応用情報技術者過去問題 平成21年秋期 午後問12

問12 システム監査

内部統制の整備状況の評価に関する次の記述を読んで,設問1〜4に答えよ。

 M社は,株式上場している電子機器メーカである。M社では,金融商品取引法の内部統制報告制度に対応するために,内部統制の整備を行ってきた。この度,整備が一段落したので,監査部でその整備状況を評価することにした。監査部のN君は,受注から代金回収までのプロセスの整備状況の評価を担当することになった。

〔内部統制の整備状況の評価手順〕
 N君が計画した内部統制の整備状況の評価手順は,次のとおりである。
  • フローチャート,職務記述書,リスクコントロールマトリックスなどの文書をレビューして,コントロールを理解し,予備的評価を実施する。その際,リスクを識別するに当たっては,不正や誤謬(びゅう)が発生した場合に,a,網羅性,権利と義務の帰属,評価の妥当性,期間配分の適切性,表示の妥当性といった適切な財務情報を作成するための要件のうち,どの要件に影響を及ぼすかについて理解する。また,入力情報の完全性・正確性・正当性等を確保する統制,bなどのIT業務処理統制の観点からも確認する。
  • 今回評価の対象にする取引を選定し,必要な証憑(ひょう)を入手する。
  • 現場の視察や関係者に対するヒアリングなどを実施する。取引の発生時点から手作業や情報システムによる処理を経由して最終的に財務報告に反映されるまでのプロセスを追跡することで文書化の内容を検証して,コントロールの不備を把握する。
  • コントロールの改善や文書の修正を行う。必要に応じて情報システムも改善する。
  • 内部統制の整備状況の評価結果を文書化する。

〔文書のレビュー〕
 まず,N君は,フローチャート,職務記述書,リスクコントロールマトリックスなどの文書をレビューした。そのうちの受注プロセスのリスクコントロールマトリックスの抜粋は,表のとおりである。
pm12_1.gif/image-size:543×473
 次にN君は,関連部署にヒアリングを行った。

〔業務課へのヒアリング〕
  • 新規の顧客と取引を開始する際には,業務課が必要事項を調査し,その結果を経理課に提出する。与信限度額の決定や顧客マスタの入力は経理課で行われている。
  • 受注入力は,業務課の専従の受注担当者が行っている。顧客からの注文は,ファックスで受け付ける。受注担当者は,二重登録を避けるために,受け付けたファックスに連番を振る。受注担当者がファックスの内容を情報システムに入力した後,業務課長は,入力内容がファックスの内容と合っているかを確認して承認する。商品マスタ及び顧客マスタに存在しないデータは,情報システムに入力できない仕組みになっている。
  • ユーザIDの登録・削除は,上長の承認を得て,管理課に提出する。
  • 受注担当者が不在や外出のときには,あらかじめ用意していた共有のユーザIDを使って受注入力する。
  • 与信限度額を超えて受注入力できない場合は,業務課長の承認をもらって,該当顧客の限度額の変更依頼書を経理課に提出する。変更依頼書が承認されると,それ以降は変更後の与信限度額まで入力できる。

〔経理課へのヒアリング〕
  • ユーザIDの登録・削除は,上長の承認を得て,管理課に提出する。
  • 新規の顧客と取引を開始するときは,業務課からの依頼に基づき,経理課長が与信限度額を決定する。
  • 経理課担当者は,与信限度額を含めた顧客情報を顧客マスタに登録する。経理課長は,入力された顧客情報を確認して承認する。
  • 業務課から与信限度額の変更依頼書を受領したら,経理課担当者は,不備がないかどうかを確認する。経理課長は,財務情報などと併せて内容を最終確認した上で,承認する。
  • 経理課担当者は,年に一度与信限度額の見直しを行う。変更した与信限度額も含め,更に変更が必要な場合には,経理課長の承認を得て,与信限度額を変更する。

〔管理課へのヒアリング〕
  • 管理課担当者は,四半期に一度,ユーザIDとアクセス権の棚卸しを実施する。管理課だけがユーザIDとアクセス権の変更権限をもっていて,間違いがあれば,担当者がユーザIDの削除やアクセス権の変更を行う。その結果を管理課長が承認する。管理課長が承認した時点で,削除や変更の内容が初めて有効になる。承認時に内容の不備を発見したときには,管理課長が修正入力と承認をしている。

 N君は,ヒアリングの結果を受けて,リスクコントロールマトリックスの不備やコントロールそのものの欠如などの問題点を幾つか発見した。

設問1

本文中のabに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b に関する解答群
  • 資産の保全
  • システム開発,保守に係る管理
  • 実在性
  • 統制環境
  • 独立性
  • 法令遵守
  • マスタデータの維持管理
  • モニタリング

-解答入力欄-

  • a:
  • b:

-解答例・解答の要点-

  • a:
  • b:

-解説-

この設問の解説はまだありません。

設問2

N君が行った,〔内部統制の整備状況の評価手順〕の下線部の特徴がある,システム開発時のレビューなどでも使われる評価手法の名称を答えよ。また,この手法の留意点として不適切なものを解答群の中から選び,記号で答えよ。
不適切な留意点 に関する解答群
  • コントロールごとに進めていくと話が飛びやすく混乱が生じやすいので,フローチャートの順序に従って話を進めるのが望ましい。
  • 事前に質問事項や依頼文書のリストを参加者に伝えておくと効率よく進められる。
  • 日ごろから業務にかかわっている担当者は,潜在しているリスクや統制の弱点を見過ごしがちである。
  • 評価の対象とする取引数は,作業負荷などを考慮した上で,できるだけ多く選択することが望ましい。
  • プロセス全体や関連する情報システムに詳しい人員を参加させるべきである。

-解答入力欄-

  • 名称:
  • 不適切な留意点:

-解答例・解答の要点-

  • 名称:ウォークスルー
  • 不適切な留意点:

-解説-

この設問の解説はまだありません。

設問3

ヒアリング結果から,ユーザID管理に関する問題点を二つ挙げ,それぞれ40字以内で述べよ。

-解答入力欄-

  • ①:

  • ②:

-解答例・解答の要点-

  • ①:
    共有のユーザIDが存在し,担当者不在時の受注入力に使用されている (32文字)
  • ②:
    管理課長がユーザIDとアクセス権の変更と承認の両権限をもっている (32文字)

-解説-

この設問の解説はまだありません。

設問4

ユーザID管理以外で,リスクコントロールマトリックスどおりに実施されていないコントロールの番号を答えよ。また,それによって発生する問題は何か。30字以内で述べよ。

-解答入力欄-

  • 番号:
  • 問題:

-解答例・解答の要点-

  • 番号:6
  • 問題:変更した与信限度額が当該受注案件に限定されていない (25文字)

-解説-

この設問の解説はまだありません。
問12成績
【21年秋期 午後問題】
 問1 問2 問3 問4 問5 問6 問7 問8 問9 問10 問11 問12
© 2010-2019 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop