AP試験H29午後問11(システム監査)の問題が難しかったのでメモ。
営業担当、営業事務担当、営業所長、本社営業部長の4種類の担当者が、受発注ならびに物流管理のシステムにアクセスする際のリスクをコントロールするというシナリオ。
※システム監査は国語の問題だと思っていたが、監査の前提となる知識が無いと解けない問題になっており意外だった。
問題の解き方のコツ
システム名(受注管理、発注管理、物流管理)、担当者(営業担当、営業事務担当、営業所長、本部営業部長)、帳票(発注書、受領書、注文書、仮受注仕様書)などの情報が密接に関わっており問題本文を一読するだけで業務フローが見えにくい。
受注管理は△、発注管理は●、といった具合に記号を付与しながら読み込み後で必要な記述を見つけ出せるようにすること。
入力者と承認者の分離と職務分掌
データを入力する人とそれを承認する人が同じ人物だと、一人の人間により架空の受発注が可能になるリスクのコントロールができない、という視点がないと、この問題を正確に解釈することができない。
入力者と承認者の分離をして職務分掌を行うという視点があれば、受注仕様書の入力と受注表の承認入力が可能な営業所長の立場にリスクがあるという判断ができる。
この部分が見えなければ、このシステム監査の問題を解くのは不可能。
4問以上すなわち50%以上ロストする。
システム監査の問題は国語の問題だと思っていたが、知らないと解けない記憶の問題なのだ。
その他、個人的なまとめ
・営業所長が架空の受発注ができるとして、このJ社にどんな不利益が出るリスクがあるだろうか?(100万円以上の取引は本社営業部長の承認が必要という意味では、取引単位レベルではリスクのコントロールが出来ている気がしないでもない)
・営業所長が悪さをする可能性という視点が、問題を問いている私にはなかった。中小企業でシステム開発をする時、職務権限が低い人のアクセス権限に注意が行くけど、大企業というか業種によっては、職務の権限が高い人の故意の事件の方が、会社にとっては大きなリスクになる。
・2人以上の偉い人が結託して行う犯罪リスク対して、システム監査人はどのように立ち向かえばいいんですっけ?などとふと思った。
コメント