新会計システムのシステム監査に関する次の記述を読んで,設問1〜6に答えよ。
U社は中堅の総合商社であり,12社の子会社を傘下に置いて事業を運営している。U社グループでは,経理業務の最適化を進めるためにU社グループの経理業務を集中的に行う経理センタを設立するとともに,グループ共通で利用する新会計システムを3か月前に導入した。U社の内部監査部では,新会計システムに関連する運用状況のシステム監査を実施することにした。
〔予備調査の概要〕
予備調査で入手した情報は次のとおりである。
(1)経理センタと新会計システムの概要
①経理センタでは,グループ各社の独自の経理マニュアルを利用しており,各社の経理部門の担当者がそのまま各社担当の担当チーム長とそのスタッフとして配置されている。また,現状の経理業務は手作業が多く,多くの派遣社員が担当している。しかしながら,1年後を目標として,グループ共通の経理マニュアルを策定し,経理業務のタスク別にチームを編成し,経理業務の効率向上を図る予定である。
②新会計システムはパッケージシステムであり,仕訳・決算機能だけでなく,債権・債務管理機能,資金管理機能,経費支払機能が組み込まれている。各社は,仕入・販売・在庫・給与などの独自の業務システムを利用している。これらの業務システムから新会計システムへのインタフェースは,自動インタフェースのほか,業務システムでダウンロードされたCSVファイルの手作業によるアップロード入力(以下,アップロード入力という)や伝票ごとの手作業入力によって行われている。また,経理業務の効率向上の一環として,自動インタフェースを順次拡大させる計画である。
(2)新会計システムへの入力
アップロード入力の場合は,各社の担当チームのスタッフが日次又は月次で新会計システムへアップロード入力を実行すると正式な会計データになる。伝票ごとの手作業入力の場合は,入力者が伝票入力を行った後に,担当チーム長などの承認者が伝票承認入力を行うと正式な会計データになる。承認者は,業務量に応じて複数配置されている。また,新会計システムは,入力者が承認できないよう に設定されている。
(3)新会計システムのアクセス管理
新会計システムでは,現状において次のようにアクセス権限を管理している。
①アクセス権限は,図1のように利用者マスタの利用者IDに対してロール名を設定することで制御される。ロールマスタでは,ロール名ごとに利用可能な会社,当該会社で利用可能な画面・機能などが設定されている。このロールマスタは,各社の担当チーム長のロールマスタ申請書に基づいてU社のシステム部で登録される。また,利用者マスタは,利用者が入力した後,利用者マスタ承認権限のある同じチームの担当チーム長が承認入力を行うことで,登録される。
図1 利用者マスタとロールマスタの関連
②利用者IDのパスワードは,3か月に1度の変更が自動的に要求される。
③派遣社員は個人ごとの利用者IDでなく,同じチームの複数人で一つの利用者IDを共有している(以下,共有IDという)。共有IDのパスワードは,自動的な変更要求の都度,担当チーム長が変更し,各派遣社員に通知している。
(4)その他の事項
その他,新会計システムの機能及び経理業務の手続は,次のとおりである。
①各社は月次決算を行っており,月次決算の完了時には,各社の担当チーム長が月次締め処理を実行する。これによって,当月の会計データの入力はできなくなる。
②経理業務の効率向上に先行して,来月から全ての会社のアップロード入力は,特定の担当者3名で集中的に行う予定である。この担当者の作業漏れを防止するために,各社の担当者が“CSVアップロード一覧表”を作成している。
〔監査手続の検討〕
予備調査に基づき監査担当者が策定した監査手続案,及び内部監査部長のレビューコメントは,表1のとおりである。
項番 | 監查手続案 | 内部監査部長のレビューコメント |
(1) | 利用者IDの権限設定の妥当性を確かめるために,利用者マスタを閲覧し,登録されているロール名の妥当性を確かめる。 |
①利用者マスタの登録手続のコントロールとして,担当チーム長の利用者IDだけに a が付与されているか確かめる必要がある。 ②利用者マスタの閲覧だけでは,利用者IDの権限の妥当性を評価できないので, b の内容についても閲覧する必要がある。 |
(2) | 月次決算完了日後に入力した正式な会計データがないか,月次決算完了日後入力の会計データを抽出する。 |
①新会計システムで c が月次決算完了日に行われていることを確かめれば,会計データから抽出する手続は不要である。 |
〔本調査の結果〕
本調査の結果,監査担当者が発見した事項及び改善案は次のとおりである。
(1) d は,各担当チームのスタッフだけで正式な会計データとすることができるので,不正な会計データの入力を防止する観点から改善が必要である。
(2)伝票ごとの手作業の入力において,承認者の中に伝票入力権限が付与された者がいたので,入力権限を削除すべきである。
(3)共有IDについて,担当チーム長がパスワードを変更すると, e を行うことが可能となるので,改善が必要である。
(4)多くの利用者IDに複数のロール名が登録されていたので, f の観点から,一つの利用者IDに対して同時に登録できないロール名を明確にすべきである。
(5)アップロード入力のCSVファイルは減少する予定なので,“CSVアップロード一覧表”を最新に維持するためには,更新手順を明確にしておく必要がある。
上述の(2)について,内部監査部長は,“当該事項に対応する(ア)新会計システムに組み込まれたコントロールがある”ので追加確認することを指示した。
出典:令和3年度春期 問11
設問1 表1中の a , b 及び c に入れる適切な字句をそれぞれ10字以内で答えよ。
解答・解説
解答例
a:利用者マスタ承認権限
b:ロールマスタ
c:月次締め処理
解説
設問2 〔本調査の結果〕の d に入れる適切な字句を10字以内で答えよ。
解答・解説
解答例
アップロード入力
解説
設問3 〔本調査の結果〕の e に入れる適切な字句を15字以内で答えよ。
解答・解説
解答例
担当チーム長が入力と承認
解説
設問4 〔本調査の結果〕の f に入れる最も適切な字句を解答群の中から選び,記号で答えよ。
- 業務の継続性
- 業務の効率向上
- 作業漏れ防止
- 職務の分離
- ロールの簡素化
解答・解説
解答例
エ
解説
設問5 〔本調査の結果〕の(5)で,CSVファイルは減少する予定があるとした理由を20字以内で答えよ。
解答・解説
解答例
自動インタフェースを拡大させるから
解説
設問6 〔本調査の結果〕の下線(ア)のコントロールは何か。10字以内で答えよ。
解答・解説
解答例
入力者が承認できない
解説
IPA公開情報
出題趣旨
アプリケーションシステムは,システムに組み込まれた機能や利用するユーザの環境によって依拠すべきコントロールが異なり,同一ではない。したがって,システム監査を効果的に実施するためには,システムの機能の違い,ユーザ環境による運用の違いを適切に理解し,これに対応するコントロールを識別し,監査手続を 実施する必要がある。
本問では,新会計システムを題材として,監査で検証すべきコントロール及び監査手続を検討できるかについて問う。
採点講評
問11では,企業グループ共通で利用するために導入した新会計システムを題材に,システムへの入力方法やアクセス権限管理が複数存在する中で,検証すべきコントロールの特定や監査手続の策定について出題した。 全体として正答率は平均的であった。
設問2は,正答率がやや高かった。新会計システムにおいて,アップロード入力されたデータは承認者の承認を経ずに正式な会計データになるという問題点があることは,正しく理解されていることがうかがえた。
設問6は,正答率がやや低かった。新会計システムでは,同一利用者ID(同一人物)に入力と承認の権限が付与されていても,入力者が承認できないという設定があるという本文中の記述に着目し,正答を導き出してほしい。