---------------------------------------------------------------------
(要旨)
---------------------------------------------------------------------
当社は大手仮想ショッピングモールのシステムを利用
して、ワインの通信販売を行っている。そして、そのシ
ステムから入手した受注データを当社のシステムで処理
して、在庫管理や決算データの作成を行っている。
このようなシステムにおいては、以下のようなリスク
が想定される。
・受発注データの亡失・改ざん・消滅
・当社システム内でのデータの改ざん・誤処理
これらのリスクを低減させるためには、セキュリティ
の確保やデータの確認の徹底などのコントロールが必要
とされる。
このようなシステムを監査する場合、通常の書類等の
調査の他に、以下のような監査手続が必要となる。
・データの送受信記録の調査
・データ改ざんの有無を調べるための監査証跡の入手
(375字ライン)
---------------------------------------------------------------------
(設問ア)
---------------------------------------------------------------------
1.当社の業務と情報システムの概要
---------------------------------------------------------------------
当社は高知市で酒類卸・小売業を営む、年商5億円、
資本金1千万円の株式会社である。従来は市内の酒販店
への卸売、料飲店への納入、直営店舗による小売販売が
主であったが、2年前よりインターネットを利用した、
ワインの通信販売を開始した。
通信販売のためのサイトは大手仮想ショッピングモー
ル「R市場」のシステムを利用し、R市場から受信した
データを当社の販売会計システムで処理している。本シ
ステムの概要とデータの流れは以下の通りである。
1)R市場からのデータ受信
顧客からの受注データは、その概要がR市場から当社
へ電子メールで送信される。更に当社からR市場にアク
セスして、受注データを第1正規形のCSVファイルと
して受信する。また、受注データはいつでもR市場に接
続し、ブラウザで確認することができる。
2)当社システムにおけるデータ処理
R市場の受注データを当社システムにおいて日次処理
し、売上計上、在庫管理等を行う。このデータと、後述
する仕入データを合わせ、月次処理によって月末決算の、
年次処理によって年度末決算のデータを出力する。
3)発注処理
上述の当社システムによる在庫管理によって発注の必
要が生じた商品については、自動的に発注書が作成され
る。発注書は通常プリンタ出力され、社印押捺後ファク
シミリ送信される。数社の仕入先に対しては、発注デー
タが電子メールで送信されるが、オンライン自動発注シ
ステムではなく、内容を確認後手動で送信している。発
注データは仕入データとして記録され、月次及び年次決
算データ作成や在庫管理のために使用される。
(750字ライン)
---------------------------------------------------------------------
(設問イ)
---------------------------------------------------------------------
2.電子商取引の導入に伴うリスクとそのコントロール
---------------------------------------------------------------------
当システムでは顧客からのインターネット経由による
受注と、一部仕入先への電子メールによる発注データ送
信が電子商取引に該当する。また、これらのデータを当
社システムで処理する際のコントロールも重要になる。
以下に、これらの処理に伴って生ずるリスクと、そのリ
スクを低減させるためのコントロールについて述べる。
----
2.1.R市場からのデータ受信
----
顧客がR市場のサイトで発注をしてから、そのデータ
が当社に届くまでに考えられるリスクには、以下のよう
なものが想定される。
1)データの亡失・改ざん等
顧客が入力したデータが何らかのトラブルにより、当
社に届かない危険性が考えられる。また、何者かの悪意
またはシステムのトラブルによって、データの一部が変
化した状態で届くことも懸念される。
このようなリスクを低減させるため、R市場及び当社
では、以下のようなコントロールを行っている。
・受注確認のメールはR市場から顧客及び当社に対し
て同じものが同報通信によって配信される。
・当社ではR市場からのメールの有無に関わらず、毎
日R市場にアクセスし、受注データを確認する。
2)顧客データの漏洩
受注データの中には顧客の住所、電話番号、電子メー
ルアドレス等の個人情報も含まれている。これが当社に
届くまでの間に漏洩した場合、プライバシー保護の観点
からも、当社の営業機密保護の観点からも問題がある。
このようなリスクを低減させるためには、データを暗
号化して送信することが必要となる。R市場のシステム
では、データ入力やダウンロード、ブラウザによる確認
等の際にはhttps を使用している。しかし電子メールの
送信は暗号化されておらず、漏洩の危険性は否定できな
い。
----
2.2.発注データの送信
----
当社が作成した発注データを仕入先に電子メールで送
信する場合にも、2.1.と同様に以下のようなリスクが想
定される。
1)データの亡失・改ざん等
発注データが届かない、または変化した状態で届く危
険性がある。当社では仕入先から受注確認のファクシミ
リを受信することにより、このようなリスクを低減させ
ている。
2)データの漏洩
送信途上の発注データが第三者に漏洩することを防ぐ
ため、当社では必ずS/MIMEを用いて送信している。
----
2.3.当社システムにおけるデータ処理
----
上述のようにデータの受信・送信に注意を払っても、
当社システムにおけるデータ処理に謝りがあれば、誤っ
た商品の発注や配送、決算データの誤り等の問題が発生
することが懸念される。このようなリスクを低減させる
ため、以下のコントロールを行っている。
1)受注データと売上伝票の照合
顧客に商品を配送する際には納品書を同封するが、こ
れと同じ内容の売上伝票を当社で保存している。商品配
送前に必ずこの売上伝票と受注メールを照合することに
よって、受注データが正しく処理されていることを確認
している。
2)仕入伝票と仕入先の納品書・請求書の照合
仕入先への発注書と同じ内容の仕入伝票を出力し、保
存しているが、商品到着時に必ず仕入先の納品書とこの
仕入伝票を照合している。また、後日贈られてくる請求
書はか習う納品書と照合している。
3)決算データと伝票の照合、棚卸
月次の決算データと仕入伝票の金額の合計を突き合わ
せて確認している。売上伝票を手作業で合計することは
現実的でないが、システム開発時に十分なテストを行っ
ている。また、月末毎に出力される在庫表と現場の在庫
を照合している。
---------------------------------------------------------------------
(設問ウ)
---------------------------------------------------------------------
3.電子商取引に関るディジタルデータの監査手続の特徴
---------------------------------------------------------------------
以上のシステムを監査する場合、多くのデータがディ
ジタル化されて保存されているので、従来の監査手続と
は異なる点が多々ある。以下にその特徴を述べる。
----
3.1.R市場のシステムの監査
----
1)受注データのインテグリティ
顧客からの受注記録と確認メールの送信記録、保存さ
れている受注データをそれぞれ取り出して照合する。こ
こでは紙ベースのデータは存在しないので、電磁データ
の改ざんの有無を判断するための監査証跡の収集が必要
とされる。
2)受注データの機密性
R市場へのアクセスログを収集し、第三者が不当に当
社受注データにアクセスしていないかを調べる。アクセ
ス者のIPアドレスやパスワード誤入力の記録を調査す
る必要がある。
----
3.2.仕入先への発注データ送信の監査
----
1)発注データのインテグリティ
これは通常の伝票・納品書等の照合で問題がなければ
良い。しかし不審な点があった場合、当社と仕入先の電
子メールの送受信記録等を調査することになる。
2)発注データの機密性
S/MIMEによって正しく暗号化され送受信されているか
を確認するため、当社と仕入先のメールの送受信記録を
調べる。必要に応じてメールが経由した途中のサーバの
管理者に依頼してログを入手する。
----
3.3.当社システム内のデータのインテグリティの監査
----
決算書類や伝票等の照合で問題がなければ良い。しか
し不審な点があれば、データ改ざん等が行われていない
かを調べるため、トランザクション記録を調査する等、
監査証跡の入手が必要とされる。
(2475字ライン)
[ 戻る ]