販売物流システムの監査に関する次の記述を読んで,設問1〜4に答えよ。
食品製造販売会社であるU社は,全国に10か所の製品出荷用の倉庫があり,複数の物流会社に倉庫業務を委託している。U社では,健康食品などの個人顧客向けの通信販売が拡大していることから,倉庫業務におけるデータの信頼性の確保が求められている。
そこで,U社の内部監査室では,主として販売物流システムに係るコントロールの運用状況についてシステム監査を実施することにした。
〔予備調査の概要〕
U社の販売物流システムについて,予備調査で入手した情報は次のとおりである。
(1)販売物流システムの概要
①販売物流システムは,顧客からの受注情報の管理,倉庫への出荷指図,売上・請求管理,在庫管理,及び顧客属性などの顧客情報管理の機能を有している。
②物流会社は,会社ごとに独自の倉庫システム(以下,外部倉庫システムという)を導入し,倉庫業務を行っている。外部倉庫システムは,物流会社や倉庫の規模などによって,システムや通信の品質・性能・機能などに大きな違いがある。したがって,販売物流システムと外部倉庫システムとの送受信の頻度などは必要最小限としている。
③販売物流システムのバッチ処理は,ジョブ運用管理システムで自動実行され,実行結果はログとして保存される。
④販売物流システムでは,責任者の承認を受けたID申請書に基づいて登録された利用者IDごとに入力・照会などのアクセス権が付与されている。また,利用者IDのパスワードは,セキュリティ規程に準拠して設定されている。
⑤倉庫残高データは,日次の出荷作業後に外部倉庫システムから販売物流システムに送信されている。倉庫残高データは,倉庫ごとの当日作業終了後の品目別の在庫残高数量を表したものである。当初はこの倉庫残高データを利用して受注データの出荷可否の判定を行っていた。しかし,2年前から販売物流システムの在庫データに基づいて出荷判定が可能となったので,現状の倉庫残高データは製品の実地棚卸などで利用されているだけである。
(2)販売物流システムの処理プロセスの概要
販売物流システムの処理プロセスの概要は,図1のとおりである。
図1 販売物流システムの処理プロセスの概要
①顧客からの受注データは,自動で在庫データと照合される。その結果,出荷可能と判定されると受注分の在庫データが引当てされ,出荷指図データが生成される。出荷指図データには,出荷・納品に必要な顧客名,住所,納品情報などが含まれている。
②出荷指図データは,販売物流システムから外部倉庫システムに送信される。送信処理が完了した販売物流システムの出荷指図データには,送信完了フラグが設定される。
③データの送受信を必要最小限とするために販売物流システムは出荷実績データを受信せず,出荷指図データに基づいて,日次バッチ処理で売上データの生成及び在庫データの更新を行っている。
④出荷間違い,単価変更などの売上の訂正・追加・削除は,売上訂正処理として行われる。この売上訂正処理では,売上データを生成するための元データがなくても入力が可能である。現状では,売上訂正処理権限は,営業担当者に付与されている。
〔監査手続の検討〕
システム監査担当者は,予備調査に基づき,表1のとおり監査手続を策定した。
項番 | 監査要点 | 監查手続 |
1 | 利用者IDに設定されてい権限とパスワードが適切に管理されているか | ①利用者IDに設定されている権限が申請どおりであるか確かめる。 ②利用者IDのパスワード設定がセキュリティ規程と一致しているか確かめる。 |
2 | 顧客情報が適切に保護されているか。 | ①販売物流システムの顧客情報の参照・コピーなどについて,利用者及び利用権限が適切に制限されているか確かめる。 |
3 | 出荷指図に基づき倉庫で適切に出荷されているか。 | ①1か月分の出荷指図データと売上データが一致しているか確かめる。 |
4 | 倉庫の出荷作業結果に基づき売上データが適切に生成されているか。 | ①売上データ生成の日次バッチ処理がジョブ運用管理システムに正確に登録され,適切に実行されているか確かめる。 |
内部監査室長は,表1をレビューし,次のとおりシステム監査担当者に指摘した。
(1)項番1の①について,権限の妥当性についても確かめるべきである。特に売上訂正処理は,日次バッチ処理による売上データ生成とは異なり, a がなくても可能なので,不正のリスクが高い。このリスクに対して①現状の運用では対応できない可能性があるので,運用の妥当性について本調査で確認する必要がある。
(2)項番2の監査要点を確かめるためには,販売物流システムだけを監査対象とすることでは不十分である。 b についても監査対象とするかどうかを検討すべきである。
(3)項番3の①の監査手続では,出荷指図データどおりに出荷されていることを確かめることにならない。また,この監査手続は,倉庫の出荷作業手続が適切でなくても c と d が一致する場合があるので,コントロールの運用状況を評価する追加の監査手続を策定すべきである。
(4)項番4の①の監査手続は, e と f が一致していることを前提とした監査手続となっている。したがって,項番4の監査要点を確かめるためには,項番4の①の監査手続に加えて,販売物流システム内のデータのうち, g と h を照合するコントロールが整備され,有効に運用されているか,本調査で確認すべきである。
出典:令和4年度春期 問11
設問1 〔監査手続の検討〕の a , b に入れる適切な字句をそれぞれ10字以内で答えよ。
解答・解説
解答例
a:出荷指図データ
b:外部倉庫システム
解説
設問2 〔監査手続の検討〕の(1)において,内部監査室長が下線①と指摘した理由を25字以内で述べよ。
解答・解説
解答例
営業担当者に売上訂正処理権限があるから
解説
設問3 〔監査手続の検討〕の c , d に入れる適切な字句をそれぞれ10字以内で答えよ。
解答・解説
解答例
c:出荷指図データ
d:売上データ
解説
設問4 〔監査手続の検討〕の e 〜 h に入れる最も適切な字句を解答群の中から選び,記号で答えよ。
解答群
- ID申請書
- 売上訂正処理
- 売上データ
- 在庫データ
- 受注データ
- 出荷指図データ
- 出荷実績データ
- 倉庫残高データ
- 利用者IDの権限
解答・解説
解答例
e:カ f:キ g:ク h:エ
解説
IPA公開情報
出題趣旨
業務が外部委託されている場合,理想的な IT に関する業務プロセス及びコントロールを実現できない場合が ある。そこで,システム監査人は,IT に関するリスク及びそのコントロールを踏まえて,業務プロセスとその処理機能を適切に理解し,監査手続を実施することが求められる。
本問では,販売物流システムを題材として,監査で検証すべきコントロール及びその監査手続を検討する能力を問う。
採点講評
問 11 では,販売物流システムを題材に,外部委託先を含めた業務プロセスを理解した上で,監査で確かめるべきコントロール,監査要点に対応する監査手続について出題した。全体として正答率は平均的であった。
設問 2 は,正答率が低かった。現状プロセスにおける不正リスクは理解されていることがうかがえたものの,監査手続を策定する場合には,監査要点を適切に理解した上で,監査要点に対応した不正リスクを特定して正答を導き出してほしい。
設問 4 は,正答率が平均的であった。外部倉庫システムから出荷実績データを入手できない場合に,策定された監査手続がどのような前提を踏まえたものであるかについては,正しく理解されていることがうかがえた。その前提条件の信頼性を補完する追加の監査手続については,出荷と在庫との整合性を理解し,正答を導き出すことを心掛けてほしい。