日本公認会計士協会(JICPA)は7月18日、日本版SOX法(J-SOX)の監査人向け実務指針(ガイドライン)の草案を公開した。金融庁が2月15日に公表した日本版SOX法の実務指針「実施基準」(詳細は『内部統制.jp』を参照)には明記されていなかった、スプレッド・シート(表計算ソフト)の評価について言及したことが特徴だ。IT全般統制やIT業務処理統制についての言及もあるが、実施基準以上に詳細な記述はない。
監査指針は、公認会計士など内部統制監査を実施する外部監査人向けの実務的な指針。正式名称は「財務報告にかかる内部統制の監査に関する実務上の取り扱い(以下、監査指針)」で、全79ページの文書のうち、ITにかかわる記述に約5ページを割いている。
実施基準にも内部統制監査に必要な情報が記述されているが、これを補完する目的でJICPAが作成に着手していた。IT統制にかかわる記述のほかに、財務諸表監査と内部統制監査の関係や評価範囲の考え方、内部統制の評価の方法、内部統制の重要な欠陥、などについて述べている。加えて、監査人が作成する「内部統制監査報告書」と経営者が作成する「確認書」のひな型が付いている。監査人向けの指針とはいえ、監査を受ける立場の企業も一読しておくべき内容だ。
スプレッド・シートについては、監査指針の「業務プロセスにかかる内部統制の評価検討方法」というパートにおいて、決算・財務報告プロセスで評価すべき対象の1つとして取り上げられている。具体的には「決算処理手続き、連結財務諸表の作成等を通じ、財務情報の記録・処理過程で、一般に数値データの計算・集計・分析・加工等に用いられる表計算ソフト(スプレッド・シート)」を対象とする。
上記の業務プロセスでスプレッド・シートを利用している場合、(1)マクロや計算式などを検証していること、(2)マクロや計算式などの検証が適切になされていない場合、手計算で確かめるなどの代替手段がとられていること、(3)経理担当者のパソコンを利用している場合、アクセス制御やバックアップなどの対応について検証していること、などを求めている。
スプレッド・シートに対する統制に言及した理由について、JICPAの手塚仙夫常務理事は、「監査人の実務を考えた場合、判断に迷う可能性が高い項目として、当初から委員の間で話題になっていた。企業で表計算ソフトが広く利用されている実態から見て、監査対象に加えた方が良いと考えた」と説明する。
なお、JICPAは監査指針の草案に対するパブリック・コメントを8月13日まで募集している。
