応用情報技術者 2015年 春期 午後 問11
財務会計システムの運用の監査に関する次の記述を読んで、設問1〜6に答えよ。
H社は、部品メーカーであり、原材料を仕入れて自社工場で製造し、主に組立てメーカーに販売している。H社では、財務会計システムのコントロールの運用状況について、監査室による監査が実施されることになった。
財務会計システムは、2年前に導入したシステムである。財務会計システムに関連する販売システム、製造システム、購買システムなど(以下、関連システムという)は、全て自社で開発したものである。財務会計システムは、関連システムからのインタフェースによる自動仕訳と手作業による仕訳入力の機能で構成されている。
財務会計システムの処理概要を図1に示す。
〔財務会計システムの予備調査〕
監査室が、財務会計システムに関する予備調査によって入手した情報は、次のとおりである。
(1) 関連システムからのインタフェースによる自動仕訳
① 財務会計システムには、仕訳の基礎情報となるトランザクションデータが各関連システムからインタフェースファイルとして提供される。
② インタフェースファイルは、日次の夜間バッチ処理のインタフェース処理に取り込まれる。インタフェース処理は、必要な項目のチェックを行い、仕訳データを生成して、仕訳データファイルに格納する。
③ チェックでエラーが発見されれば、トランザクション単位でエラーデータとして、エラーファイルに格納される。財務会計システムには、エラーファイルの内容を確認できる照会画面がないので、エラーの詳細は翌日の朝に情報システム部から経理部に通知される。財務会計システムのマスタが最新でないことが原因でエラーデータが発生した場合には、財務会計システムのマスタ変更を経理部が行う。ただし、エラーとなったデータの修正が必要な場合は、経理部で対応できないので、情報システム部が対応している。
④ エラーファイル内のエラーデータは、翌日のインタフェース処理に再度取り込まれ、処理される。
なお、日次の夜間バッチ処理はジョブ数、ファイル数が多く、日にちごとで実行ジョブも異なり、複雑である。そこで、ジョブの実行を自動化するために、ジョブ管理ツールを利用している。このジョブ管理ツールへの登録、ジョブの実行、異常メッセージの管理などは、情報システム部が行っている。
(2) 手作業による仕訳入力
手作業による仕訳入力は、仕訳の基礎となる資料に基づいて経理部の担当者が行う。ここで入力されたデータは、一旦、仮仕訳データとして仮仕訳データファイルに格納される。経理課長がシステム上で仮仕訳データの承認を行うことによって、仕訳データファイルに格納される。
なお、手作業による仕訳入力に関するアクセスは、各担当者に個別に付与されたIDに対し権限及び承認権限区を設定することでコントロールされている。
(3) 月次処理
① 翌月の第7営業日までに、当月の仕訳入力業務を全て完了させている。
② 経理部は、入力された仕訳が全て承認されているかを確かめるために、Iが残っていないことを確認する。
③ 経理部は、当月の仕訳入力業務が全て完了したことを確認した後、財務会計システムで確定処理を行う。これ以降は、当月の仕訳入力ができなくなる。
(4) 財務レポート作成・出力
財務会計システムで確定した月次の財務数値を基に、数十ページの財務レポートが作成・出力され、月次の経営会議で報告される。財務レポートは、経理部が簡易ツールを操作して、出力の都度、対象データ種別、対象期間、対象科目を設定して出力される。
〔監査要点の検討〕
監査室では、財務会計システムの予備調査で入手した情報に基づいてリスクを洗い出し、監査要点について検討し、“監査要点一覧” にまとめた。その抜粋を表1に示す。
なお、財務会計システムに関するプログラムの正確性については、別途、開発・プログラム保守に関する監査を実施する計画なので、今回の監査では対象外とする。
設問1:
表1中のaに入れる適切な字句を15字以内で答えよ。
模範解答
a:異常メッセージが監視
解説
解答の論理構成
- 表1の項番「(1)」はリスクを「“インタフェース処理が正常に実行されない。”」と定義しています。これはジョブが異常終了して会計データが落ち込まない事態を想定した論点です。
- 監査要点②の原文は次のとおりです。
「バッチジョブの実行に際しては、a され、検出された事項は全て適切に対応されているか。」 - 予備調査(1)③の記述に「“ジョブ数、ファイル数が多く、日にちごとで実行ジョブも異なり、複雑である。そこで、ジョブの実行を自動化するために、ジョブ管理ツールを利用している。このジョブ管理ツールへの登録、ジョブの実行、異常メッセージの管理などは、情報システム部が行っている。”」とあります。
- 上記から、ジョブが走る際に特に重要なのは“異常メッセージ”をリアルタイムに「管理=監視」することです。監視されていなければ異常が放置され、インタフェース処理が完了したと誤認するリスクが残ります。
- したがって a には「異常メッセージが監視」を入れるのが最も自然で、監査要点としてのチェック内容とも整合します。
誤りやすいポイント
- 「ログ出力」「ジョブ結果確認」のように一般的な表現で済ませると、予備調査で強調された「異常メッセージ」を明示できず不適切です。
- 「監視」ではなく「管理」と書くと、発見後の対応まで含む広義の語となり、監査要点②の“検出された事項は全て適切に対応されているか”と重複します。
- 予備調査の引用を見落とし、ジョブ管理ツールの機能面(スケジュール設定など)に焦点を当ててしまうと本問の意図から外れます。
FAQ
Q: “異常メッセージ”だけでは足りませんか?
A: 監査要点は「検出された事項は全て適切に対応されているか」と続くため、検出の前提として“監視”が必須です。「異常メッセージが監視」が適切です。
A: 監査要点は「検出された事項は全て適切に対応されているか」と続くため、検出の前提として“監視”が必須です。「異常メッセージが監視」が適切です。
Q: ジョブ管理ツールの設定確認は監査範囲に含まれませんか?
A: 項番(1)①で「ジョブスケジュールが適切に登録されているか」を別に問うており、本小問は②の実行時監視体制を問うています。
A: 項番(1)①で「ジョブスケジュールが適切に登録されているか」を別に問うており、本小問は②の実行時監視体制を問うています。
Q: “ジョブ実行状況が監視”と書くと減点対象になりますか?
A: “ジョブ実行状況”は抽象的で異常を特定できません。原文にある「異常メッセージ」を明示しない場合、趣旨を満たさない可能性があります。
A: “ジョブ実行状況”は抽象的で異常を特定できません。原文にある「異常メッセージ」を明示しない場合、趣旨を満たさない可能性があります。
関連キーワード: ジョブ管理, バッチ処理, 監視制御, 異常検知, 内部統制
設問2:
表1中のbに入れる適切な字句を10字以内で答えよ。
模範解答
b:入力権限と承認権限
解説
解答の論理構成
-
問題文の確認
表1の(2) 監査要点には、
“① 手作業による仕訳入力及び承認は、適切であるか。特に、b の両方が一つの ID に設定されていないことに注意する。”
とあります。 -
リスクの背景
同じ ID が入力と承認を兼ねると、①二重チェックが働かず②誤入力や不正入力が見逃される、というリスクがあります。したがって“職務分掌(Segregation of Duties)”の観点から、入力担当者と承認担当者を分離する必要があります。 -
手掛かりとなる記述
予備調査(2) には、
“手作業による仕訳入力に関するアクセスは、各担当者に個別に付与されたIDに対し権限及び承認権限区を設定することでコントロールされている。”
とあり、既に“権限”と“承認権限”が別管理されていることが示唆されています。 -
結論
よって b には “入力権限と承認権限” を入れることで、入力と承認を一つの ID に与えないという監査観点が明確になります。
誤りやすいポイント
- 「入力者と承認者」「担当者と上長」など曖昧な表現にしてしまう。権限そのものを問う設問なので“権限”という語を含める必要があります。
- “入力”と“登録”を並べてしまう。登録は入力とほぼ同義で、承認プロセスを分離したことになりません。
- “閲覧権限”を組み合わせる。閲覧だけでは不正入力を直接行えないため、監査要点の核心とズレます。
FAQ
Q: なぜ同じ ID に両方の権限を持たせてはいけないのですか?
A: 一人で入力から承認まで完結できると、不正な仕訳を自分で入力し自分で承認できてしまい、内部統制が機能しなくなるためです。
A: 一人で入力から承認まで完結できると、不正な仕訳を自分で入力し自分で承認できてしまい、内部統制が機能しなくなるためです。
Q: 承認権限を持つ人にも入力権限を与えず、閲覧権限だけなら問題ありませんか?
A: はい、閲覧権限のみであれば二重チェック体制は保たれます。重要なのは“入力”と“承認”という変更系権限の分離です。
A: はい、閲覧権限のみであれば二重チェック体制は保たれます。重要なのは“入力”と“承認”という変更系権限の分離です。
Q: システム上で分離できない場合、どのように統制すべきですか?
A: ログの定期的な突合、上長による抜き取りチェック、運用部門と監査部門によるモニタリングなどで補完的統制を設けます。
A: ログの定期的な突合、上長による抜き取りチェック、運用部門と監査部門によるモニタリングなどで補完的統制を設けます。
関連キーワード: 職務分掌, 権限管理, アクセス制御, 内部統制
設問3:
表1項番(3)の監査要点①に対して、経理部が実施しているコントロールとして、本文中のIに入れる適切な字句を10字以内で答えよ。
模範解答
I:仮仕訳データ
解説
解答の論理構成
-
【問題文】には手作業入力の流れが次のように記載されています。
・「ここで入力されたデータは、一旦、仮仕訳データとして仮仕訳データファイルに格納される。」
・「経理課長がシステム上で仮仕訳データの承認を行うことによって、仕訳データファイルに格納される。」
──すなわち、仮仕訳データが“承認前”の状態、仕訳データが“承認後”の状態を示します。 -
月次処理については次の記載があります。
「経理部は、入力された仕訳が全て承認されているかを確かめるために、Iが残っていないことを確認する。」
──“承認されていない仕訳”が残っていないことを確認するために着目すべき対象は「仮仕訳データ」です。 -
よって I には「仮仕訳データ」が入るのが妥当であり、模範解答と一致します。
誤りやすいポイント
- 「仮仕訳データファイル」と誤ってファイル名まで解答してしまう。設問はデータそのものを問うているため冗長です。
- 「未承認仕訳」「未承認データ」など意訳で答えてしまう。設問は「本文中の字句」を求めているため減点対象になります。
- 手作業入力とインタフェース処理が混同され、「エラーデータ」と混ぜてしまうケース。エラーデータはインタフェース処理側の概念であり文脈が異なります。
FAQ
Q: 仮仕訳データが残っていることがなぜリスクになるのですか?
A: 承認前の仕訳は正当性が確認されていないため、残ったまま確定処理へ進むと未承認仕訳が財務数値に反映されない、あるいは後から追加・修正ができなくなるリスクがあります。
A: 承認前の仕訳は正当性が確認されていないため、残ったまま確定処理へ進むと未承認仕訳が財務数値に反映されない、あるいは後から追加・修正ができなくなるリスクがあります。
Q: 承認プロセスのコントロールは誰が担保していますか?
A: 本文によれば「経理課長がシステム上で仮仕訳データの承認」を行い、経理部は月次処理で「仮仕訳データが残っていない」ことを確認しています。職務分掌により入力担当者と承認者を分離することで内部統制を確保しています。
A: 本文によれば「経理課長がシステム上で仮仕訳データの承認」を行い、経理部は月次処理で「仮仕訳データが残っていない」ことを確認しています。職務分掌により入力担当者と承認者を分離することで内部統制を確保しています。
Q: インタフェース処理のエラーデータ確認は誰が行うのですか?
A: 「エラーファイルの内容を確認できる照会画面がない」ため、翌朝に「情報システム部から経理部に通知」する運用です。経理部だけでは対応できないときには情報システム部が修正します。
A: 「エラーファイルの内容を確認できる照会画面がない」ため、翌朝に「情報システム部から経理部に通知」する運用です。経理部だけでは対応できないときには情報システム部が修正します。
関連キーワード: 内部統制, 職務分掌, 仕訳入力, バッチ処理
設問4:
表1中のcに入れる適切な字句を10字以内で答えよ。
模範解答
c:エラーデータ
解説
解答の論理構成
-
【問題文】の“〔財務会計システムの予備調査〕”―(1)③で
“チェックでエラーが発見されれば、トランザクション単位でエラーデータとして、エラーファイルに格納される”
と記述されています。エラーが見つかった場合、仕訳データにならず“エラーデータ”として別ファイルに退避される仕組みです。 -
同(1)④では
“エラーファイル内のエラーデータは、翌日のインタフェース処理に再度取り込まれ、処理される。”
とあり、エラーが残っている限り再処理が繰り返される運用であることが分かります。 -
監査要点一覧(表1)の項番(3)は、“全ての仕訳が仕訳データファイルに格納されずに確定処理が行われる”というリスクに対する監査ポイントです。そこで②
“情報システム部は、インタフェース処理で発生した c が全て処理されていることを確認しているか。”
と問いかけています。ここで確認すべき対象は、インタフェース処理で発生し残留している“エラーデータ”です。 -
以上より、cに入る適切な字句は“エラーデータ”となります。
誤りやすいポイント
- “エラーファイル”と“エラーデータ”を混同し、ファイル名をそのまま解答してしまうケース。
- 監査要点②は“情報システム部”の確認事項であるため、“インタフェースファイル”と早合点するミス。
- 仕訳データファイルへ格納されないデータ=“未承認仕訳”と読み違え、手作業入力側の用語を入れてしまう誤答。
FAQ
Q: “エラーファイル”ではなく“エラーデータ”と断定する根拠は?
A: インタフェース処理で発生するのは“データ”単位のエラーであり、翌日の処理では“エラーファイル内のエラーデータ”を再取込む運用が示されています。監査要点が確認する対象もデータ単位の残存有無です。
A: インタフェース処理で発生するのは“データ”単位のエラーであり、翌日の処理では“エラーファイル内のエラーデータ”を再取込む運用が示されています。監査要点が確認する対象もデータ単位の残存有無です。
Q: 手作業入力の“未承認仕訳”を監査するポイントと混同してはいけない理由は?
A: 表1項番(3)の①が手作業入力の承認状況を対象にしている一方、②はインタフェース処理のエラー処理状況を対象にしています。文脈で別領域のコントロールを扱っているため用語も異なります。
A: 表1項番(3)の①が手作業入力の承認状況を対象にしている一方、②はインタフェース処理のエラー処理状況を対象にしています。文脈で別領域のコントロールを扱っているため用語も異なります。
Q: “ジョブ管理ツールの異常メッセージ”という解答は不適切か?
A: 不適切です。ジョブ実行の異常メッセージは表1項番(1)②の監査要点で扱われ、cとは別の箇所です。
A: 不適切です。ジョブ実行の異常メッセージは表1項番(1)②の監査要点で扱われ、cとは別の箇所です。
関連キーワード: インタフェース処理, エラーファイル, バッチ再処理, 内部統制, 監査要点
設問5:
表1項番(4)の監査要点①について、どのようなタイミングで財務レポートを出力すべきか。適切なタイミングを10字以内で答えよ。
模範解答
確定処理後
解説
解答の論理構成
- 監査要点では、表1 項番(4) で「財務レポート出力のタイミングは適切であるか。」と問われています。
- 【問題文】の月次処理に関する記述
- 「経理部は…財務会計システムで確定処理を行う。これ以降は、当月の仕訳入力ができなくなる。」
- これは確定処理を境に仕訳の追加・修正が不可能となり、数値が最終確定することを示しています。
- 【問題文】の財務レポート作成・出力に関する記述
- 「財務会計システムで確定した月次の財務数値を基に、数十ページの財務レポートが作成・出力され…」
- レポートは「確定した月次の財務数値」を必須条件としているため、確定処理前に出力すると未承認や漏れのある仕訳が反映されず、網羅性・正確性に欠けます。
- したがって、財務レポートを出力すべき適切なタイミングは「確定処理後」です。
誤りやすいポイント
- 月次の経営会議日に合わせて「会議直前」と考えてしまい、確定処理前でもよいと誤解する。
- インタフェース処理の完了をもって十分と判断し、手作業入力の承認状況や確定処理を見落とす。
- 「確定処理=出力機能の内部処理」と混同し、別途出力作業のタイミングを考慮しない。
FAQ
Q: 確定処理後でもエラーファイルの処理漏れがあった場合、どうなりますか?
A: 「当月の仕訳入力ができなくなる」ため、エラーが残ったままでは修正不能となります。監査要点(3)②で「インタフェース処理で発生した c が全て処理されていること」を事前に確認することが必要です。
A: 「当月の仕訳入力ができなくなる」ため、エラーが残ったままでは修正不能となります。監査要点(3)②で「インタフェース処理で発生した c が全て処理されていること」を事前に確認することが必要です。
Q: 確定処理は自動で行われますか?
A: 【問題文】では「経理部は…財務会計システムで確定処理を行う」とあり、経理部が手動で実行する運用です。自動実行ではないため、担当者の実施忘れにも注意が必要です。
A: 【問題文】では「経理部は…財務会計システムで確定処理を行う」とあり、経理部が手動で実行する運用です。自動実行ではないため、担当者の実施忘れにも注意が必要です。
Q: レポート出力を情報システム部が代行しても問題ありませんか?
A: 出力作業自体よりもタイミングと設定内容の適切性が重要です。経理部が簡易ツールで出力している現状を変える場合は、職務分掌や権限管理を再設計する必要があります。
A: 出力作業自体よりもタイミングと設定内容の適切性が重要です。経理部が簡易ツールで出力している現状を変える場合は、職務分掌や権限管理を再設計する必要があります。
関連キーワード: 確定処理, 仕訳, 内部統制, バッチ処理
設問6:
表1項番(4)の監査要点②について、経理部が操作時にチェックすべき項目を三つ答えよ。
模範解答
①:対象データ種別
②:対象期間
③:対象科目
解説
解答の論理構成
- 【問題文】では、財務レポートの作成手順を
“財務レポートは、経理部が簡易ツールを操作して、出力の都度、対象データ種別、対象期間、対象科目を設定して出力される。”
と明示しています。 - 表1 項番(4)の監査要点②は
“財務レポート出力の操作は、適切に行われているか。”
であり、経理部が設定ミスを起こさないように「出力時にチェックすべき項目」を監査で確認する意図です。 - ①〜③の三つは、上記引用文で “設定して出力される” と列挙されているため、設定ミスがそのままレポート誤りに直結します。
- よって、経理部が操作時にチェックすべき三項目は「対象データ種別」「対象期間」「対象科目」です。
誤りやすいポイント
- 「対象年」といった抽象的な表現に置き換えてしまい、【問題文】の用語と不一致で減点される。
- 表1 の監査要点①(タイミング)と②(操作)を混同し、月次締め日などタイミング系の事項を書いてしまう。
- レポート項目を三つ以上書き、「過不足なく三つ」に収まらず失点する。
FAQ
Q: 「対象データ種別」とは具体的に何を指しますか?
A: 仕訳データ・残高データなど、レポートで集計対象とするデータの種類を指します。操作画面で選択するラジオボタンやプルダウンが想定されます。
A: 仕訳データ・残高データなど、レポートで集計対象とするデータの種類を指します。操作画面で選択するラジオボタンやプルダウンが想定されます。
Q: 監査ではどのように三項目のチェックを確認しますか?
A: 操作マニュアルと実際の操作ログを突合し、誤設定がないか、設定値が監査対象期間と一致しているかを確認します。
A: 操作マニュアルと実際の操作ログを突合し、誤設定がないか、設定値が監査対象期間と一致しているかを確認します。
Q: もし設定ミスがあった場合の統制は?
A: 再出力ができる手続や、承認フローで差戻しができる仕組みを整備し、ミスを検知・是正できる統制を設けます。
A: 再出力ができる手続や、承認フローで差戻しができる仕組みを整備し、ミスを検知・是正できる統制を設けます。
関連キーワード: 内部統制, 監査手続, 操作ミス防止, チェックリスト, 財務報告
