《速報解説》
監基報315の改正を受け、
会計士協会がITに関する監査人の手続に係るQ&Aを取りまとめる
~「ITの利用から生じるリスクとは何か」に始まり、実務で参考となる全42問を収録~
公認会計士 阿部 光成
Ⅰ はじめに
2021年8月6日、日本公認会計士協会は、「ITの利用の理解並びにITの利用から生じるリスクの識別及び対応に関する監査人の手続に係るQ&A」(IT委員会研究報告第57号)を公表した。これにより、2021年4月23日から意見募集されていた公開草案が確定することになる。公開草案に対するコメントの概要及び対応も公表されている。
これは、2021年6月8日付けで改正された監査基準委員会報告書315「重要な虚偽表示リスクの識別と評価」の公表に伴い、ITに関連する実務上の留意事項をQ&A形式で取りまとめたものである。
同日付けで、「IT委員会報告第1号関係用語集」(IT委員会研究報告第24号)の廃止も公表されている。
【参考】 日本公認会計士協会ホームページ
・「IT委員会研究報告第57号「ITの利用の理解並びにITの利用から生じるリスクの識別及び対応に関する監査人の手続に係るQ&A」」の公表について」
文中、意見に関する部分は、私見であることを申し添える。
Ⅱ 主な内容
研究報告は、目次を含めて69ページに及ぶものであるので、以下では主なものについて解説する。
1 ITの利用から生じるリスク
ITの利用から生じるリスクとは、企業のITプロセスにおける内部統制のデザインもしくは運用が有効でないことにより、情報処理統制が有効にデザインもしくは運用されない可能性又は企業の情報システム内の情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)に対し引き起こされるリスクをいう(Q1)。
2 監査人が理解する必要のある、企業のITの利用状況及びIT環境
監査人は、企業の事業上のリスクが財務諸表に与える影響を踏まえて、重要な虚偽表示リスクを識別することに役立てるために、企業のビジネスモデルにおけるITの利用状況を理解する必要がある(Q5)。
また、財務諸表の作成に関する企業の情報システムと伝達を理解するためや、ITの利用から生じるリスクとアサーション・レベルの重要な虚偽表示リスクとの関連性を考慮しつつ、それぞれに対応する内部統制のデザインの評価と業務に適用されているかの判断を実施するために、IT環境を理解する必要がある(Q5)。
3 監査業務にITの専門的なスキルを有するチームメンバーを関与させる際の留意点
例えば、企業においてIT化された環境が構築されていることにより、ITを利用した複雑な情報システムとなっている等、監査人の知識や技術では十分な対応が困難な場合や、監査人が実施するよりも効率的に実施可能と認められる場合には、ITの専門的なスキルを有するチームメンバーを関与させることを積極的に検討する(Q7)。
ITの専門家を関与させる際の考慮事項としては、①業務指示の際の合意及び②監督及び監査調書の査閲が挙げられる(Q7)。
4 自動化された情報処理統制のデザインと業務への適用の評価
業務プロセスの理解と業務への適用の評価は、通常は業務の主管部門、実施部門にて実施するが、システム上のデータの流れ等について、業務の主管部門、実施部門だけでは確認できない場合には、別途システム部門に確認することになる(Q13)。
システム上のデータの流れを追跡するには、例えば、次のような事項を実施する。
① データフロー図やシステム仕様書の閲覧
② ユーザマニュアルの閲覧
③ 入力原票と出力帳票の照合
④ 入力画面又は照会画面の閲覧や入力操作の観察
⑤ インターフェース元システムとインターフェース先システムのデータ照合
⑥ アクセスログや操作ログの閲覧(インターネットビジネス等)
5 開発中のシステム
開発中の情報システムについて、ITの利用から生じるリスクに対応するIT全般統制についても、他の監査対象項目と同様に、財務諸表全体レベル及びアサーション・レベルの2つのレベルでのリスクを識別し評価することが重要となる(Q14)。
監査対象期間中は開発が完了せず、業務プロセスにおいて利用される見込みもない場合は、監査対象期間において財務諸表に影響を及ぼすリスクはないものと思われると記載されている(開発遅延や中止となった場合を除く)。
しかしながら、翌期以降に利用されることが予定されている情報システムについても、情報システムの開発が終了し実際に稼動してからではなく、企画段階又は開発段階から監査人が概要を把握し、財務諸表に重要な影響を与えるような課題を認識した場合は、是正を求めたり協議したりするなどの対応を行うことがある。
6 電子承認
承認行為に関する監査人にとっての基本的な留意点は、紙の伝票への押印による承認でも電子承認でも同じであり、次の事項を満たす承認行為でなければ有効な内部統制として機能しないことに留意する(Q16)。
① 承認は正当な権限者によって行われているか。
② 承認は権限者本人によって行われているか。
③ 承認漏れはないか。
7 売上を自動的に計上するシステム
売上を自動的に計上するシステムの場合は、企業の採用している会計方針や適用される収益認識に係る会計基準に従った処理が、システムによって実行可能であること、又は、適切な決算整理仕訳により調整可能であることが財務報告の信頼性を確保するための前提となる(Q18)。
次の事項について記載されている。
① 手作業の入力を基に自動計上する場合
② 他のシステムのデータを基に自動計上する場合
③ 売上計上予定日に自動的に売上を計上するシステム
④ ロボティック・プロセス・オートメーション(RPA)を用いて売上を自動計上する場合
⑤ 売上計上に関連して人工知能(AI)を利用する場合
8 委託業務に関する内部統制の評価
委託業務の形態には、ハウジング、ホスティング、共同センター、ASP(Application Service Provider)、クラウドサービスがあげられる(Q29)。
委託業務に関する内部統制を検証する場合、委託会社監査人は、監査基準委員会報告書402「業務を委託している企業の監査上の考慮事項」に従って内部統制の評価を実施する(Q30)。
9 仕訳テスト
仕訳テストとは、監基報240「財務諸表監査における不正」 31項(1)にある財務諸表作成プロセスにおける特定の仕訳入力及び修正について検証するために仕訳データを対象として実施する手続である(Q33)。
仕訳テストを実施する際の留意点、コンピュータ利用監査技法(CAAT)の利用などが記載されている。
10 IT全般統制に不備があった場合の取扱い
IT全般統制は、「IT環境の継続的かつ適切な運用を支援する企業のITプロセスに係る内部統制」(監基報315 第12項(4))をいう(Q36)。
IT全般統制の不備の存在が、ただちに情報システムの内部統制に依拠できないという結論につながるものではなく、当該不備が情報処理統制等の有効性に影響を与えているか否かを検討することが必要となり、次のような対応を取ることになる。
① 不備の発見されたIT全般統制を代替又は補完する他のIT全般統制を識別し、評価する。
② 発見された不備によりITの利用から生じるリスクが発現していないことを確かめる。
③ 関連する情報処理統制等の評価手続の実施範囲を拡大する。
④ 実証手続を拡大する。
(了)