2019年 秋期 応用情報技術者試験 問11
購買業務のシステム監査
製造業のX社は,社員が製造・生産管理業務に集中できるように,それ以外の業務については外部委託を積極的に利用している。X社では,外部委託を促進するために,今期,購買の見積りから購買実績までを管理できる購買管理システムを導入した。そこで,X社の内部監査部では,購買業務で利用されるシステムの運用・保守についてシステム監査を実施することにした。
[予備調査の概要]
内部監査部が予備調査で入手した情報は,次のとおりである。
(1) 購買業務で利用されるシステムの概要
購買業務では,見積りから購買実績データ生成までを行う購買管理システムと,購買実績に基づく債務データ生成から支払処理までを行う会計システムが利用されている。
① 購買管理システムでは,案件の見積依頼,案件の予算額,取引先の見積額,購買注文確定明細,購買実績明細,案件の進捗履歴,入力・承認履歴などが管理されている。
② 購買管理システム及び会計システムには,ともに,責任を明確化し,職務分離を維持できるように,利用者ごとに入力・照会権限及び承認金額の上限を設定できる利用者権限の設定機能がある。
③ 購買管理システムで生成された購買実績データは,日次バッチのインタフェース処理で会計システムに引き継がれ,債務データ及び仕訳データが自動生成されている。この結果,従来は手作業で行っていた処理について全件完了したかどうかの確認などのチェック機能が,インタフェース処理に組み込まれた。
④ 会計システムでは,債務データに基づいて自動で支払処理が実行されている。また,支払遅延を避けるために,購買管理システムを経由せずに,会計システムの債務データに直接追加・修正入力を行うこともある。
(2) 購買管理システムの保守及びジョブ監視の概要
① 保守については職務分離を考慮して,修正作業は情報システム部の開発課の担当者が開発手順に従って実施し,開発課の責任者が移行承認を行う。本番環境への移行作業は,運用課の移行担当者が実施している。移行担当者は,開発課の担当者が作成した移行作業表に記載されている"修正内容,テスト結果,保守実施者,移行承認者"の妥当性を確認し,移行担当者名を記載して本番移行を行っている。
なお,開発課の担当者と移行担当者の本番環境へのアクセス権は,同じである。また,開発課の担当者及び移行担当者が本番環境にアクセスした操作ログは,全て保存されている。
② X社は,ハードウェア,OS,DBMSなどの保守及びジョブ監視を,大手ITベンダのY社に委託している。Y社は,以前から,X社へのハードウェアの販売・設置業務などの受託実績がある。これらY社との取引条件も購買管理システムの管理対象である。
③ Y社は,ジョブ監視(インタフェース処理を含む)などの運用業務をリモートで行っている。このため,Y社は,OS,DBMSなどの特権的アクセス権をもっている。ジョブ監視で発見された障害は,その都度,Y社から開発課の購買管理システムの担当者に電子メールで通知され,受信した担当者は対応結果を含めて障害対応管理表に記録している。また,ジョブの開始・終了,障害内容などのジョブ監視結果は,翌朝,Y社から開発課の担当者に電子メールで通知される。
[監査計画]
予備調査の結果に基づいて,内部監査部の担当者(以下,監査担当者という)は,購買業務に関するリスク評価を実施し,その結果を踏まえて購買業務で利用されているシステムの監査手続を策定した。
(1) 監査担当者が実施したリスク評価の結果は,次のとおりである。
① 購買管理システムの保守において,テスト,移行承認などを適切に実施せずに本番稼働した場合,購買管理システムの品質を維持できないリスクがある。
② 購買実績データの会計システムへのインタフェース処理が,正常に行われない場合,債務データが信頼できなくなるリスクがある。
③ 購買管理システムの利用者が会計システムの支払処理に影響する入力業務を兼務できた場合,購買業務に関して不正が発生するリスクがある。
④ Y社は,X社へのハードウェアの販売・設置業務の受託などと長年の実績もあり,不正を働くリスクはほとんどないので,対応する監査手続を策定しない。
(2) 監査担当者は,(1)のリスク評価の結果に基づいて,表1の監査手続を策定した。
| 項番 | 監査項目 | 監査手続 |
|---|---|---|
| 1 | 会計システムへのインタフェース処理は,適切に処理されているか。 | ・インタフェース処理機能の適切性を検証するために,a分の購買実績を入手し,再計算して,会計システムの仕訳データと一致しているかどうかを確かめる。 ・インタフェース処理に異常が発生していないかどうか,当期中のbを確かめる。さらに,障害が発見された場合はcと照合し,対応に漏れがないかどうかを確かめる。 |
| 2 | 購買業務に関連する利用者の職務分離は適切か。 | ・購買管理システムの利用者権限の登録・変更・削除に関して,必要な申請・承認が行われているかどうかを確かめる。 ・購買管理システムの利用者の職務分離が確保されているかどうか,購買管理システムの権限設定を確かめる。 |
| 3 | 本番移行は移行担当者だけが実施しているか。 | ・移行作業表を閲覧し,移行担当者が本番移行を実施しているかどうかを確かめる。 |
(3) 内部監査部長のレビュー結果
内部監査部長は,監査担当者によるリスク評価の結果及び監査手続をレビューし,次のように指摘した。
指摘① 【監査計画】の(1)④について,"Y社が自社とビジネスを有利に導くために,購買管理システムで管理されているdを不正に入手する"ことが考えられるので,再検討すべきである。
指摘② 表1の項番2について,購買管理システムの利用者の職務分離に関する監査手続だけでは,監査項目を確かめるには不十分である。
指摘③ 表1の項番3の監査手続だけでは,開発課の担当者がeしたことを検出できないので,本番移行のログを確かめる監査手続も実施すべきである。