2021年 春期 応用情報技術者試験 問11
新会計システムのシステム監査
U 社は中堅の総合商社であり,12 社の子会社を傘下に置いて事業を運営している。
U 社グループでは,経理業務の最適化を進めるために U 社グループの経理業務を集中的に行う経理センタを設立するとともに,グループ共通で利用する新会計システムを 3 か月前に導入した。U 社の内部監査部では,新会計システムに関連する運用状況のシステム監査を実施することにした。
[予備調査の概要]
予備調査で入手した情報は次のとおりである。
(1) 経理センタと新会計システムの概要
① 経理センタでは,グループ各社の独自の経理マニュアルを利用しており,各社の経理部門の担当者がそのまま各社担当の担当チーム長とそのスタッフとして配置されている。また,現状の経理業務は手作業が多く,多くの派遣社員が担当している。しかしながら,1 年後を目標として,グループ共通の経理マニュアルを策定し,経理業務のタスク別にチームを編成し,経理業務の効率向上を図る予定である。
② 新会計システムはパッケージシステムであり,仕訳・決算機能だけでなく,債権・債務管理機能,資金管理機能,経費支払機能が組み込まれている。各社は,仕入・販売・在庫・給与などの独自の業務システムを利用している。これらの業務システムから新会計システムへのインタフェースは,自動インタフェースのほか,業務システムでダウンロードされた CSV ファイルの手作業による アップロード入力(以下,アップロード入力という)や伝票ごとの手作業入力によって行われている。また,経理業務の効率向上の一環として,自動インタフェースを順次拡大させる計画である。
(2) 新会計システムへの入力
アップロード入力の場合は,各社の担当チームのスタッフが日次又は月次で新会計システムへアップロード入力を実行すると正式な会計データになる。伝票ごとの手作業入力の場合は,入力者が伝票入力を行った後に,担当チーム長などの承認者が伝票承認入力を行うと正式な会計データになる。承認者は,業務量に応じて複数配置されている。また,新会計システムは,入力者が承認できないように設定されている。
(3) 新会計システムのアクセス管理
新会計システムでは,現状において次のようにアクセス権限を管理している。
① アクセス権限は,図 1 のように利用者マスタの利用者 ID に対してロール名を設定することで制御される。ロールマスタでは,ロール名ごとに利用可能な会社,当該会社で利用可能な画面・機能などが設定されている。このロールマスタは,各社の担当チーム長のロールマスタ申請書に基づいて U 社のシステム部で登録される。また,利用者マスタは,利用者が入力した後,利用者マスタ承認権限のある同じチームの担当チーム長が承認入力を行うことで,登録される。
② 利用者 ID のパスワードは,3 か月に 1 度の変更が自動的に要求される。
③ 派遣社員は個人ごとの利用者 ID でなく,同じチームの複数人で一つの利用者 ID を共有している(以下,共有 ID という)。共有 ID のパスワードは,自動的な変更要求の都度,担当チーム長が変更し,各派遣社員に通知している。
(4) その他の事項
その他,新会計システムの機能及び経理業務の手続は,次のとおりである。
① 各社は月次決算を行っており,月次決算の完了時には,各社の担当チーム長が月次締め処理を実行する。これによって,当月の会計データの入力はできなくなる。
② 経理業務の効率向上に先行して,来月から全ての会社のアップロード入力は,特定の担当者 3 名で集中的に行う予定である。この担当者の作業漏れを防止するために,各社の担当者が"CSV アップロード一覧表"を作成している。
[監査手続の検討]
予備調査に基づき監査担当者が策定した監査手続案,及び内部監査部長のレビューコメントは,表 1 のとおりである。
| 項番 | 監査手続案 | 内部監査部長のレビューコメント |
|---|---|---|
| (1) | 利用者 ID の権限設定の妥当性を確かめるために,利用者マスタを閲覧し,登録されているロール名の妥当性を確かめる。 | ① 利用者マスタの登録手続のコントロールとして,担当チーム長の利用者 ID だけにaが付与されているか確かめる必要がある。 ② 利用者マスタの閲覧だけでは,利用者 ID の権限の妥当性を評価できないので,bの内容についても閲覧する必要がある。 |
| (2) | 月次決算完了後に入力した正式な会計データがないか,月次決算完了後入力の会計データを抽出する。 | ① 新会計システムでcが月次決算完了日に行われていることを確かめれば,会計データから抽出する手続は不要である。 |
[本調査の結果]
本調査の結果,監査担当者が発見した事項及び改善案は次のとおりである。
(1) dは,各担当チームのスタッフだけで正式な会計データとすることができるので,不正な会計データの入力を防止する観点から改善が必要である。
(2) 伝票ごとの手作業の入力において,承認者の中に伝票入力権限が付与された者がいたので,入力権限を削除すべきである。
(3) 共有 ID について,担当チーム長がパスワードを変更すると,eを行うことが可能となるので,改善が必要である。
(4) 多くの利用者 ID に複数のロール名が登録されていたので,fの観点から,一つの利用者 ID に対して同時に登録できないロール名を明確にすべきである。
(5) アップロード入力の CSV ファイルは減少する予定なので,"CSV アップロード一覧表"を最新に維持するためには,更新手順を明確にしておく必要がある。
上述の(2)について,内部監査部長は,"当該事項に対応する(ア)新会計システムに組み込まれたコントロールがある"ので追加確認することを指示した。