日本公認会計士協会(JICPA)はこのほど、財務諸表監査時に実施するIT監査の留意点をQ&A形式で示した文書「IT委員会報告第31号」の改訂版を公開した。市販の会計ソフトにかかわる記述を変更したほか、EUC(エンドユーザー・コンピューティング)にかかわるQ&Aを新規に追加した。日本版SOX法(J-SOX)に対応する際にも参考になりそうだ。JICPAのWebサイトから無償で入手できる。
IT委員会報告第31号は公認会計士などの監査人向けに、ITにかかわる監査のポイントを説明した文書。販売システムを例にとった業務処理統制の検証手続きの例示や、監査の際にITの専門家を利用する際の留意点など、26のQ&Aで構成する。正式名称は「IT委員会報告第3号『財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価および評価したリスクに対応する監査人の手続きについて』Q&A」である。
今回の改訂では、会計ソフトにかかわるQ&Aの「Q18:パソコンの会計パッケージソフトを利用して会計帳簿を作成している場合の留意点にはどのようなものがあるでしょうか」に対して、新たに記述を追加した。市販のパソコン用会計ソフトを利用している場合、パラメータの設定や維持といった内部統制を整備し、有効に運用しているかを留意するようにといった記述が加わった。
このほか、市販のパソコン用会計ソフトを利用している場合、統制を整備・運用するという観点で機能自体が有効かどうかは簡易な手続きで確認できるという主旨の文章に対する記述を追加した。具体的には、確認の際には「ソフトウエアの開発元がなんらかのITの基準に基づいて開示している機能一覧などを利用してパッケージの機能の内容を把握し、その利用状況を評価する」という文を新たに加えた。市販のパソコン用会計ソフトを利用している場合、開発元が作成した機能にかかわる文書を入手したら、機能自体の検証は簡易な手続きでよいということだ。
まったく新規に追加になった問が「Q19:スプレッドシートに関する統制リスクの評価手続きの留意点にはどのようなものがあるでしょうか」だ。いわゆるEUC統制について、監査上の留意点を述べている。四則演算を代替している「比較的単純」なもの、マクロの利用や処理の内容が複雑でブラックボックス化しているような「相当に複雑」なものにスプレッドシートを分類している。前者は検算といった手作業の統制によりリスクを低減できるが、後者は通常の業務システムに対する統制と同程度の統制の整備・運用が必要になる場合もあるとしている。
IT委員会報告第31号は、J-SOXで実施する財務報告にかかる内部統制の整備・運用にかかわる監査の規定ではない。しかし内部統制監査は財務報告監査と一体として実施することや、財務諸表監査時のIT監査のQ&Aを示していることから、J-SOXの監査時にも監査人が参考にする文書である。J-SOX対応の参考書である「実施基準」などにも類似の記述があり、内部統制監査を受ける企業の担当者にも参考になる。初版は06年に公開され、08年3月に改訂された(関連記事)。今回はそれに続く改訂となる。
