平成21年秋期試験午後問題 問12

問12 システム監査

⇱問題PDF
内部統制の整備状況の評価に関する次の記述を読んで,設問1~4に答えよ。
 M社は,株式上場している電子機器メーカーである。M社では,金融商品取引法の内部統制報告制度に対応するために,内部統制の整備を行ってきた。この度,整備が一段落したので,監査部でその整備状況を評価することにした。監査部のN君は,受注から代金回収までのプロセスの整備状況の評価を担当することになった。

〔内部統制の整備状況の評価手順〕
 N君が計画した内部統制の整備状況の評価手順は,次のとおりである。
  • フローチャート,職務記述書,リスクコントロールマトリックスなどの文書をレビューして,コントロールを理解し,予備的評価を実施する。その際,リスクを識別するに当たっては,不正や誤謬(びゅう)が発生した場合に,a,網羅性,権利と義務の帰属,評価の妥当性,期間配分の適切性,表示の妥当性といった適切な財務情報を作成するための要件のうち,どの要件に影響を及ぼすかについて理解する。また,入力情報の完全性・正確性・正当性等を確保する統制,bなどのIT業務処理統制の観点からも確認する。
  • 今回評価の対象にする取引を選定し,必要な証憑(ひょう)を入手する。
  • 現場の視察や関係者に対するヒアリングなどを実施する。取引の発生時点から手作業や情報システムによる処理を経由して最終的に財務報告に反映されるまでのプロセスを追跡することで文書化の内容を検証して,コントロールの不備を把握する。
  • コントロールの改善や文書の修正を行う。必要に応じて情報システムも改善する。
  • 内部統制の整備状況の評価結果を文書化する。

〔文書のレビュー〕
 まず,N君は,フローチャート,職務記述書,リスクコントロールマトリックスなどの文書をレビューした。そのうちの受注プロセスのリスクコントロールマトリックスの抜粋は,表のとおりである。
pm12_1.png
 次にN君は,関連部署にヒアリングを行った。

〔業務課へのヒアリング〕
  • 新規の顧客と取引を開始する際には,業務課が必要事項を調査し,その結果を経理課に提出する。与信限度額の決定や顧客マスタの入力は経理課で行われている。
  • 受注入力は,業務課の専従の受注担当者が行っている。顧客からの注文は,ファックスで受け付ける。受注担当者は,二重登録を避けるために,受け付けたファックスに連番を振る。受注担当者がファックスの内容を情報システムに入力した後,業務課長は,入力内容がファックスの内容と合っているかを確認して承認する。商品マスタ及び顧客マスタに存在しないデータは,情報システムに入力できない仕組みになっている。
  • ユーザIDの登録・削除は,上長の承認を得て,管理課に提出する。
  • 受注担当者が不在や外出のときには,あらかじめ用意していた共有のユーザIDを使って受注入力する。
  • 与信限度額を超えて受注入力できない場合は,業務課長の承認をもらって,該当顧客の限度額の変更依頼書を経理課に提出する。変更依頼書が承認されると,それ以降は変更後の与信限度額まで入力できる。

〔経理課へのヒアリング〕
  • ユーザIDの登録・削除は,上長の承認を得て,管理課に提出する。
  • 新規の顧客と取引を開始するときは,業務課からの依頼に基づき,経理課長が与信限度額を決定する。
  • 経理課担当者は,与信限度額を含めた顧客情報を顧客マスタに登録する。経理課長は,入力された顧客情報を確認して承認する。
  • 業務課から与信限度額の変更依頼書を受領したら,経理課担当者は,不備がないかどうかを確認する。経理課長は,財務情報などと併せて内容を最終確認した上で,承認する。
  • 経理課担当者は,年に一度与信限度額の見直しを行う。変更した与信限度額も含め,更に変更が必要な場合には,経理課長の承認を得て,与信限度額を変更する。

〔管理課へのヒアリング〕
  • 管理課担当者は,四半期に一度,ユーザIDとアクセス権の棚卸しを実施する。管理課だけがユーザIDとアクセス権の変更権限をもっていて,間違いがあれば,担当者がユーザIDの削除やアクセス権の変更を行う。その結果を管理課長が承認する。管理課長が承認した時点で,削除や変更の内容が初めて有効になる。承認時に内容の不備を発見したときには,管理課長が修正入力と承認をしている。

 N君は,ヒアリングの結果を受けて,リスクコントロールマトリックスの不備やコントロールそのものの欠如などの問題点を幾つか発見した。

設問1

本文中のabに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b に関する解答群
  • 資産の保全
  • システム開発,保守に係る管理
  • 実在性
  • 統制環境
  • 独立性
  • 法令遵守
  • マスタデータの維持管理
  • モニタリング
  • リスクの評価と対応

解答例・解答の要点

a:
b:

解説

aについて〕
本問では財務報告に係る内部統制の監査がテーマになっていますが、財務報告に係る内部統制については、金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」があるので、これに依拠して監査を実施することができます。

「財務報告に係る内部統制の評価及び監査の基準」では、適切な財務情報を作成するための要件として以下の6つが挙げられています。
  • 実在性 … 資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
  • 網羅性 … 計上すべき資産、負債、取引や会計事象を全て記録していること
  • 権利と義務の帰属 … 計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
  • 評価の妥当性 … 資産及び負債を適切な価額で計上していること
  • 期間配分の適切性 … 取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
  • 表示の妥当性 … 取引や会計事象を適切に表示していること
本文中では、このうち実在性を除く5つについて記載があるので、空欄には残る「実在性」が当てはまります。

なお、財務報告統制に関する知識がない場合は、以下のように考えます。
「・・・不正や誤謬(びゅう)が発生した場合に,a,網羅性,権利と義務の帰属,評価の妥当性,期間配分の適切性,表示の妥当性といった…」
という文脈から考えて"○○性"という言葉が当てはまると考えられます。選択肢のうち"○○性"は「ウ:実在性」と「オ:独立性」の2つです。この文章は「適切な財務情報を作成するための要件のうち…」と続いています。適切な財務情報を作成するための要件としては「実在性」が該当すると考えられます。

a=ウ:実在性

bについて〕
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制です。

「財務報告に係る内部統制の評価及び監査の基準」では、ITに係る業務処理統制の具体例として以下の4つが挙げられています。
  • 入力情報の完全性、正確性、正当性等を確保する統制
  • 例外処理(エラー)の修正と再処理
  • マスタ・データの維持管理
  • システムの利用に関する認証、操作範囲の限定などアクセスの管理
したがってbには「マスタデータの維持管理」が当てはまります。

b=キ:マスタデータの維持管理

なお、"資産の保全"・"法令遵守"は内部統制の目的、"統制環境"・"モニタリング"・"リスクの評価と対応"は内部統制の基本的要素という点から除外できると思います。

参考URL: 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準
 https://www.fsa.go.jp/news/r1/sonota/20191213_naibutousei/1.pdf

設問2

N君が行った,〔内部統制の整備状況の評価手順〕の下線部の特徴がある,システム開発時のレビューなどでも使われる評価手法の名称を答えよ。また,この手法の留意点として不適切なものを解答群の中から選び,記号で答えよ。
不適切な留意点 に関する解答群
  • コントロールごとに進めていくと話が飛びやすく混乱が生じやすいので,フローチャートの順序に従って話を進めるのが望ましい。
  • 事前に質問事項や依頼文書のリストを参加者に伝えておくと効率よく進められる。
  • 日ごろから業務にかかわっている担当者は,潜在しているリスクや統制の弱点を見過ごしがちである。
  • 評価の対象とする取引数は,作業負荷などを考慮した上で,できるだけ多く選択することが望ましい。
  • プロセス全体や関連する情報システムに詳しい人員を参加させるべきである。

解答例・解答の要点

名称:ウォークスルー
不適切な留意点:

解説

評価手法の名称と留意点について問われています。

〔名称について〕
システム監査基準(平成30年)によれば、監査手続の手法には、チェックリスト法、ドキュメントレビュー法、インタビュー法、ウォークスルー法、突合・照合法、現地調査法、コンピュータ支援監査技法などがあります。

下線部を確認すると、「取引の発生時点から手作業や情報システムによる処理を経由して最終的に財務報告に反映されるまでのプロセスを追跡することで文書化の内容を検証」とあります。このような監査手法は「ウォークスルー」と呼ばれ、システム監査基準では「データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、書面上で、又は実際に追跡する技法」と定義されています。

∴ウォークスルー

〔留意点について〕
ウォークスルー法を採用する際に留意点のうち不適切なものを選択します。各記述について次のことが言えます。
  • 記載のとおりです。リスクコントロールマトリックスにあるコントロールごとに進めていると、例えば与信限度額に関するコントロールは番号1と6と7にあるため、話が飛びやすくなります。
  • 記載のとおりです。事前に質問事項や依頼文書のリストを参加者に伝えておくと、参加者が事前に内容を把握することができ、効率よく進められます。
  • 記載のとおりです。日ごろから業務にかかわっている担当者は、慣れにより潜在しているリスクや統制の弱点を見過ごしがちです。
  • 誤りです。ウォークスルー法では、ある取引を対象とし、始まりから終わりまでを追跡するので非常に手間が掛かります。評価対象数を増やすと作業負荷が増え、同種の取引を調査しても無意味ですので、単に数を増やせば良いというものではありません。
  • 記載のとおりです。プロセス全体や関連する情報システムに詳しい人員が参加しないと、適切な評価を行えません。
∴評価の対象とする取引数は,作業負荷などを考慮した上で,できるだけ多く選択することが望ましい。

設問3

ヒアリング結果から,ユーザID管理に関する問題点を二つ挙げ,それぞれ40字以内で述べよ。

解答例・解答の要点

①:共有のユーザIDが存在し,担当者不在時の受注入力に使用されている (32文字)
②:管理課長がユーザIDとアクセス権の変更と承認の両権限をもっている (32文字)

解説

ヒアリング結果のうち、ユーザIDに関係するものを抜き出します。

〔業務課へのヒアリング〕
(3) ユーザIDの登録・削除は,上長の承認を得て,管理課に提出する。
(4) 受注担当者が不在や外出のときには,あらかじめ用意していた共有のユーザIDを使って受注入力する。

〔経理課へのヒアリング〕
(1) ユーザIDの登録・削除は,上長の承認を得て,管理課に提出する。

〔管理課へのヒアリング〕
(1) 管理課担当者は,四半期に一度,ユーザIDとアクセス権の棚卸しを実施する。(中略)承認時に内容の不備を発見したときには,管理課長が修正入力と承認をしている。

このうち、ユーザID管理の観点から問題となり得るのは〔業務課へのヒアリング〕(4)と〔管理課へのヒアリング〕(1)です。

まず、〔業務課へのヒアリング〕(4)については、共有のIDが存在していては、不特定多数の人が操作可能になるため、ユーザIDでアクセス権を制限している意味がありません。誰か操作を行ったかの特定ができないので、内部不正を行う隙を与えることになるからです。
次に、〔管理課へのヒアリング〕(1)については、管理課長が入力を承認のいずれも自分で行えてしまうことが、職務の分掌、内部牽制の観点から不適切です。現状では管理課長により不正入力のためのコントロールが欠落しています。

以上よりこの2点が指摘事項となります。

∴①共有のユーザIDが存在し,担当者不在時の受注入力に使用されている
 ②管理課長がユーザIDとアクセス権の変更と承認の両権限をもっている

設問4

ユーザID管理以外で,リスクコントロールマトリックスどおりに実施されていないコントロールの番号を答えよ。また,それによって発生する問題は何か。30字以内で述べよ。

解答例・解答の要点

番号:6
問題:変更した与信限度額が当該受注案件に限定されていない (25文字)

解説

リスクコントロールマトリックスと〔業務課へのヒアリング〕を比較して、リスクコントロールマトリックスには規定されているものの、実際にはその通りに運用されていないものを解答します。

〔業務課へのヒアリング〕(5)を見ると「変更依頼書が承認されると,それ以降は変更後の与信限度額まで入力できる」とあります。一方、リスクコントロールマトリックスの番号6では「与信限度額を超える場合は(中略)当該受注案件に限って入力することができる」とあります。承認をもらって与信限度額を超える入力した場合、与信限度額の引上げはその入力限りのものですから、本来であれば、その後与信限度額を元に戻さなくてはなりません、しかし元に戻す措置はなく、一年に一度の定期見直しまで増額された与信限度額が適用され続けています。この状態だと、本来の与信限度額を超えた受注が入力がされてしまうおそれがある点が問題となります。

∴番号6
 変更した与信限度額が当該受注案件に限定されていない
模範解答

Pagetop