応用情報技術者 2024年 春期 午後 問11
支払管理システムの監査に関する次の記述を読んで、設問に答えよ。
V社は大手の製造会社であり、2年前に12年間利用していた自社開発の債務管理システムから業務パッケージを利用した支払管理システムに移行した。そこで、内部監査室は、支払管理システムの運用状況に関するシステム監査を実施することとした。
〔支払管理システム及び関連システムの概要〕
支払管理システム及び関連システムの概要を図1に示す。
(1) 支払管理システムは業務パッケージの標準機能を利用し、約1年間で、企画、要件定義、業務パッケージ選定、設計、開発、テスト及びリリースの各段階を経て移行された。V社では、規程類に適合しない機能を採用する場合は、対応策を含めて、リスク委員会の承認を受ける必要がある。
(2) 会計システムは業務パッケージである。
(3) 調達管理システムは、10年前に構築した自社開発システムであり、各工場製造部の原料及び外注加工に関する見積依頼・発注・入荷・検収を管理している。検収入力で作成される調達実績データは、半月ごとに支払管理システムへ取り込まれる。
(4) 4年前に実施された債務管理システムのシステム監査では、規程類に適合した機能が導入され、運用されていると結論付けられ、指摘事項はなかった。
(5) 昨年実施された調達管理システムの監査では、取引先別の調達実績データの合計額が支払管理システムの支払予定データの合計額と一致していないことが発見された。これについて、調達管理システムには問題はなく、支払管理システムの運用状況の詳細な調査が必要と結論付けられ、経理部で調査中とのことである。
〔支払管理システムの運用の概要〕
監査担当者が予備調査で把握した内容は、次のとおりである。
(1) 支払管理システムでは、業務パッケージの標準機能である利用者ID情報管理機能及びパスワード管理機能を利用している。承認された利用者ID申請書が情報システム部サポート担当に提出され、利用者ID情報が登録、変更、削除される。利用者ID情報には、利用者ID、利用者名、部署名、各メニューの利用権限などが含まれ、登録・変更・削除履歴は利用者ID更新ログに記録される。業務パッケージのパスワードポリシーの一部には、規程類に適合するようにパスワードポリシーを適用できない箇所があった。
(2) 支払管理システムに関連するプロセスは、次のとおりである。
① 経費精算などは、支払管理システムに支払申請入力を行い、承認者が承認入力を行うことで支払予定データが生成される。支払予定データは修正できないので、支払額を減額したい場合は、減額の支払申請を入力する。
② 支払規程によると、支払金額が一定額を超過する場合には、事業本部長の承認及び担当役員の承認が必要になる。支払管理システムには、一つの申請に対し複数の承認者を設定する機能がないので、承認入力後に承認者から必要な上位者に経理部宛の CC を含む電子メールで承認を受ける手続きをしている。
③ 支払申請入力では、請求書・領収書などの証ひょう類を承認者に回付せず、申請者が入力後に経理部に送付する。経理部は、支払予定データについて一定額超過の承認メールを含む証ひょう類に不備がないかチェックする。経理部は、証ひょう類に不備のある支払予定データについて、未承認の状態に変更することができ、その場合は、申請者に電子メールで通知される。また、各工場等経理部は調達管理システムの関連実績データについて、取引先からの請求書とチェックしている。
④ 調達実績データから支払予定データを生成するには支払先マスターに調達連携用の支払先 (以下、調達用支払先という) を登録しておく必要がある。調達用支払先は、調達管理システムに関する支払業務以外では利用しない。
⑤ 支払管理システムでは、半月ごとの調達実績データの取込処理によって、支払予定データが生成される。取込処理の実行時にエラーがあった場合は、情報システム部でエラー対応を行う。一方、エラーではないが支払先マスターに調達員支払先が未登録などの場合は、保留ファイルに格納される。経理部は保留ファイルに対し、支払先マスター登録などの対応後に保留ファイルの更新処理を実行する一連の作業を行う。
⑥ 原料・外注加工費は半月ごとに支払が行われるので、調達管理システムでの検収入力が遅れ、次回の取込処理となってしまうと支払遅延となる。そこで、支払遅延とならないように工場製造部の申請に基づき、工場管理部は、当該取引先に対応した調達員支払先を利用して追加の支払申請入力を行う。また、次回の取込処理までに重複防止のための減額の支払申請入力が必要となる。
⑦ 経理部は、作業が完了した支払予定データに対して振込データ作成画面で対象範囲を指定して、銀行に送信する振込データを作成する。
〔監査手続の作成〕
監査担当者が、予備調査に基づき策定した監査手続案を表1に示す。
内部監査室長は、表1をレビューし、次のとおり監査担当者に指示した。
(1) 表1 項番2の監査手続は、予備調査の結果を踏まえると不備が発見される可能性が高い。これに対応する追加手続として、a段階でbが行われていたかどうかについての監査手続を含めるべきである。
(2) 表1 項番3の監査手続だけでは、監査要点を十分に評価できない。cに対する作業について評価する監査手続を追加すること。
(3) 表1 項番4の監査手続だけでは、監査要点を十分に評価できない。支払金額がdの支払予定データについては、監査手続を追加すること。
(4) 表1 項番5について、支払予定データに対して経理部のeが振込データ作成前に完了していることを確認する監査手続を追加すること。
(5) 昨年度のシステム監査での発見事項については、表1の項番fで確かめている。その他、差異が発生する可能性のある次の二つの事象に関する監査要点及び監査手続きを追加すること。
① 調達管理システムと異なる支払申請入力において、間違ってgを利用してしまった。
② 支払遅延防止として追加の支払申請入力した後に、hを行わなかった。
設問1:
〔監査手続の作成〕の a ~ d に入れる適切な字句をそれぞれ10字以内で答えよ。
模範解答
a:業務パッケージ選定
b:リスク委員会の承認
c:保留ファイル
d:一定額を超過する場合
解説
解答の論理構成
-
a の決定
・問題文には「支払管理システムは業務パッケージの標準機能を利用し、…『業務パッケージ選定』…の各段階を経て移行された」とあります。
・同じ段落で「規程類に適合しない機能を採用する場合は、対応策を含めて、リスク委員会の承認を受ける必要がある」と明示されています。
・パスワードポリシーが規程に適合しない可能性が判明した時点は、まさに「業務パッケージ選定」段階です。よって a は「業務パッケージ選定」となります。 -
b の決定
・上記引用のとおり、不適合機能採用時に必要な行為は「リスク委員会の承認」です。これが追加監査手続の対象行為なので b は「リスク委員会の承認」となります。 -
c の決定
・取込時のエラーでなく「支払先マスターに調達用支払先が未登録などの場合は、保留ファイルに格納される」と記載されています。
・「保留ファイル」に対して経理部が「更新処理を実行する一連の作業」を行うため、その作業を監査しないと監査要点を十分に評価できません。よって c は「保留ファイル」です。 -
d の決定
・運用概要②に「支払規程によると、支払金額が一定額を超過する場合には、事業本部長の承認及び担当役員の承認が必要になる」とあります。
・追加監査手続はまさにこのケースを対象にするため、d は「一定額を超過する場合」となります。
誤りやすいポイント
- 「パスワードポリシー」に着目し過ぎて、a を「要件定義」や「設計」と誤答しやすい。引用文に業務パッケージ選定が明示されている点を見落とさないこと。
- c を「取込処理のエラー」や「支払先マスター」としてしまい、実際に差異が出る要因である「保留ファイル」を外してしまうミス。
- d で「高額」など曖昧な表現を書いてしまい、問題文の正確な語句「一定額を超過する場合」を引用できていないケース。
FAQ
Q: 「保留ファイル」はなぜ監査要点になるのですか?
A: エラーではなくマスター未整備などで保留されたレコードが放置されると、支払予定データが生成されず調達実績との不一致が発生しやすいためです。経理部の更新作業が適切かを確認する必要があります。
A: エラーではなくマスター未整備などで保留されたレコードが放置されると、支払予定データが生成されず調達実績との不一致が発生しやすいためです。経理部の更新作業が適切かを確認する必要があります。
Q: 高額支払の追加監査では何をチェックすれば良いですか?
A: 「事業本部長」や「担当役員」など規程で定められた上位者の承認メール・添付証ひょうが支払予定データにきちんと紐付けられているかを検証します。
A: 「事業本部長」や「担当役員」など規程で定められた上位者の承認メール・添付証ひょうが支払予定データにきちんと紐付けられているかを検証します。
Q: リスク委員会の承認が取れていなかった場合の影響は?
A: 規程類に適合しない機能が無防備に運用されるため、コンプライアンス違反や情報セキュリティ事故の原因になります。監査では是正勧告の対象になります。
A: 規程類に適合しない機能が無防備に運用されるため、コンプライアンス違反や情報セキュリティ事故の原因になります。監査では是正勧告の対象になります。
関連キーワード: システム監査, 内部統制, パスワードポリシー, マスタ管理, 承認フロー
設問2:
〔監査手続の作成〕の e について、どのような作業を確かめるべきか、適切な字句を20字以内で答えよ。
模範解答
e:証ひょう類に不備がないかのチェック
解説
解答の論理構成
- 【問題文】には、支払管理システムの業務フローとして
「③ 経理部は、支払予定データについて一定額超過の承認メールを含む証ひょう類に不備がないかチェックする。」
と明記されています。 - 一方、内部監査室長の指示では
「支払予定データに対して経理部のeが振込データ作成前に完了していることを確認する監査手続を追加すること。」
とあります。 - つまり、振込データ作成前に経理部が実施するべき作業(=監査対象)は、上記③で示された「証ひょう類に不備がないかチェックする」行為です。
- よって [ e ] に該当する具体的作業は、【問題文】と同一表現である
「証ひょう類に不備がないかのチェック」
となります。
誤りやすいポイント
- 「振込データ作成範囲の漏れ確認」と混同しやすい
(それは表1 項番5の“範囲チェック”であり、[ e ] ではない)。 - 承認メールの有無だけを取り上げてしまい、証ひょう全体の確認行為を見落とす。
- 経理部ではなく情報システム部が行うエラー対応と取り違える。
FAQ
Q: 承認メールの確認と[ e ]の作業は同じですか?
A: 承認メールは証ひょう類の一部ですが、[ e ]の作業は「証ひょう類に不備がないか」を総合的に確認することを指し、メールの有無だけではありません。
A: 承認メールは証ひょう類の一部ですが、[ e ]の作業は「証ひょう類に不備がないか」を総合的に確認することを指し、メールの有無だけではありません。
Q: 保留ファイル更新作業と[ e ]の作業の優先順位は?
A: 保留ファイル更新はエラー・未登録対応、[ e ]は証ひょう類チェックであり、いずれも振込前までに完了する必要がありますが、目的が異なります。
A: 保留ファイル更新はエラー・未登録対応、[ e ]は証ひょう類チェックであり、いずれも振込前までに完了する必要がありますが、目的が異なります。
Q: 監査では実際にどのログや資料を確認すべきですか?
A: 経理部が証ひょう類チェックを行った証跡(チェックリスト、日付・担当者が残るワークフロー記録、戻し通知メールなど)を突合し、振込データ作成日時より前に完了していることを確かめます。
A: 経理部が証ひょう類チェックを行った証跡(チェックリスト、日付・担当者が残るワークフロー記録、戻し通知メールなど)を突合し、振込データ作成日時より前に完了していることを確かめます。
関連キーワード: 内部統制, 支払予定, 証憑管理, 振込処理, 監査手続
設問3:
〔監査手続の作成〕の f に入れる最も適切な監査要点を表1の中から選び、表1の項番で答えよ。
模範解答
f:3
解説
解答の論理構成
-
【問題文】の指示
“昨年度のシステム監査での発見事項…調達実績データの合計額が支払管理システムの支払予定データの合計額と一致していない”
と記述されています。差異が生じた主体は
・「調達実績データ」
・「支払予定データ」
の組合せです。 -
表1 の監査要点を照合
- 項番1 利用者ID
- 項番2 パスワード
- 項番3 “支払予定データは、調達実績データによって適切に作成される。”
- 項番4 経費精算等の承認
- 項番5 振込データ
差異問題を直接扱っているのは項番3だけです。ここに「支払予定データ」と「調達実績データ」の双方が明示されています。
-
内部監査室長のコメント
“昨年度のシステム監査での発見事項については、表1の項番fで確かめている。”
→ 直前の発見事項が“支払予定データ”と“調達実績データ”の不一致なので、対応する監査要点は項番3です。
以上より、f に入るのは
“3”
“3”
誤りやすいポイント
- 差異の原因を「振込データ」や「承認プロセス」と早合点し、項番4 または 5 を選択してしまう。キーワードは“調達実績データ”と“支払予定データ”であり、承認や振込は無関係です。
- 過去監査=昨年の調達管理システム監査と読み違え、調達側のみに着目して項番3を見落とす。支払管理システム側も対象である点が要注意。
- 表1 の監査要点を監査手続と混同し、文面に“差異”が書かれていない項番は無関係と判断してしまう。要点を読むことが大切です。
FAQ
Q: 差異が検出された原因は支払管理システムの設計ミスと断定できますか?
A: いいえ、【問題文】には“支払管理システムの運用状況の詳細な調査が必要”とあるだけで、設計ミスか運用ミスかは未確定です。
A: いいえ、【問題文】には“支払管理システムの運用状況の詳細な調査が必要”とあるだけで、設計ミスか運用ミスかは未確定です。
Q: 項番3の監査手続「支払先マスターが正確に登録されるかどうか確かめる」は差異検出とどう関係しますか?
A: 支払予定データは調達実績データと支払先マスターを突合して生成されます。マスター誤りがあると金額差異が生じるため、項番3が直接の対応策になります。
A: 支払予定データは調達実績データと支払先マスターを突合して生成されます。マスター誤りがあると金額差異が生じるため、項番3が直接の対応策になります。
Q: “差異”という語が表1に出てこないのに、どうして項番3と判断できるのですか?
A: 表1は要点に“支払予定データ”“調達実績データ”の両方を明記しているのが項番3しかないためです。差異=両データの不整合と読み替えて判断します。
A: 表1は要点に“支払予定データ”“調達実績データ”の両方を明記しているのが項番3しかないためです。差異=両データの不整合と読み替えて判断します。
関連キーワード: 内部統制, データ取込, マスタ管理, 支払予定, 監査要点
設問4:
〔監査手続の作成〕の g、h に入れる適切な字句をそれぞれ10字以内で答えよ。
模範解答
g:調達用支払先
h:減額の支払申請入力
解説
解答の論理構成
-
まず g に関係する記述を確認します。
- 【問題文】(2) ④ に「調達実績データから支払予定データを生成するには支払先マスターに調達連携用の支払先 (以下、調達用支払先という) を登録しておく必要がある。調達用支払先は、調達管理システムに関する支払業務以外では利用しない。」とあります。
- 内部監査室長の指示①では「調達管理システムと異なる支払申請入力において、間違ってgを利用してしまった。」とあり、誤って使われる対象は “調達管理システム以外では利用しないはずの支払先” です。
- よって g には「調達用支払先」が入ることになります。
-
次に h に関係する記述を確認します。
- 【問題文】(2) ⑥ に「支払遅延とならないように…追加の支払申請入力を行う。また、次回の取込処理までに重複防止のための減額の支払申請入力が必要となる。」とあります。
- 内部監査室長の指示①②では「支払遅延防止として追加の支払申請入力した後に、hを行わなかった。」とあります。
- 追加入力後に“必ず行うべきで未実施だった”とされる作業は上記引用の「減額の支払申請入力」です。
- したがって h には「減額の支払申請入力」が入ります。
-
以上より解答は
- g:調達用支払先
- h:減額の支払申請入力
誤りやすいポイント
- 「調達先マスター」と書いてしまう
「調達用支払先」はマスターに登録されるレコード名であり、“マスター”と答えると主語がずれるため失点します。 - 減額処理を「修正入力」「取消入力」と誤記
【問題文】に明示されている正式名称は「減額の支払申請入力」です。キーワードを変形すると不正解です。 - “調達管理システム”を誤って空欄に入れる
問題文が問うのは「誤って使った対象」であり、システム名ではなく支払先名です。
FAQ
Q: 「調達用支払先」が特定の処理にしか使われない理由は?
A: 調達実績データとの自動突合で金額整合性を確保するためです。誤用すると調達実績と支払予定が合わなくなります。
A: 調達実績データとの自動突合で金額整合性を確保するためです。誤用すると調達実績と支払予定が合わなくなります。
Q: なぜ追加支払後に減額の支払申請入力が必要なのですか?
A: 後日取込処理で同一取引先分が再度支払予定化されると二重計上になるため、追加分と相殺する減額入力で重複を防ぎます。
A: 後日取込処理で同一取引先分が再度支払予定化されると二重計上になるため、追加分と相殺する減額入力で重複を防ぎます。
Q: 監査手続でこれらをどう確認すべきですか?
A: 調達用支払先が経費精算等で使われていないか、また追加支払があった取引先について減額の支払申請入力が期限内に行われたかをログと申請書で突合します。
A: 調達用支払先が経費精算等で使われていないか、また追加支払があった取引先について減額の支払申請入力が期限内に行われたかをログと申請書で突合します。
関連キーワード: 内部統制, マスタ登録, 突合処理, 承認ワークフロー, 入力エラー防止
