応用情報技術者試験 過去問 2011年(平成23年) 秋期 午後 問12

購買業務の監査

R社は、電子機器の製造・販売を営む大手企業である。消耗品、ノベルティ用品、PCなどの間接材の購買業務(以下、購買業務という)の費用削減と内部統制の充実のために、最近、購買ワークフローシステム(以下、購買システムという)を導入し、従来各部門で行われていた発注を本社の購買課に集中するよう購買業務プロセスを変更した。

R社の購買業務の手続は、購買規程で定められている。購買規程には、申請金額によって最終承認者が異なること、実際の購入金額が承認された申請金額を超える場合、購買の再申請・再承認が必要であることなどが記載されている。

R社の内部監査部は、新しい購買業務プロセスの設計・運用が適切に実施されているかどうかを確認するために、内部監査部のS君をリーダにして、購買システムの業務処理統制を含めた購買業務の監査を行った。

新しい購買業務プロセスの概要

R社の新しい購買業務プロセスは、次のとおりである。

  1. 取引先審査
    新規取引先については、購買課長が、取引先の信用調査などをして承認する。
  2. 取引先登録
    購買課の取引先審査で承認を受けた後、経理課担当者が、取引先の会社名・銀行口座・支払条件などの情報を取引先マスタに仮入力する。経理課長が承認すると、仮入力した情報が取引先マスタに反映される。
  3. 購買の申請
    物品の購買を希望する申請部署は、購買課に依頼し、登録取引先から見積書を取った後、購買システムに取引先、物品、数量、単価、希望納期などの情報を入力し、購買を申請する。購買の申請は、申請者の直属上司が購買システムで承認する。申請金額が直属上司の承認権限を超えている場合は、申請金額に応じた承認者が自動的に追加される。
  4. 発注
    承認者が購買の申請を承認した後、購買課は購買の申請とaを照合し、間違いがないかどうかを確認する。間違いがあれば申請者に差し戻す。間違いがなければ、購買システムから発注書を出力した後、取引先にファックスで発注書を送付するとともに、写しを申請部署と経理課に送る。
  5. 物品の検収
    申請部署は、取引先から物品が届くと、b(写し)の内容と照合して届いた物品を検収する。申請部署が検収した数量を購買システムに入力すると、検収した内容が記載された検収書が作成される。検収書を取引先に送るとともに、写しを経理課に送る。取引先の都合などで分納されることもあり、数量が合わないこともあるので、購買システムは数量のチェックをしない。数量以外の情報の変更や追加入力はできない。
  6. 請求書の検証
    取引先からの請求書は、発注した物品が全て納入された後に、経理課に届く。経理課は請求書、b(写し)及びc(写し)を確認し、購買システム上の取引先、物品、単価、数量などの情報をチェックする。単価や数量の増加によって請求書に記載された購入金額が増えている場合は、申請部署に差し戻し、購買の再申請・再承認を指示する。その他の場合は、購買システム上の該当データの支払ステータスを支払可に変更する。ステータスを支払可に変更されたデータは、夜間バッチ処理で会計システムに送られる。
  7. 支払
    資金課では、会計システムに送られた支払可のデータを確認し、取引先に物品の代金を振り込む。

購買システムのアクセス権管理

業務上の必要性から、システム課長と、購買システムを担当するシステム課の2人の合計3人の社員が、購買システムに、高いレベルのアクセス権をもつアカウント(以下、特権アカウントという)をもっている。システム課長は、特権アカウントをもったユーザリストとアクセスログを、購買システムから四半期ごとに出力し、アクセス権が適切に付与されているかどうか、アカウントが適切に使用されているかどうかを確認している。なお、特権アカウントの新規登録、変更、削除については、システム課長の承認を必要としている。

システム間データ転送

購買システムと会計システムとの間のデータのやり取りは、一連の夜間バッチ処理の中で、ファイル転送によって行われている。両システムの文字コードが異なるので、ファイル転送プログラムのオプション機能を使用し、ファイル転送と同時に文字コード変換も行っている。変換できない文字があれば、該当レコードは破棄される。システム課では、夜間バッチ処理について、個々のジョブが開始され、正常に終了していることを、夜間バッチコントロールシステムを使って毎日モニタリングしている。

購買業務の監査結果

監査リーダのS君は、監査で判明した購買業務の問題点をまとめ、内部監査部長に報告した。

  1. 最近、経理課は、データを集計した際、会計システムのデータの合計金額が購買システムのデータの合計金額と異なっているという異常が起きていたことに気付いた。夜間バッチ処理の該当ジョブの開始・終了は正常なので、ファイル転送の異常について経理課から指摘があるまでシステム課は気付かなかった。
    再発防止のために、夜間バッチ処理のジョブの開始・終了をチェックするだけでなく、ファイル転送の誤りがなかったかどうかをチェックするべきである。
  2. 申請部署が取引先に対して日頃発注を行うことが原因で、承認量を超える数量の物品が検収され、購入金額が承認された申請金額を超過するという事象が、請求書の検証時に多く発生していることが分かった。
    日頃発注は禁止であるが旨の申請部署への周知徹底と併せて、請求書の検証の前にこのような①金額超過を防止するシステム機能を追加すべきである
  3. 購買業務に関するR社の職務分離方針は次のとおりとなっている。
    ・購買に関する各業務を兼任することはできない。ただし、次の業務は例外とする。
    a) 発注を行う部署は、取引先審査と取引先登録の業務を兼任できる。
    b) 購買の申請を行う部署は、物品の検収の業務を兼任できる。
    これに準拠せず、例外とした業務以外にも兼任している業務があることが分かった。
    このような業務のうちで、他部署に移管できる業務は移管し、不適切な兼任を解消すべきである。

S君の報告を受けた内部監査部長は、S君の報告に加え、現状の購買システムのアクセス権管理では、②不正を発見できないおそれがあると指摘した。

出典:平成23年度 秋期 応用情報技術者試験 午後Ⅰ 問12