販売システムの監査に関する次の記述を読んで,設問1〜5に答えよ。
S社は中堅の電子部品メーカである。電子機器メーカなどの得意先に対して,電子部品を製造し,販売している。
S社監査部では,定期的に業務監査を行っているが,これまでITに精通した要員がおらず,業務で利用されている情報システムの監査が十分にはできていなかった。そこで,情報システム部における開発経験が豊富なK氏を監査部に異動させることで,システム監査体制を強化した。今年度,監査部が販売システムの監査を実施するに当たり,監査部長は,①K氏を監査人に任命することに関して,独立性の観点から確認し,監査チームのメンバとして参加させることにした。
監査チームは予備調査を行い,その結果,次のことが分かった。
〔販売業務の概要〕
(1)受注処理
・得意先からの発注データはEDIによって販売システムに取り込まれる。EDIを利用していない得意先からの発注情報は,ファックス又は電子メールで送られてくるので,それに基づいてS社営業部担当者が営業部端末から販売システムに直接受注入力する。
・得意先ごとの受注条件,与信限度額は,営業部担当者の申請に基づき,管理部担当者が,管理部長の承認を受け,販売システムのマスタ管理機能を利用して得意先マスタに登録する。
・得意先マスタに登録されている受注条件,与信限度額の範囲内の発注データは,自動で受注確定されるとともに,物流システムに出荷指図データが送信される。
・事前に登録された,受注条件や与信限度額の範囲を逸脱した発注データは,受注エラーリストに出力され,受注処理が保留される。保留された発注データは,営業部担当者が内容を確認のうえ,保留解除申請を行い,営業課長が販売システム上で承認処理を行うことで受注確定される。
(2)出荷処理
・物流センタでは,出荷予定日になると,物流システムの出荷指図データに基づき,出荷作業を行う。出荷作業が完了すると,物流システムから販売システムに出荷完了データが自動送信される。
・物流システムからの出荷完了データに基づき,販売システムで販売データが作成される。
(3)売上計上処理
・販売データは,会計システムに日次バッチ処理で自動送信され出荷基準に基づいて売上計上される。会計システムからは,得意先別の売上金額などが記載された得意先元帳を出力することができる。
・営業部担当者は,販売システムから得意先別販売リストを毎月出力し,内容を確認した後,営業課長に報告を行っている。
〔システムの概要〕
・S社の販売業務に関連するシステムは,販売システム,物流システム,会計システムである。各システムの関係及びデータの流れは,図1のとおりである。
・販売システムと物流システムは,外部システムベンダに開発委託したシステムである。会計システムは,ソフトウェアパッケージをそのまま使用しており,販売システムからのインタフェース部分を除き,特に独自機能の追加などは行っていない。
図1 販売業務関連システムの関係及びデータの流れ
監査チームは,予備調査の結果に基づき,販売システムに関する監査手続を,表1のとおりまとめた。
項番 | 処理 | 機能 | 監査手続 |
1 | 受注処理 | 得意先マスタに受注条件や与信限度額が事前に登録される。 | 得意先マスタへの登録手続に関して,得意先マスタへの登録時に a があることを確かめる。 |
得意先マスタへのアクセス権限管理に関して,営業部担当者に得意先マスタの b ことを確かめる。 | |||
事前に登録された受注条件や与信限度額の範囲を逸脱した発注データは,受注エラーリストに出力される。 | 発注データのチェックに関して,②受注条件や与信限度額の範囲を逸脱した架空の発注データを監査人が作成し,営業部端末から販売システムに入力して,受注エラーリストに出力されることを確かめる。 | ||
受注エラーリストに出力された取引は,営業課長が承認処理を行うこと受注確定される。 | 受注処理の権限管理に関して,承認処理」を行う営業課長には c ことをで確かめる。 | ||
2 | 出荷処理 | 物流システムから販売システムに出荷完了データが自動送信される。 | 物流システムと販売システムのインタフェースに関して,物流システムの出荷完了データ件数と販売システムの出荷完了データ件数が一致することを確かめる。 |
3 | 売上計上処理 | 販売システムから会計システムには販売データが日次バッチ処理で自動送信される。 | 販売システムと会計システムのインタフェースに関して,③得意先別販売リストの販売金額と得意先元帳の売上金額が一致することを確かめる。 |
K氏は,売上計上処理の監査手続の前提として,得意先別販売リストの販売金額が適切に出力されていることを確かめるために,次の監査手続の追加を提案した。
・販売システムに取り込まれた d を集計し,得意先別販売リストの販売金額と一致することを確かめる。
出典:令和2年度秋期 問11
設問1 本文中の下線①について,監査部長が確認したと考えられる事項を,30字以内で具体的に述べよ。
解答・解説
解答例
・販売システムの担当から離れて一定期間経過していること
・販売システムの開発・保守業務に対する関与度合い
解説
設問2 受注処理における監査対象の機能に関する監査手続について,表1中の a , b , c に入れる適切な字句を,それぞれ10字以内で答えよ。
解答・解説
解答例
a:管理部長の承認記録
b:登録権限がない 又は 更新権限がない
c:受注入力権限がない
解説
設問3 表1中の下線②について,この監査手続を実施する場合,監査人は業務への影響について,どのような点に留意しなければならないか。35字以内で述べよ。
解答・解説
解答例
監査人が作成した発注データが受注確定されてしまわないこと
解説
設問4 表1中の下線③について,このような監査手続を何というか。最も適切な字句を,解答群の中から選び,記号で答えよ。
解答群
- インタビュー法
- チェックリスト法
- 突合・照合法
- ペネトレーションテスト法
解答・解説
解答例
ウ
解説
設問5 本文中の d に入れる適切な字句は何か。本文中から選び,10字以内で答えよ。
解答・解説
解答例
出荷完了データ
解説
IPA公開情報
出題趣旨
アプリケーションシステムの監査においては,関連するシステムとの関係やデータの流れを理解して,監査 手続を立案する必要がある。
本問では,販売システムの監査を題材に,当該システムの特質を踏まえてシステム監査手続を実施するため の基礎知識,及び IT 業務処理統制に関する具体的な監査手続を立案する能力を問う。
採点講評
問 11 では,販売業務で利用される情報システムを題材に,システム監査人の独立性,リスク評価,監査手続について出題した。全体として正答率は平均的であった。
設問 2 の b は,正答率が低かった。具体的なアクセス権限の内容まで記述することを期待したが,単に“アクセス権”としか記述していない解答が多かった。ひと言で“アクセス権”と言っても,参照権限と更新権限とでは想定されるリスクが大きく異なることを理解して解答してほしかった。
設問 2 の c は,承認者が受注入力できる場合,承認者自ら入力して承認までできてしまうというリスクがあることに気付けば,解答を導き出せたはずである。
設問 5 は,正答率がやや低かった。得意先別販売リストの販売金額の適切性を確かめるためには,受注確定だけでなく,業務及びデータの流れから出荷完了したデータを集計する必要があることに気付いてほしかった。