日本公認会計士協会(JICPA)は、財務諸表監査の際に監査人がITに関するリスクについて注意すべき事例をまとめたQ&A形式の文書を公開した。財務諸表監査の際のシステム監査と情報セキュリティ監査の違いや、ERP(統合基幹業務システム)パッケージ利用時のリスク評価方法の例など、35のQ&Aで構成する。監査時の注意点を把握できるので、財務諸表監査と併せて実施するJ-SOX(内部統制報告制度)の監査を受ける側にも参考になる。JICPAのWebページから無償で入手できる。
文書の名称は、IT委員会研究報告第42号「IT委員会実務指針第6号『ITを利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について』に関するQ&A」。企業の情報システムについて監査人がその環境を把握する手順や、システムの開発・運用体制に関する統制であるIT全般統制に不備があった場合の対処などの例をQ&A形式で説明している。
企業のシステム環境の把握に関しては、「入力データの承認が、電子承認で実施されている場合の監査上の留意点は何か」「販売アプリケーションと会計アプリケーションのインタフェースの有効性をどう検証するか」といった16のQ&Aを記載。IT全般統制では、「1人でシステム管理を担当しており、開発担当者と保守・運用担当者の職務を分離していない場合に想定されるリスクの評価および対応例は」といった七つのQ&Aを用意している。スプレッドシートやアウトソーシングに関するQ&Aもある。
IT委員会研究報告第42号は、JICPAが2011年12月22日に公表したIT委員会実務指針第6号「ITを利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について」を補完する位置付けの文書だ。IT委員会実務指針第6号は、財務諸表監査時の情報システムを利用している企業のリスク評価の考え方を示している。IT委員会実務指針第6号もJICPAのWebページから無償で入手できる。
JICPAは、監査基準委員会の新起草方針に基づく最終報告書の公表に合わせて関連文書を改定している最中だ。IT委員会研究報告第42号の公表に伴い、IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価および評価したリスクに対応する監査人の手続について」Q&A」を廃止した。IT委員会研究報告第31号はJ-SOX対応において、企業の情報システム部門の参考書といわれた文書である(関連記事:「開発と運用の担当者が同じ場合、内部統制をどう評価するか」、公認会計士協会がQ&A追加)。
同様に、IT委員会実務指針第6号の公表によって、IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」が廃止になった。
