令和元年秋期試験午後問題 問11

問11 システム監査

⇱問題PDF
購買業務のシステム監査に関する次の記述を読んで,設問1~6に答えよ。
 製造業のX社は,社員が製造・生産管理業務に集中できるように,それ以外の業務については外部委託を積極的に利用している。X社では,外部委託を促進するために,今期,購買の見積りから購買実績までを管理できる購買管理システムを導入した。そこで,X社の内部監査部では,購買業務で利用されるシステムの運用・保守についてシステム監査を実施することにした。

〔予備調査の概要〕
 内部監査部が予備調査で入手した情報は,次のとおりである。
  • 購買業務で利用されるシステムの概要
    購買業務では,見積りから購買実績データ生成までを行う購買管理システムと,購買実績に基づく債務データ生成から支払処理までを行う会計システムが利用されている。
    1. 購買管理システムでは,案件の見積依頼,案件の予算額,取引先の見積額,購買注文確定明細,購買実績明細,案件の進捗履歴,入力・承認履歴などが管理されている。
    2. 購買管理システム及び会計システムには,ともに,責任を明確化し,職務分離を維持できるように,利用者ごとに入力・照会権限及び承認金額の上限を設定できる利用者権限の設定機能がある。
    3. 購買管理システムで生成された購買実績データは,日次バッチのインタフェース処理で会計システムに引き継がれ,債務データ及び仕訳データが自動生成されている。この結果,従来は手作業で行っていた処理について全件完了したかどうかの確認などのチェック機能が,インタフェース処理に組み込まれた。
    4. 会計システムでは,債務データに基づいて自動で支払処理が実行されている。また,支払遅延を避けるために,購買管理システムを経由せずに,会計システムの債務データに直接追加・修正入力を行うこともある。
  • 購買管理システムの保守及びジョブ監視の概要
    1. 保守については職務分離を考慮して,修正作業は情報システム部の開発課の担当者が開発手順に従って実施し,開発課の責任者が移行承認を行う。本番環境への移行作業は,運用課の移行担当者が実施している。移行担当者は,開発課の担当者が作成した移行作業表に記載されている"修正内容,テスト結果,保守実施者,移行承認者"の妥当性を確認し,移行担当者名を記載して本番移行を行っている。
      なお,開発課の担当者と移行担当者の本番環境へのアクセス権は,同じである。また,開発課の担当者及び移行担当者が本番環境にアクセスした操作ログは,全て保存されている。
    2. X社は,ハードウェア,OS,DBMSなどの保守及びジョブ監視を,大手ITベンダのY社に委託している。Y社は,以前から,X社へのハードウェアの販売・設置業務などの受託実績がある。これらY社との取引案件も購買管理システムの管理対象である。
    3. Y社は,ジョブ監視(インタフェース処理を含む)などの運用業務をリモートで行っている。このため,Y社は,OS,DBMSなどの特権的アクセス権をもっている。ジョブ監視で発見された障害は,その都度,Y社から開発課の購買管理システムの担当者に電子メールで通知され,受信した担当者は対応結果を含めて障害対応管理表に記録している。また,ジョブの開始・終了,障害内容などのジョブ監視結果は,翌朝,Y社から開発課の担当者に電子メールで通知される。

〔監査計画〕
 予備調査の結果に基づいて,内部監査部の担当者(以下,監査担当者という)は,購買業務に関するリスク評価を実施し,その結果を踏まえて購買業務で利用されているシステムの監査手続を策定した。
  • 監査担当者が実施したリスク評価の結果は,次のとおりである。
    1. 購買管理システムの保守において,テスト,移行承認などを適切に実施せずに本番稼働した場合,購買管理システムの品質を維持できないリスクがある。
    2. 購買実績データの会計システムへのインタフェース処理が,正常に行われない場合,債務データが信頼できなくなるリスクがある。
    3. 購買管理システムの利用者が会計システムの支払処理に影響する入力業務を兼務できた場合,購買業務に関して不正が発生するリスクがある。
    4. Y社は,X社へのハードウェアの販売・設置業務の受託など長年の実績もあり,不正を働くリスクはほとんどないので,対応する監査手続を策定しない。
  • 監査担当者は,(1)のリスク評価の結果に基づいて,表1の監査手続を策定した。
    pm11_1.png
  • 内部監査部長のレビュー結果
    内部監査部長は,監査担当者によるリスク評価の結果及び監査手続をレビューし,次のように指摘した。
    指摘①
    〔監査計画〕の(1)④について,"Y社が自社ビジネスを有利に導くために,購買管理システムで管理されているdを不正に入手する"ことが考えられるので,再検討すべきである。
    指摘②
    表1の項番2について,購買管理システムの利用者の職務分離に関する監査手続だけでは,監査項目を確かめるには不十分である。
    指摘③
    表1の項番3の監査手続だけでは,開発課の担当者がeしたことを検出できないので,本番移行のログを確かめる監査手続も実施すべきである。

設問1

表1の項番1で入手する購買実績の最小単位として,表1中のaに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
a に関する解答群
  • 1回の支払
  • 1注文
  • 1取引先
  • 1日

解答例・解答の要点

a:

解説

aについて〕
本文中に「購買管理システムで生成された購買実績データは,日次バッチのインタフェース処理で会計システムに引き継がれ,債務データ及び仕訳データが自動生成されている」と記載されています。つまり、1日分ごとにまとめて処理しています。

したがって、1日分の販売実績と会計システムの出力データに整合性があるかどうかをチェックすることになります。

a=エ:1日

設問2

表1中のb及びcに入れる適切な字句を,それぞれ10字以内で答えよ。

解答例・解答の要点

b:ジョブ監視結果 (7文字)
c:障害対応管理表 (7文字)

解説

X社は、保守及びジョブ監視を外部のITベンダY社に依頼しています。このため、保守及びジョブ監視を委託しているY社が、一部の障害について見落とし等があった場合にインタフェース処理の適切性が担保できないリスクがあります。ここでは、障害対応が漏れなく実施され、インタフェース処理が適切に行われていることを確認する監査手続が問われています。

bcについて〕
Y社のジョブ監視に関する記述を読むと、次の2点が記載されています。
  • ジョブ監視で発見された障害は,その都度,Y社から開発課の購買管理システムの担当者に電子メールで通知され,受信した担当者は対応結果を含めて障害対応管理表に記録している。
  • ジョブの開始・終了,障害内容などのジョブ監視結果は,翌朝,Y社から開発課の担当者に電子メールで通知される。
ジョブ監視結果は、ジョブの実行結果の概要が記録されたデータです。ジョブに障害が発生した場合には、その記録がジョブ監視結果に残っているはずですので、当期中のインタフェース処理の異常を確認するための資料としては「ジョブ監視結果」が適切です。「ジョブ監視で発見された障害は,その都度…メールで通知され」という記述から、ジョブ監視結果の障害記録と「障害対応管理表」の記録は1対1に対応していると考えられますので、障害が発見された場合には、この2つの記録を照合することで、障害に対して漏れなく適切な対応が実施されているかどうかを確認可能です。

よって、bには「ジョブ監視結果」が、cには「障害対応管理表」が入ります。

b=ジョブ監視結果
 c=障害対応管理表

設問3

〔監査計画〕の(1)①のリスクに関連した監査項目として最も適切なものを,表1の項番で答えよ。

解答例・解答の要点

3

解説

〔監査計画〕の(1)①のリスクは、「購買管理システムの保守において,テスト,移行承認などを適切に実施せずに本番稼働した場合,購買管理システムの品質を維持できないリスクがある」というものです。

保守、テスト、移行承認などの語句から移行作業にかかわるリスクであるとわかります。よって、移行作業についての監査項目である「項番3」が解答となります。

∴3

設問4

〔監査計画〕の(3)の指摘①のdに入れる適切な字句を,8字以内で答えよ。

解答例・解答の要点

d:取引先の見積額 (7文字)

解説

dについて〕
購買管理システムで管理されている情報ですから、案件の見積依頼、案件の予算額、取引先の見積額、購買注文確定明細、購買実績明細、案件の進捗履歴、入力・承認履歴のいずれかになります。

購買管理システムには、Y社以外への見積り依頼情報も記録されていますが、通常は同業他社が幾らで提案したのかを知ることはできません。同業他社がどの程度の金額を回答しているのか知ることができれば、それを踏まえて、今後の競争入札やコンペ、相見積もりの場面で他社よりも有利な金額を提示することも可能です。よって、"Y社が自らのビジネスを有利に導くために"という条件から考えると、dには「取引先の見積額」が入ります。

案件の見積依頼、案件の予算額は、RFPに記載される内容であり、Y社だけが知る情報ではないので不適切です。購買注文確定明細、購買実績明細、案件の進捗履歴、入力・承認履歴は、知ったとしてもY社のビジネスを有利に導くほどのインパクトがないので不適切です。

d=取引先の見積額

設問5

〔監査計画〕の(3)の指摘②について,内部監査部長が不十分とした理由を,20字以内で述べよ。

解答例・解答の要点

会計システムで債務データを修正できるので (20文字)

解説

本文中に「購買管理システムを経由せずに,会計システムの債務データに直接追加・修正入力を行うこともある」と記載されています。項番2の監査手続きでは、購買システムの利用者管理及び権限管理が適切であるかどうかを確認していますが、〔監査計画〕③にある、会計システムの入力業務との兼務については確認する手順がありません。

購買システムの権限管理が適切だったとしても、購買システムの利用者が会計システムの入力業務を兼務していた場合、債務データを直接追加・修正することによる内部不正リスクがあります。よって、項番2の監査手続だけでは足りません。

∴会計システムで債務データを修正できるので

設問6

〔監査計画〕の(3)の指摘③のeに入れる適切な内容を,20字以内で述べよ。

解答例・解答の要点

e:移行作業表を作成せずに本番移行を実施 (18文字)

解説

eについて〕
項番3の手続きは、移行作業表に記載されている移行担当者名を確認することで、本番移行は移行担当者だけが実施していることを確認しようとしています。しかし、本文中には「開発課の担当者と移行担当者の本番環境へのアクセス権は,同じである」と説明されており、開発課の担当者も本番環境へアクセスでき、移行担当者と同等に移行作業を実施可能であることがわかります。

この状態だと、軽微な変更などの場合、開発課の担当者が煩雑な手順を嫌って正式な手順を経ずに実施してしまうリスクがあります。もし、正式な手続きを経ずに移行作業を実施していたときは、移行作業表は作成されません。よって、移行作業表の確認だけでは足りず、本番移行のログから移行作業実施者を確認する必要があります。

e=移行作業表を作成せずに本番移行を実施
模範解答

Pagetop