https://www.ap-siken.com/kakomon/28_aki/pm11.html

設問1
表1中の項番(1)の監査手続①だけでは，利用者IDの不正な更新を検出できない場合がある。どのような場合に検出できないか，25字以内で述べよ。

解答例：承認済みID申請書がなく更新される場合

私の回答：承認者とシステム管理者が同一人物である場合

私の回答では、〇にならないでしょうか？
解答例の内容についても理解できたのですが、解答例にしろ、私の回答にしろ
問題の穴をつついているような内容であるため、私の回答の内容でも問題ないのではないかと思っています。（問題文中に、承認者とシステム管理者が同一人物ではない旨が記載されていないため。）

そもそも、このような記述問題で解答になる記載例が複数存在する場合は、模範解答に全パターン記載されるものなのでしょうか？

応用情報 平成28年 秋期 午後 問11
https://www.ap-siken.com/kakomon/28_aki/pm11.html

問題文中で「承認を受けた後，システム管理者に *渡している*」と表現しているのに
> 問題文中に、承認者とシステム管理者が同一人物ではない旨が記載されていない
と主張するのは曲解だと、私は考えます。
ちなみに、システム管理者について次のように説明されており、
支店長も「各支店の1名」であり、本人が所属する課の課長も「営業管理部の1名」であることは理解しています。

上記のような特殊な例を持ち出さなくとも、
予備調査をおこなった現状では、ID申請書・承認済みID申請書に基づかない不正な更新をシステム管理者がおこなってもそれは表1中の項番(1)の監査手続①で検出されない、という基本を素直に指摘すればいいと思います。

> このような記述問題で解答になる記載例が複数存在する場合は、
> 模範解答に全パターン記載されるものなのでしょうか？

私は2週間ほど前に次のように発言しました。

> 問題点は容易にイメージでき複数挙げられるのだけれど，
> 問題点なんだからどれを指摘してもいい，ではなく，
> 「システム上の」問題，「運用上の」問題を的確に指摘することができなかった。（回答No.14）
https://www.ap-siken.com/bbs/5920.html

利用者ID棚卸(3)①
ここの部分、利用者ID棚卸について、支店では通常のID申請書による手続きが省略され、支店長の承認だけで権限マスタデータが更新可能になっています。
これが項番(1)の監査手続①「承認済みID申請書に対応する権限マスタデータが当該ID申請書の内容と一致しているかどうかを確かめる」だけでは不正な更新が行われても検出できなく「承認済みID申請書がなく更新される場合」に当たるのではないかと思います。
違いますでしょうか。

設問1の解説では、「承認済みID申請書がない更新は監査手続①では検出できない」という趣旨が中心に据えられています。
しかし、そのような更新が実際にどこで起きているかという具体例として、支店での利用者ID棚卸時の更新が本文に明記されているにもかかわらず、解説ではそれに触れていません。
この運用は、ID申請書を経由しない例外的な更新であり、まさに設問1の「監査手続①では検出できない更新」の具体例です。
したがって、解説に棚卸の記述がないのは不十分であり、より実務的・教育的な解説を目指すなら、棚卸の運用を明示すべきだと思います。

「支店では棚卸時に支店長の承認のみで権限マスタが更新される運用があるため、ID申請書を伴わない更新が存在します。このような更新は監査手続①では検出できません。」