荷データとアップロードされたCSVファイルを照合することにより、改変などの不正を検知することが可能です。一方、工場在庫管理システム内の在庫データと入庫データは、アップロードされたCSVファイルの内容に基づいて生成・更新されるため、もしアップロードされたCSVファイルが改変されていても不一致は生じないはずです。このため、正しさを確認する相手として適切ではありません。
以上より、空欄bは「手作業」、空欄cは「購買管理システムの入荷データ」の組合せが適切です。
∴カ
設問3
〔監査手続の作成〕のdに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
d に関する解答群
- 工程間違い
- 在庫の差異
- 製造実績の差異
- 入庫の差異
解答入力欄
- d:
解答例・解答の要点
- d:イ
解説
〔dについて〕
出庫データ自動生成について記載された箇所を〔予備調査の概要〕から探すと、(2)②に「製造実績データ及び工程マスタの原料標準使用量に基づいて自動生成され…実際の出庫実績を工場在庫管理システムに入力する必要はない」と記載されています。この記述より、出庫データの値は実績データではなく、製造実績データと工程マスタの登録データに基づいて算出された標準的な(目標の)使用量ということがわかります。実際の製造現場では、不良の発生、人為的なミス、環境条件の変化などにより原材料の使用量は一定とは限らないため、自動生成された出庫データに基づいて差し引かれたシステム上の在庫数と、実際の在庫数には差異が生じることになります。したがって、空欄dには「イ:在庫の差異」が当てはまります。
∴d=イ:在庫の差異
出庫データ自動生成について記載された箇所を〔予備調査の概要〕から探すと、(2)②に「製造実績データ及び工程マスタの原料標準使用量に基づいて自動生成され…実際の出庫実績を工場在庫管理システムに入力する必要はない」と記載されています。この記述より、出庫データの値は実績データではなく、製造実績データと工程マスタの登録データに基づいて算出された標準的な(目標の)使用量ということがわかります。実際の製造現場では、不良の発生、人為的なミス、環境条件の変化などにより原材料の使用量は一定とは限らないため、自動生成された出庫データに基づいて差し引かれたシステム上の在庫数と、実際の在庫数には差異が生じることになります。したがって、空欄dには「イ:在庫の差異」が当てはまります。
∴d=イ:在庫の差異
- 一連の工程の流れはMESにより管理され、明確になっているので、差異が生じる可能性はありません。
- 正しい。
- 製造実績データは、MESから日次で受信した工程実績データに基づいて更新されるため、差異が発生する余地はありません。
- 入庫データは、購買管理システムの入荷データに基づいて、原料の入庫プロセスのみで生成されます。原料の出庫プロセスとは無関係です。
設問4
〔監査手続の作成〕のeに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
e に関する解答群
- 自動化統制
- 全社統制
- 手作業統制
- モニタリング
解答入力欄
- e:
解答例・解答の要点
- e:ア
解説
〔eについて〕
当日にMESから受信した工程実績データに基づいて、仕掛品の在庫が適切に更新されているか確かめる監査手続について、どのようなコントロールの適切性を確認する目的であるのか問われています。仕掛品の在庫データの更新についての記載を〔予備調査の概要〕から探すと、(2)③に「MESから日次で受信した工程実績データに基づいて,日次の夜間バッチ処理で,製造実績データ及び在庫データが更新される」とあります。この記述より、仕掛品の在庫更新はシステム間の連携により自動で行われていることがわかります。したがって、空欄eに当てはまるのは「ア:自動化統制」です。
∴e=ア:自動化統制
当日にMESから受信した工程実績データに基づいて、仕掛品の在庫が適切に更新されているか確かめる監査手続について、どのようなコントロールの適切性を確認する目的であるのか問われています。仕掛品の在庫データの更新についての記載を〔予備調査の概要〕から探すと、(2)③に「MESから日次で受信した工程実績データに基づいて,日次の夜間バッチ処理で,製造実績データ及び在庫データが更新される」とあります。この記述より、仕掛品の在庫更新はシステム間の連携により自動で行われていることがわかります。したがって、空欄eに当てはまるのは「ア:自動化統制」です。
∴e=ア:自動化統制
- 正しい。
- 全社統制は、企業全体を対象とするコントロールです。今回の監査の対象は工場在庫管理システムなので、全社統制は妥当しません。
- 手作業統制は、業務の正当性をワークフローやチェックリストなどの人の手作業で担保するコントロールです。仕掛品の在庫更新は自動処理なので、手作業統制は妥当しません。
- モニタリングは、内部統制が有効に機能していることを継続的に評価するプロセスです。仕掛品の在庫データ更新に関するモニタリングは、月次の棚卸で行われており、更新の都度行われてはいないので妥当しません。
設問5
〔監査手続の作成〕のf~hに入れる適切な字句を,それぞれ10字以内で答えよ。
解答入力欄
- f:
- g:
- h:
解答例・解答の要点
- f:実地棚卸リスト (7文字)
- g:在庫データ (5文字)
- h:他人の利用者ID (8文字)
解説
〔fgについて〕
実地棚卸リストに記載された実地棚卸結果の適切性を確かめる前提となることが問われています。〔予備調査の概要〕(2)④には「工場担当者は,実地棚卸リストに基づいて実地棚卸を実施し,在庫の差異があった場合には実地棚卸リストに記入し,在庫調整入力を行う」とあり、棚卸作業は実地棚卸リストの在庫項目をひとつずつ確認していく手順になっていることがわかります。このため、そもそも実地棚卸リストに記載がなければ棚卸作業からもれてしまうことになります。実地棚卸リストは工場担当者により作成されることになっており、人の介在により不正や誤謬の発生リスクがあるため、棚卸作業の前提となる実地棚卸リストにすべての在庫データが過不足なく記載されていることを確認しなければなりません。
∴f=実施棚卸リスト
g=在庫データ
〔hについて〕
〔予備調査の概要〕(2)⑤に「工場では,工場在庫管理システムから利用者ID,利用者名,権限,ID登録日,最新利用日などの情報を年次で利用者リストに出力し,不要な利用者IDがないか確認している」と説明されています。Y社では通常考えられる運用どおり、利用者ごとにIDが割り当てられ、工場在庫管理システムにはその利用者IDを用いてアクセスすることが想定されています。年次のチェックをすることで退職者や異動者の利用者IDを無効化するという効果は期待できます。しかし、過去の監査において、監査があると知ってもなお、利用後もログインされたまま複数の工場担当者に利用されていたことが明らかになっているように、利用終了後ログアウトするなどの基本的な情報セキュリティ規程の順守意識が希薄であり、他人のIDによるアクセスが常習化していたことが伺えます。
複数ユーザーによる同一IDの使いまわしは、アクセス管理において最も避けるべき事態です。監査手続の際にログインされたままでなかったとして、単に偶然(または監査手続を意識したその場限りの行動)である可能性も捨て切れません。このため、根本的な防止策として、一定操作がなかった場合にはログアウトするような仕組みなどをシステムに設けるとともに、他人のIDを使った操作であることを検知する仕組み(例えばIPアドレスの照合やリスクベース認証など)を設けることが推奨されます。したがって、空欄hには「他人の利用者ID」が当てはまります。
∴h=他人の利用者ID
実地棚卸リストに記載された実地棚卸結果の適切性を確かめる前提となることが問われています。〔予備調査の概要〕(2)④には「工場担当者は,実地棚卸リストに基づいて実地棚卸を実施し,在庫の差異があった場合には実地棚卸リストに記入し,在庫調整入力を行う」とあり、棚卸作業は実地棚卸リストの在庫項目をひとつずつ確認していく手順になっていることがわかります。このため、そもそも実地棚卸リストに記載がなければ棚卸作業からもれてしまうことになります。実地棚卸リストは工場担当者により作成されることになっており、人の介在により不正や誤謬の発生リスクがあるため、棚卸作業の前提となる実地棚卸リストにすべての在庫データが過不足なく記載されていることを確認しなければなりません。
∴f=実施棚卸リスト
g=在庫データ
〔hについて〕
〔予備調査の概要〕(2)⑤に「工場では,工場在庫管理システムから利用者ID,利用者名,権限,ID登録日,最新利用日などの情報を年次で利用者リストに出力し,不要な利用者IDがないか確認している」と説明されています。Y社では通常考えられる運用どおり、利用者ごとにIDが割り当てられ、工場在庫管理システムにはその利用者IDを用いてアクセスすることが想定されています。年次のチェックをすることで退職者や異動者の利用者IDを無効化するという効果は期待できます。しかし、過去の監査において、監査があると知ってもなお、利用後もログインされたまま複数の工場担当者に利用されていたことが明らかになっているように、利用終了後ログアウトするなどの基本的な情報セキュリティ規程の順守意識が希薄であり、他人のIDによるアクセスが常習化していたことが伺えます。
複数ユーザーによる同一IDの使いまわしは、アクセス管理において最も避けるべき事態です。監査手続の際にログインされたままでなかったとして、単に偶然(または監査手続を意識したその場限りの行動)である可能性も捨て切れません。このため、根本的な防止策として、一定操作がなかった場合にはログアウトするような仕組みなどをシステムに設けるとともに、他人のIDを使った操作であることを検知する仕組み(例えばIPアドレスの照合やリスクベース認証など)を設けることが推奨されます。したがって、空欄hには「他人の利用者ID」が当てはまります。
∴h=他人の利用者ID