応用情報技術者 2020年 秋期 午後 問11
販売システムの監査に関する次の記述を読んで、設問1~5に答えよ。
S社は中堅の電子部品メーカーである。電子機器メーカーなどの得意先に対して、電子部品を製造し、販売している。
S社監査部では、定期的に業務監査を行っているが、これまでITに精通した要員がおらず、業務で利用されている情報システムの監査が十分にはできていなかった。そこで、情報システム部における開発経験が豊富な①K氏を監査人に任命することに関して、独立性の観点から確認し、監査チームのメンバとして参加させることにした。
監査チームは予備調査を行い、その結果、次のことが分かった。
〔販売業務の概要〕
(1) 受注処理
・得意先からの発注データはEDIによって販売システムに取り込まれる。EDIを利用していない得意先からの発注情報は、ファックス又は電子メールで送られてくるので、それに基づいてS社営業部担当者が営業部端末から販売システムに直接受注入力する。
・得意先ごとの受注条件、与信限度額は、営業部担当者の申請に基づき、管理部担当者が、管理部長の承認を受け、販売システムのマスタ管理機能を利用して得意先マスタに登録する。
・得意先マスタに登録されている受注条件、与信限度額の範囲内の発注データは、自動で受注確定されるとともに、物流システムに出荷指図データが送信される。
・事前に登録された、受注条件や与信限度額の範囲を逸脱した発注データは、受注エラーリストに出力され、受注処理が保留される。保留された発注データは、営業部担当者が内容を確認のうえ、保留解除申請を行い、営業課長が販売システム上で承認処理を行うことで受注確定される。
(2) 出荷処理
・物流センタでは、出荷予定日になると、物流システムの出荷指図データに基づき、出荷作業を行う。出荷作業が完了すると、物流システムから販売システムに出荷完了データが自動送信される。
・物流システムからの出荷完了データに基づき、販売システムで販売データが作成される。
(3) 売上計上処理
・販売データは、会計システムに日次バッチ処理で自動送信され、出荷基準に基づいて売上計上される。会計システムからは、得意先別の売上金額などが記載された得意先元帳を出力することができる。
・営業部担当者は、販売システムから得意先別販売リストを毎月出力し、内容を確認した後、営業課長に報告を行っている。
〔システムの概要〕
・S社の販売業務に関連するシステムは、販売システム、物流システム、会計システムである。各システムの関係及びデータの流れは、図1のとおりである。
・販売システムと物流システムは、外部システムベンダに開発委託したシステムである。会計システムは、ソフトウェアパッケージをそのまま使用しており、販売システムからのインタフェース部分を除き、特に独自機能の追加などは行っていない。
〔本調査に向けた監査手続書の策定〕
監査チームは、予備調査の結果に基づき、販売システムに関する監査手続きを、表1のとおりまとめた。
K氏は、売上計上処理の監査手続の前提として、得意先別販売リストの販売金額が適切に出力されていることを確かめるために、次の監査手続の追加を提案した。
・販売システムに取り込まれたdを集計し、得意先別販売リストの販売金額と一致することを確かめる。
設問1:
本文中の下線①について、監査部長が確認したと考えられる事項を、30字以内で具体的に述べよ。
模範解答
「販売システムの担当から離れて一定期間経過していること」
または
「販売システムの開発・保守業務に対する関与度合い」
解説
解答の論理構成
- 【問題文】には「①K氏を監査人に任命することに関して、独立性の観点から確認」とあります。
- 内部監査基準では、監査人が過去に自ら関与した業務を監査すると利害関係が生じ、客観性が損なわれる恐れがあるため、独立性・客観性の確認が必須です。
- 具体的には、K氏が「販売システム」開発・保守など業務執行側の職務から離れて十分な期間が経過している、あるいは現在その業務に関与していないことを確かめる必要があります。
- したがって監査部長が確認した事項は「販売システム開発に現在関与していないこと」とまとめられます。
誤りやすいポイント
- 監査人の独立性を「組織上の所属」だけで判断し、過去の職務経歴を確認し忘れる。
- システム利用部門に所属していなければ自動的に独立と誤解し、「過去の開発実績」「保守サポートの助言」などの実質的関与を見落とす。
- 逆に“完全に関与経験がない人でなければならない”と誤読し、システムに精通した監査人を起用できないとする極端な解釈。
FAQ
Q: 開発経験者を監査人に選任しても良いのですか?
A: はい。過去の業務に関与していても、現在その業務に直接携わっておらず、利害関係が排除できるなら独立性は確保できます。
A: はい。過去の業務に関与していても、現在その業務に直接携わっておらず、利害関係が排除できるなら独立性は確保できます。
Q: どの程度の期間、現場を離れていれば独立と見なされますか?
A: 明確な画一基準はありませんが、少なくとも継続的・日常的な関与がなく、監査対象業務の意思決定に影響を与えない状態であることが重要です。
A: 明確な画一基準はありませんが、少なくとも継続的・日常的な関与がなく、監査対象業務の意思決定に影響を与えない状態であることが重要です。
Q: 追加の具体的確認手段はありますか?
A: 人事記録・業務日報を照合し、K氏が「販売システム」の設計変更や保守依頼に携わっていないことをドキュメントで確認する方法が一般的です。
A: 人事記録・業務日報を照合し、K氏が「販売システム」の設計変更や保守依頼に携わっていないことをドキュメントで確認する方法が一般的です。
関連キーワード: 内部統制、監査人の独立性、職務分掌、利害関係、客観性
設問2:
受注処理における監査対象の機能に関する監査手続について表1中のa、b、cに入れる適切な字句を、それぞれ10字以内で答えよ。
模範解答
a:管理部長の承認記録
b:「登録権限がない」
または
「更新権限がない」
c:受注入力権限がない
解説
解答の論理構成
-
得意先マスタ登録時の承認記録
- 【問題文】には「営業部担当者の申請に基づき、管理部担当者が、管理部長の承認を受け、…得意先マスタに登録する」とあります。
- 監査で確認すべきは、この承認が実際に残っているかどうかです。したがって a には「管理部長の承認記録」が入ります。
-
営業部担当者のアクセス権限
- 得意先マスタは管理部担当者が登録すると記載されており、営業部担当者が直接編集できると不適切です。
- 監査手続は「営業部担当者に得意先マスタの b ことを確かめる」となっているため、「登録権限がない」または「更新権限がない」を確認します。
-
営業課長への権限付与
- 受注エラー解除の承認者は営業課長ですが、同じ人物が入力もできると職務分掌が崩れます。
- そこで「承認処理を行う営業課長にはcことを確かめる」の文脈から、「受注入力権限がない」かどうかを確認する必要があります。
以上より
a:「管理部長の承認記録」
b:「登録権限がない」(または「更新権限がない」)
c:「受注入力権限がない」となります。
a:「管理部長の承認記録」
b:「登録権限がない」(または「更新権限がない」)
c:「受注入力権限がない」となります。
誤りやすいポイント
- 承認者の役職を取り違える
「管理部担当者が登録」ではなく「管理部長が承認」なので、承認記録の主体を誤記しやすいです。 - b と c を逆に書く
営業部担当者と営業課長で求められる権限の有無が異なります。職務分掌を意識すれば混同を防げます。 - 「参照権限」と書いてしまう
監査対象はマスタ更新や受注入力といった“変更”行為です。参照権限は論点外なので注意が必要です。
FAQ
Q: 「登録権限がない」と「更新権限がない」はどちらを選ぶべきですか?
A: 得意先マスタのメンテナンス作業を営業部担当者が行えないことを示せればよいので、どちらでも意図は満たせます。試験ではいずれか一方で可とされています。
A: 得意先マスタのメンテナンス作業を営業部担当者が行えないことを示せればよいので、どちらでも意図は満たせます。試験ではいずれか一方で可とされています。
Q: 営業課長は承認だけでなく、確認作業のために入力権限も必要ではありませんか?
A: 受注入力は営業部担当者の職務です。承認者が入力まで行うと牽制関係が失われるため、職務分掌上は入力権限を持たせないのが妥当です。
A: 受注入力は営業部担当者の職務です。承認者が入力まで行うと牽制関係が失われるため、職務分掌上は入力権限を持たせないのが妥当です。
Q: 承認記録とは具体的にどのようなものですか?
A: ワークフローシステム上の電子承認履歴、紙の申請書に押印された決裁印、ログとして残るユーザIDとタイムスタンプなど、形式は問いませんが「誰がいつ承認したか」を確認できる証跡が必要です。
A: ワークフローシステム上の電子承認履歴、紙の申請書に押印された決裁印、ログとして残るユーザIDとタイムスタンプなど、形式は問いませんが「誰がいつ承認したか」を確認できる証跡が必要です。
関連キーワード: 職務分掌、アクセス権限管理、証跡管理、内部統制、牽制関係
設問3:
表1中の下線②について、この監査手続を実施する場合、監査人は業務への影響について、どのような点に留意しなければならないか。35字以内で述べよ。
模範解答
監査人が作成した発注データが受注確定されてしまわないこと
解説
解答の論理構成
- 表1の下線②には「受注条件や与信限度額の範囲を逸脱した架空の発注データを監査人が作成し、営業部端末から販売システムに入力して、受注エラーリストに出力されることを確かめる」と明記されています。
- 監査目的は“エラーリストへの正しい抽出”であり、監査人が投入したデータはあくまで試験用です。
- ところが【問題文】には「受注エラーリストに出力された取引は、営業課長が承認処理を行うことで受注確定される」とあるため、エラーに載ったままでも承認フローを経由すれば実際の業務データになり得ます。
- よって試験データが誤って通常フローに乗り「出荷指図データ」→「出荷完了データ」→「販売データ」へ連鎖しないよう留意が必要です。
- 以上から、回答は「監査人が作成した発注データが受注確定されてしまわないこと」となります。
誤りやすいポイント
- エラーリストに出れば十分と考え、後工程への影響を失念しがちです。
- 試験データ投入=業務停止と早合点し、テスト実施自体を避けてしまうケース。
- “受注確定”と“出荷確定”を混同し、どちらを防止すべきか曖昧になるミス。
FAQ
Q: テストは本番環境で絶対に行ってはいけないのですか?
A: 監査目的のテストは本番環境で行う場合もあります。ただし本設問のように誤処理が下流へ流れない管理策を講じることが前提です。
A: 監査目的のテストは本番環境で行う場合もあります。ただし本設問のように誤処理が下流へ流れない管理策を講じることが前提です。
Q: エラーリストに載った時点で十分では?
A: 承認フローにより「受注確定」される恐れがあるため不十分です。確定前に必ず監査人がデータ削除・無効化を確認する必要があります。
A: 承認フローにより「受注確定」される恐れがあるため不十分です。確定前に必ず監査人がデータ削除・無効化を確認する必要があります。
Q: なぜ販売システムだけでなく物流や会計にも影響するのですか?
A: 「受注確定」されると「②出荷指図データ」「③出荷完了データ」「④販売データ」と連鎖し、在庫・売上計上まで誤情報が伝播するためです。
A: 「受注確定」されると「②出荷指図データ」「③出荷完了データ」「④販売データ」と連鎖し、在庫・売上計上まで誤情報が伝播するためです。
関連キーワード: テストデータ投入、内部統制、権限管理、本番環境リスク、トランザクション管理
設問4:
表1中の下線③について、このような監査手続を何というか。最も適切な字句を、解答群の中から選び、記号で答えよ。
解答群
ア:インタビュー法
イ:チェックリスト法
ウ:突合・照合法
エ:ペネトレーションテスト法
模範解答
ウ
解説
解答の論理構成
- 【問題文】で下線が付いている③は
“③得意先別販売リストの販売金額と得意先元帳の売上金額が一致することを確かめる”
という監査手続です。 - ここでは、
• 販売システムから出力される “得意先別販売リストの販売金額”
• 会計システムから出力される “得意先元帳の売上金額”
という2つの独立した資料を照合し、データ転送・計上の正確性を検証しています。 - 監査の世界では、別ソースから得た情報を「突き合わせ」て一致を確認する手続きを「突合・照合法」と呼びます。
- 解答群を確認すると、該当するのは “ウ:突合・照合法” です。
- よって解答は “ウ” となります。
誤りやすいポイント
- 「チェック項目を確認しているから “チェックリスト法”」と連想しがちですが、チェックリスト法は質問票を用いて統制の有無を確認する方法であり、2資料の数値突合とは異なります。
- “照合” という語に引っ張られて “インタビュー法” を選ぶミスも散見されますが、インタビュー法は担当者への聞き取り調査を指します。
- “ペネトレーションテスト法” はセキュリティ侵入テストの一種であり、売上データの金額一致確認とは無関係です。
FAQ
Q: 「突合・照合法」はどのような場面で特に有効ですか?
A: 異なるシステム間で同一取引を重複記録している場合や、インタフェース処理の妥当性を検証したい場合に有効です。
A: 異なるシステム間で同一取引を重複記録している場合や、インタフェース処理の妥当性を検証したい場合に有効です。
Q: 手作業での突合と自動ツールによる突合、監査上の信頼性に差はありますか?
A: 手続の正確性が担保されていれば大きな差はありませんが、大量データでは自動ツールの方が網羅性と再現性を確保しやすいと評価されます。
A: 手続の正確性が担保されていれば大きな差はありませんが、大量データでは自動ツールの方が網羅性と再現性を確保しやすいと評価されます。
Q: “突合・照合法” を実施する際の監査証拠は何になりますか?
A: 突合結果の一覧表、照合に用いた元帳・リストの写し、突合ルール(キー項目、閾値など)、一致・不一致の分析メモが監査証拠となります。
A: 突合結果の一覧表、照合に用いた元帳・リストの写し、突合ルール(キー項目、閾値など)、一致・不一致の分析メモが監査証拠となります。
関連キーワード: データ突合、照合テスト、インタフェース検証、監査証拠
設問5:
本文中のdに入れる適切な字句は何か。本文中から選び、10字以内で答えよ。
模範解答
d:出荷完了データ
解説
解答の論理構成
- 監査チームが追加した手続きは、
「販売システムに取り込まれたdを集計し、得意先別販売リストの販売金額と一致することを確かめる。」
と記載されています。ここで d に入る語は、販売システムに取り込まれている具体的な取引明細を指す必要があります。 - 販売データがどのように生成されるかを確認すると、問題文には
「物流システムから販売システムに出荷完了データが自動送信される。」
「物流システムからの出荷完了データに基づき、販売システムで販売データが作成される。」
とあります。すなわち、売上を構成する元データは“出荷完了データ”です。 - 得意先別販売リストは販売システムから出力される帳票であり、その金額の正当性を確認したいのであれば、同じシステム内に格納されている“出荷完了データ”を集計して突合すればよい、という論理になります。
- したがって、d に入る適切な字句は
「出荷完了データ」
です。
誤りやすいポイント
- 売上計上は会計システムで行われるため、d を「販売データ」と誤認しやすいですが、販売データはすでに売上計上用に加工された後段の情報です。監査目的は元データ→帳票の整合性確認であるため、もっと手前の“出荷完了データ”を用いる必要があります。
- 「発注データ」「受注データ」など前段階のデータを選んでしまうケースもありますが、これらはまだ出荷・売上が確定していないため販売実績の検証には不適切です。
- 物流システムと販売システムの間のインタフェース検証(件数一致確認)と混同し、件数だけで良いと判断してしまうと金額検証が漏れるので注意が必要です。
FAQ
Q: なぜ販売データそのものではなく出荷完了データを集計するのですか?
A: 監査では「元データから派生帳票が正しく作られているか」を確認します。販売データはすでにシステム内で加工された後段データなので、加工前の“出荷完了データ”を使うことで加工処理の正当性を検証できます。
A: 監査では「元データから派生帳票が正しく作られているか」を確認します。販売データはすでにシステム内で加工された後段データなので、加工前の“出荷完了データ”を使うことで加工処理の正当性を検証できます。
Q: 出荷完了データの件数だけでは不十分ですか?
A: 件数一致だけでは単価や金額計算に誤りがあっても検出できません。金額を含めた集計結果と帳票を突合することで、数量・単価・計算ロジックまで一括で検証できます。
A: 件数一致だけでは単価や金額計算に誤りがあっても検出できません。金額を含めた集計結果と帳票を突合することで、数量・単価・計算ロジックまで一括で検証できます。
Q: 受注エラーリストに関する監査手続きと今回の追加提案は関係がありますか?
A: 直接の関係はありません。受注エラーリストは受注段階の不備検出、今回の追加提案は出荷完了後の売上計上の妥当性確認を目的としています。監査では多層的に統制を確認することが重要です。
A: 直接の関係はありません。受注エラーリストは受注段階の不備検出、今回の追加提案は出荷完了後の売上計上の妥当性確認を目的としています。監査では多層的に統制を確認することが重要です。
関連キーワード: 監査手続、データフロー、インタフェース検証、売上計上、与信管理
