日本公認会計士協会(JICPA)は、財務諸表監査の際に実施するIT監査の留意事項をまとめた文書「IT委員会研究報告第31号(以下、第31号)」の改訂版を公開した。第31号はQ&A形式になっている。今回の改訂で「システムの開発や運用を外部委託している場合に、委託先の企業から監査報告書が入手できないときはどうすればよいか」など五つのQ&Aを追加した。Q&Aの合計は31になった(関連記事)。
第31号は公認会計士といった監査人向けにITにかかわる監査のポイントを提示した文書。IT監査を受ける側の企業にとっても、IT統制の整備・運用のポイントが分かるメリットがあることから、J-SOX(日本版SOX法)対応においてシステム部門の参考文献の一つとなっている。正式名称は「IT委員会報告第3号『財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価および評価したリスクに対応する監査人の手続きについて』Q&A」である。
今回の改訂ではシステムの開発・運用を委託している場合のリスク評価の考え方のほか、「新規にパッケージソフトを導入した場合、監査人は処理の妥当性を検証する必要があるか」「自動化された業務処理統制が前年から変更がないことを確認するには、どうすればよいか」といった主旨のQ&Aを追加した。
委託先のリスク評価についてのQ&Aである「Q31:システム開発や運用を外部委託している場合、受託会社から独立監査人の報告書が入手できないときのリスク評価手続きはどのようにしたらよいでしょうか」では、いわゆる「監査基準18号」や「SAS70」といった委託先の内部統制の整備・運用状況に関する監査基準に基づいた監査報告書が入手できない場合を想定している。
第31号では監査報告書が入手できない場合について、「委託した企業が委託した業務の内部統制の整備・運用状況を確かめる」か「委託した企業の監査人が委託先に監査に出向き、委託した業務の内部統制の整備・運用状況を確かめる」かの二つの方法があるとする。
前者の場合は、外部委託先の管理規定の整備状況の有効性を確認したり、関連資料とつき合わせるなどして委託先の処理結果の正確性や正当性を検証するといった方法を組み合わせるとしている。後者の場合は、委託した企業の監査人が監査に出向くために、業務委託契約書に監査条項を入れたり、監査に関する合意書を別に委託先と取り交わすといった必要があるとしている。
「IT業務処理統制に変更がない」ことをどう確認するか
Q30は「自動化された業務処理統制等について、前年度から変更がないことを確かめる監査手続き」について尋ねたものだ。自動化された業務処理統制とは、IT業務処理統制のことを指す。J-SOXではIT業務処理統制に変更がない場合、内部統制の運用状況の評価を省略できるとしている。この際に「IT業務処理統制に変更がない」ことをどのように確認するかを確認している問いだ。
第31号では「システム自体に変更がない」場合と「システムに変更があるが、自動化された業務処理統制等については変更がない」場合の二つの例について、監査手続きの方法を説明している。
システム自体に変更がない場合は「バージョン情報や最新更新日付を確かめる」や「IT全般統制で整備・運用するプログラムのバージョン管理台帳や変更管理台帳の正確性、網羅性を確認したうえで、台帳に変更が記録があるかどうかを確認する」といった主旨の手続きが必要としている。
システム自体に変更があるが、IT業務処理統制に変更がない場合については、「バージョンアップ時のリリースノートの内容を確認すること」や、「プログラム管理台帳や変更管理台帳を確認するほか、開発担当者と運用担当者の職務分掌やアクセス権の設定といったIT全般統制の整備・運用状況を把握する必要がある」としている。
このほかQ&Aでは、市販のパッケージソフトの新規導入時に、監査人が処理の妥当性を検討する必要があるかを示したQ28がある。Q28では「市販のパッケージソフトを利用している場合であっても、監査人は当該パッケージソフトの計算処理の妥当性などについて検証することが必要になる」としている。
残りの二つは、仕訳のテストにITを利用した監査を実施する場合を示したQ27と、システムから出力された延滞債権リストや滞留在庫リストを利用する場合に留意すべき事項をまとめたQ29である。
JICPAが第31号を改定するのは08年11月に続き3回目となる。第31号はJICPAのWebページから無償で入手できる。
