CAATs事例:職務分掌

yagi01_edited.jpg

執筆者 八木基次

執行役員

■国際認定CAATs技術者(ICCP)

■公認情報システム監査人(CISA)

大手監査法人において、IT戦略・計画策定支援、内部監査支援、財務諸表・内部統制監査の一環としてのIT監査等に従事。2019年より三恵ビジネスコンサルティング株式会社に入社。現在CAATs導入支援、業務改善支援等に従事。

販売プロセスにおける職務分掌を対象にCAATsを利用したデータ分析の事例を紹介したいと思います。

ある会社で、受注担当は営業事務部門、出荷担当は物流倉庫部門とする販売プロセスの職務分掌を定めていました。

その中で、基幹システムの権限管理において、ユーザーIDはIT部門で登録しているものの、ユーザーIDへの権限付与は現場部門で実施している等が検出されたことから、販売プロセスにおける職務分掌の基準・ルールに合致しない基幹システムの利用、つまり受注担当と出荷担当の職務分掌が徹底されず、同一ユーザーによって、受注と出荷の入力が行われた取引が存在している可能性が懸念されました。

この可能性に対応する手続として、同一ユーザーによって受注と出荷の入力が行われた取引(基準・ルールに合致しない取引)が発生しているか否かについて、リスクの識別とCAATsツール(ACL)を利用したデータ分析による検証手続を以下の通り実施しました。

<リスクの識別>

同一担当者による受注および出荷の登録が可能なことから、架空の売上計上が行われるリスクを識別しました。

<関連するシステムやデータの現状>

データ分析による検証手続の立案段階で、以下の通り、基幹システムにおける受注登録や出荷登録を行ったユーザーIDの保持などの現状を把握しました。

・ 受注登録を行ったユーザーIDが、受注明細データの登録ユーザーに保持されている。

・ 出荷登録を行ったユーザーIDが、出荷明細データの登録ユーザーに保持されている。

・ 出荷明細データには、受注明細データを一意に特定できる「受注番号」が保持されている。

・ 受注番号、出荷番号はシステム自動採番による連番で付与されている。

<CAATsツール(ACL)利用のデータ分析>

基幹システムに関する現状把握に基づき、同一ユーザーによって受注と出荷の入力が行われた取引のデータ分析について、以下のような手続を立案し、実施しました。

事例1-1.jpg

〔1〕

受注明細データの「受注番号」に重複がないこと、出荷明細データの「出荷番号」に重複がないことをチェック

重複(DUPULICATES)コマンドを利用

受注明細および出荷明細の両データともに、二重登録されていないことを検証するために当該チェックを行います。

〔2〕

受注明細データと出荷明細データの「受注番号」をキーとしたデータ結合

結合(JOIN)コマンドを利用

⇔ 受注明細データの「受注番号」と同じ「受注番号」を保持する出荷明細データを結合して、「受注登録ユーザー」と「出荷登録ユーザー」を取得する

〔3〕

受注登録ユーザーと出荷登録ユーザーが同じユーザーであるデータを識別して、抽出する

結合により作成された受注・出荷データについて、受注登録ユーザーと出荷登録ユーザーが同一であるデータにフラグ(”●”)を付与する

演算フィールド作成(DEFINE FIELD )コマンドを利用

上記のフラグ(”●”)が存在するデータを抽出する

抽出(EXTRACT)コマンドを利用(IF条件付き)

上記により、”同一ユーザーによって受注登録と出荷登録が行われている受注・出荷データ”を基準・ルールに合致しないデータとして抽出しました。

この抽出結果から、同一ユーザーによって受注と出荷の入力が行われた取引(得意先、担当営業部門等)、および受注登録と出荷登録の両方を実施したユーザーを特定することができ、追加手続を実施したところ、ある得意先を担当する営業担当者からの指示に従って、受注事務担当者が架空の受注案件の登録とこれに対する出荷登録を実施し、売上計上されるに至っていた取引が数件存在していることが判明しました。

やはり、職務分掌をはじめ、会社が定めた基準・ルールに合致しない取引には、何かしらのリスクが潜んでいると考えさせられました。

【まとめ】

このようなCAATsを利用したデータ分析により、基準・ルールに合致しない取引を正確に漏れなく検出して、手続の効率化を実現することができます。

いま一度、皆様各社での基準・ルールの遵守状況やシステムの利用状況で気になるところがあれば、CAATsを利用したデータ分析をご検討いただければと思います。