日本公認会計士協会(JICPA)は2008年3月28日、「IT委員会研究報告第31号(以下、31号)」を一部改訂したと発表した。31号は、財務諸表監査を実施する監査人向けに、ITにかかわるリスクの評価方法を示した「IT委員会報告第3号」を補足する文書。日本版SOX法(J-SOX)について明言してはいないが「アクセス・ログの取得」「職務の分離と権限の分掌について」「アウトソーシングの受託会社監査人の留意点」など、J-SOX対応で問題となっている項目の解釈例を掲載している。
今回の改訂によって新規に追加された項目は「全般統制に不備がある場合の考え方の例示」。監査人に向け「(IT)全般統制に不備があるとして指摘する際には、そのシステムの状況や財務諸表の数値にどのような影響があるかを考慮して意見を述べることが肝要」と指摘している。
そのうえで、アクセス・ログの取得、職務の分離と権限の分掌に加え、バックアップ・データの保管の3項目について監査の注意点を例示している。例えばアクセス・ログの取得では「情報システムに関するすべてのログの取得が必須ではなく、正当な職務権限による財務データへのアクセス以外の不当な入力や改ざんがないかを監視することに意味がある」との主旨を述べている。
もう1つの大きな新規追加項目は「アウトソーシングの受託会社監査人の留意点」。受託業務における内部統制の整備・運用状況について監査報告書を作成する際の監査基準である「監査基準委員会報告書第18号」の取り扱いについて主に述べている。項目の名称の通り、ITベンダーなど財務報告にかかわるシステムの運用を受託している企業に対して、監査する際の注意点である。ASP(アプリケーション・サービス・プロバイダ)やSaaS(ソフトウエア・アズ・ア・サービス)などを対象にした記述もある。
31号の正式名称は「IT委員会報告第3号『財務諸表監査における情報技術(IT)を利用した情報システムに関する虚偽表示リスクの評価および評価したリスクに対応する監査人の手続きについて』Q&A」。初版は05年3月に公開された。ITに詳しくない監査人向けに、IT委員会報告第3号に基づいた監査を実施するうえでの留意点をQ&A形式で解説している。J-SOXで実施する内部統制監査は、財務諸表監査と一体として行うことが義務付けられているため、内部統制監査でも監査人が参考にする文書といえる。
