応用情報技術者 2009年 秋期 午後 問12
内部統制の整備状況の評価に関する次の記述を読んで、設問1~4に答えよ。
M社は、株式上場している電子機器メーカーである。M社では、金融商品取引法の内部統制報告制度に対応するために、内部統制の整備を行ってきた。この度、整備が一段落したので、監査部でその整備状況を評価することにした。監査部のN君は、受注から代金回収までのプロセスの整備状況の評価を担当することになった。
〔内部統制の整備状況の評価手順〕
N君が計画した内部統制の整備状況の評価手順は、次のとおりである。
(1) フローチャート、職務記述書、リスクコントロールマトリックスなどの文書をレビューして、コントロールを理解し、予備的評価を実施する。その際、リスクを識別するに当たっては、不正や誤謬が発生した場合に、a、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件のうち、どの要件に影響を及ぼすかについて理解する。また、入力情報の完全性・正確性・正当性等を確保する統制、bなどのIT業務処理統制の観点からも確認する。
(2) 今回評価の対象にする取引を選定し、必要な証憑を入手する。
(3) 現場の視察や関係者に対するヒアリングなどを実施する。取引の発生時点から手作業や情報システムによる処理を経由して最終的に財務報告に反映されるまでのプロセスを追跡することで文書化の内容を検証して、コントロールの不備を把握する。
(4) コントロールの改善や文書の修正を行う。必要に応じて情報システムも改善する。
(5) 内部統制の整備状況の評価結果を文書化する。
〔文書のレビュー〕
まず、N君は、フローチャート、職務記述書、リスクコントロールマトリックスなどの文書をレビューした。そのうちの受注プロセスのリスクコントロールマトリックスの抜粋は、表のとおりである。
次にN君は、関連部署にヒアリングを行った。
〔業務課へのヒアリング〕
(1) 新規の顧客と取引を開始する際には、業務課が必要事項を調査し、その結果を経理課に提出する。与信限度額の決定や顧客マスタの入力は経理課で行われている。
(2) 受注入力は、業務課の専従の受注担当者が行っている。顧客からの注文は、ファックスで受け付ける。受注担当者は、二重登録を避けるために、受け付けたファックスに連番を振る。受注担当者がファックスの内容を情報システムに入力した後、業務課長は、入力内容がファックスの内容と合っているかを確認して承認する。商品マスタ及び顧客マスタに存在しないデータは、情報システムに入力できない仕組みになっている。
(3) ユーザIDの登録・削除は、上長の承認を得て、管理課に提出する。
(4) 受注担当者が不在や外出のときには、あらかじめ用意していた共有のユーザIDを使って受注入力する。
(5) 与信限度額を超えて受注入力できない場合は、業務課長の承認をもらって、該当顧客の限度額の変更依頼書を経理課に提出する。変更依頼書が承認されると、それ以降は変更後の与信限度額まで入力できる。
〔経理課へのヒアリング〕
(1) ユーザIDの登録・削除は、上長の承認を得て、管理課に提出する。
(2) 新規の顧客と取引を開始するときは、業務課からの依頼に基づき、経理課長が与信限度額を決定する。
(3) 経理課担当者は、与信限度額を含めた顧客情報を顧客マスタに登録する。経理課長は、入力された顧客情報を確認して承認する。
(4) 業務課から与信限度額の変更依頼書を受領したら、経理課担当者は、不備がないかどうかを確認する。経理課長は、財務情報などと併せて内容を最終確認した上で、承認する。
(5) 経理課担当者は、年に一度与信限度額の見直しを行う。変更した与信限度額も含め、更に変更が必要な場合には、経理課長の承認を得て、与信限度額を変更する。
〔管理課へのヒアリング〕
(1) 管理課担当者は、四半期に一度、ユーザIDとアクセス権の棚卸しを実施する。管理課だけがユーザIDとアクセス権の変更権限をもっていて、間違いがあれば、担当者がユーザIDの削除やアクセス権の変更を行う。その結果を管理課長が承認する。管理課長が承認した時点で、削除や変更の内容が初めて有効になる。承認時に内容の不備を発見したときには、管理課長が修正入力と承認をしている。
N君は、ヒアリングの結果を受けて、リスクコントロールマトリックスの不備やコントロールそのものの欠如などの問題点を幾つか発見した。
設問1:
本文中のa、bに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:資産の保全
イ:システム開発、保守に係る管理
ウ:実在性
エ:統制璅境
オ:独立性
カ:法令避守
キ:マスタデータの維持管理
ク:モニタリング
ケ:リスクの評価と対応
模範解答
a:ウ
b:キ
解説
解答の論理構成
-
【問題文】には、財務報告のアサーション(適切な財務情報を作成するための要件)が列挙されています。引用すると
「不正や誤謬が発生した場合に、a、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性…」
ここで a は他のアサーションと並列に置かれています。財務諸表監査で用いられるアサーションは「実在性・網羅性・権利と義務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性」が定番です。選択肢で該当するのは「ウ:実在性」です。 -
同じ段落の後半では
「…入力情報の完全性・正確性・正当性等を確保する統制、bなどのIT業務処理統制の観点からも確認する。」
とあります。IT業務処理統制の代表例は「マスタデータの維持管理」「入力統制」「処理統制」「出力統制」などです。選択肢のうち IT 業務処理統制を直接示す語句は「キ:マスタデータの維持管理」だけです。 -
以上より
a=「ウ:実在性」
b=「キ:マスタデータの維持管理」
が導かれます。
誤りやすいポイント
- アサーションと内部統制の構成要素を混同し、「エ:統制璅境」や「ケ:リスクの評価と対応」を a に選んでしまうケースが多いです。アサーションは財務情報の属性を示す用語である点に着目しましょう。
- IT 全般統制(ITGC)と IT 業務処理統制(ITAC)の区別があいまいで、b に「イ:システム開発、保守に係る管理」など ITGC 項目を入れてしまう誤答がよく見られます。
- 「入力情報の完全性・正確性・正当性等を確保する統制」という前置きが、入力統制そのものを表しているため、続く b が別種の統制(マスタデータ管理)を指していることに気付かないまま重複した語句を探してしまうパターンがあります。
FAQ
Q: アサーションは試験で覚えるべき定型リストですか?
A: はい。「実在性」「網羅性」「権利と義務の帰属」「評価の妥当性」「期間配分の適切性」「表示の妥当性」の6つは頻出のため、語順と内容をセットで把握しておくと判断が速くなります。
A: はい。「実在性」「網羅性」「権利と義務の帰属」「評価の妥当性」「期間配分の適切性」「表示の妥当性」の6つは頻出のため、語順と内容をセットで把握しておくと判断が速くなります。
Q: IT 業務処理統制と IT 全般統制はどう区別すれば良いでしょうか?
A: IT 業務処理統制(ITAC)は個別業務のデータ入力・処理・出力の正確性や完全性を確保する統制、IT 全般統制(ITGC)はシステム開発・運用・アクセス管理などシステム基盤全体の信頼性を支える統制です。問題文が「入力情報の完全性・正確性…」と述べている場合は ITAC を指すと判断できます。
A: IT 業務処理統制(ITAC)は個別業務のデータ入力・処理・出力の正確性や完全性を確保する統制、IT 全般統制(ITGC)はシステム開発・運用・アクセス管理などシステム基盤全体の信頼性を支える統制です。問題文が「入力情報の完全性・正確性…」と述べている場合は ITAC を指すと判断できます。
Q: マスタデータの維持管理が重要視されるのはなぜですか?
A: マスタデータ(顧客マスタ、商品マスタなど)が誤ると、その後のすべての取引データが誤った情報を引用して処理されるため、重大な財務報告リスクにつながるからです。維持管理は IT 業務処理統制の要と位置付けられます。
A: マスタデータ(顧客マスタ、商品マスタなど)が誤ると、その後のすべての取引データが誤った情報を引用して処理されるため、重大な財務報告リスクにつながるからです。維持管理は IT 業務処理統制の要と位置付けられます。
関連キーワード: 財務報告統制、実在性、マスタデータ管理、入力統制、リスク評価
設問2:
N君が行った、〔内部統制の整備状況の評価手順〕の下線部の特徴がある、システム開発時のレビューなどでも使われる評価手法の名称を答えよ。また、この手法の留意点として不適切なものを解答群の中から選び、記号で答えよ。
解答群
ア:コントロールごとに進めていくと話が飛びやすく混乱が生じやすいので、フローチャートの順序に従って話を進めるのが望ましい。
イ:事前に質問事項や依頼文書のリストを参加者に伝えておくと効率よく進められる。
ウ:日ごろから業務にかかわっている担当者は、潜在しているリスクや統制の弱点を見過ごしがちである。
エ:評価の対象とする取引数は、作業負荷などを考慮した上で、できるだけ多く選択することが望ましい。
オ:プロセス全体や関連する情報システムに詳しい人員を参加させるべきである。
模範解答
名称:ウォークスルー
留意点(不適切なもの):エ
解説
解答の論理構成
- 下線部の原文は
「取引の発生時点から手作業や情報システムによる処理を経由して最終的に財務報告に反映されるまでのプロセスを追跡することで文書化の内容を検証」
となっています。 - 「プロセスを追跡しながら文書と実作業を突き合わせる」手法は、監査領域だけでなくシステム開発のレビューでも用いられる “ウォークスルー” の典型的な説明です。
- したがって名称は「ウォークスルー」となります。
- 次に留意点の適否を検討します。
- ア:フローチャートなど時系列の流れに沿って確認することは、プロセス全体を網羅的に把握できるため適切です。
- イ:事前に質問事項を共有し準備時間を設けるのは、限られた時間で有効な情報を得るための常套手段であり適切です。
- ウ:当事者が慣れでリスクを見落とす可能性がある点は内部統制評価の留意点として正しいです。
- エ:「できるだけ多く選択することが望ましい」とあるが、ウォークスルーは代表取引を少数選び深く追跡する手法であり、過度に件数を増やすと非効率で目的を逸脱します。よって不適切です。
- オ:プロセスやシステムに精通した参加者を加えることは、誤解や漏れを防ぐために不可欠で適切です。
- このため、解答群のうち不適切なものは「エ」です。
誤りやすいポイント
- ウォークスルーと「テストデータ法」や「CAATs」を混同し、IT統制の試験手続と誤解する。
- 「できるだけ多く選択」=サンプル拡大が良いと考え、エを適切と誤判断する。
- 表面的に“現場を歩く”イメージから「インタビュー」や「現地調査」を解答してしまう。
FAQ
Q: ウォークスルーは必ず現地に赴いて実査しなければなりませんか?
A: 原則は現場で実際の書類やシステム画面を追跡しますが、リモート環境でも同等の証憑と操作を共有できれば実施可能です。
A: 原則は現場で実際の書類やシステム画面を追跡しますが、リモート環境でも同等の証憑と操作を共有できれば実施可能です。
Q: 受注プロセスのリスクコントロールマトリックスに無いリスクもウォークスルーで発見できますか?
A: はい。実作業を追跡するため、文書化されていない手順や例外処理から新たなリスクを洗い出す効果があります。
A: はい。実作業を追跡するため、文書化されていない手順や例外処理から新たなリスクを洗い出す効果があります。
Q: ウォークスルーと内部統制評価の「運用状況テスト」は同じですか?
A: 別です。ウォークスルーは整備状況の妥当性確認を目的とし、運用状況テストは継続的に統制が機能しているかをサンプリングで検証します。
A: 別です。ウォークスルーは整備状況の妥当性確認を目的とし、運用状況テストは継続的に統制が機能しているかをサンプリングで検証します。
関連キーワード: ウォークスルー、内部統制、リスクコントロールマトリックス、サンプリング、IT統制
設問3:
ヒアリング結果から、ユーザID管理に関する問題点を二つ挙げ、それぞれ40字以内で述べよ。
模範解答
①:共有のユーザIDが存在し、担当者不在時の受注入力に使用されている。
②:管理課課長がユーザIDとアクセス権の変更と承認の両権限をもっている。
解説
解答の論理構成
- 共有ユーザIDの存在
- 業務課ヒアリングには「受注担当者が不在や外出のときには、あらかじめ用意していた共有のユーザIDを使って受注入力する。」とあります。
- “誰が入力したか”という追跡可能性(アカウンタビリティ)が失われ、利用者の範囲も統制外となるため、内部統制上の重大な欠陥です。
- 変更と承認の集中
- 管理課ヒアリングでは「担当者がユーザIDの削除やアクセス権の変更を行う。その結果を管理課長が承認する。…管理課長が修正入力と承認をしている。」と示されています。
- 同一人物(「管理課長」)が修正入力(実処理)と承認(検証)を兼任しており、職務分掌が成立していません。
→ 以上より、模範解答の2点が妥当となります。
誤りやすいポイント
- 四半期ごとの棚卸しがあるから十分と早合点し、共有IDの問題を見逃す。
- 「上長の承認があるから安全」と考え、実際に修正入力も行っている点を読み落とす。
- 問題点を“改善策”として書いてしまい、設問の趣旨とずれる。
FAQ
Q: 共有ユーザIDを禁止せず、操作ログで追跡すれば良いのでは?
A: ログに残るのは共有IDだけで個人特定が困難です。操作の正当性を利用者単位で検証できないため、内部統制上は原則禁止です。
A: ログに残るのは共有IDだけで個人特定が困難です。操作の正当性を利用者単位で検証できないため、内部統制上は原則禁止です。
Q: 管理課長が修正入力まで行うのは例外対応では?
A: 例外であっても恒常的に発生しているなら統制破りです。入力と承認は必ず別担当者で行い、相互牽制を確保する必要があります。
A: 例外であっても恒常的に発生しているなら統制破りです。入力と承認は必ず別担当者で行い、相互牽制を確保する必要があります。
Q: 棚卸しが四半期ごとなら十分な頻度では?
A: 棚卸し頻度とは別問題です。変更時点での権限分掌が欠けているため、棚卸しだけでは統制不備は解消しません。
A: 棚卸し頻度とは別問題です。変更時点での権限分掌が欠けているため、棚卸しだけでは統制不備は解消しません。
関連キーワード: アクセス制御、職務分掌、共有ユーザID, 承認プロセス、IT統制
設問4:
ユーザID管理以外で、リスクコントロールマトリックスどおりに実施されていないコントロールの番号を答えよ。また、それによって発生する問題は何か。30字以内で述べよ。
模範解答
番号:6
問題:変更した与信限度額が当該受注案件に限定されていない。
解説
解答の論理構成
- リスクコントロールマトリックス(以下 RCM)の番号「6」には、
「与信限度額を超える受注入力はできない。与信限度額を超える場合は、業務課長の承認後、経理課長の最終承認によって、当該受注案件に限って入力することができる。」
という統制が定義されています。 - ところが業務課ヒアリング(5)では、
「与信限度額を超えて受注入力できない場合は、業務課長の承認をもらって、該当顧客の限度額の変更依頼書を経理課に提出する。変更依頼書が承認されると、それ以降は変更後の与信限度額まで入力できる。」
と運用されていることが判明しました。 - RCMの要件は“当該受注案件に限って”一時的に入力可能にする方式ですが、実際の運用では“限度額を恒久的に変更”しており、一件限定の例外処理になっていません。
- よって、RCMどおりに実施されていないコントロール番号は「6」であり、問題点は「変更した与信限度額が当該受注案件に限定されていない」です。
誤りやすいポイント
- 番号「7」は定期的な見直しの統制であり、ヒアリングでも年1回実施されているため不備ではありません。
- ユーザID共有の問題(番号「4」「5」)は設問条件で除外対象なので選択肢に入れない点に注意が必要です。
- 「限度額の変更依頼書」が存在するため統制が機能していると思い込みやすいですが、例外処理が恒久設定になっている点が見落とされがちです。
FAQ
Q: なぜ“当該受注案件に限って”の要件が重要なのですか?
A: 一件ごとの例外処理に限定しないと、限度額を恒久的に引き上げた後に与信調査を行わず追加受注が繰り返され、与信リスクが管理できなくなるためです。
A: 一件ごとの例外処理に限定しないと、限度額を恒久的に引き上げた後に与信調査を行わず追加受注が繰り返され、与信リスクが管理できなくなるためです。
Q: 番号「7」との違いが分かりにくいのですが?
A: 番号「7」は「年に一度、定期的に見直し」を行う計画的統制、番号「6」は「超過受注が発生したときの例外処理」という性質が異なります。
A: 番号「7」は「年に一度、定期的に見直し」を行う計画的統制、番号「6」は「超過受注が発生したときの例外処理」という性質が異なります。
Q: この不備を是正するには何をすれば良いですか?
A: 例外受注は受注テーブル側で一時的フラグを立てるなど、システム的に“案件単位”で処理し、受注後に自動的に元の限度額へ戻す仕組みを導入する方法が考えられます。
A: 例外受注は受注テーブル側で一時的フラグを立てるなど、システム的に“案件単位”で処理し、受注後に自動的に元の限度額へ戻す仕組みを導入する方法が考えられます。
関連キーワード: 内部統制、リスクコントロールマトリックス、与信管理、例外処理、業務プロセス
