IT委員会研究報告第42号改訂版の公開草案公表

2019年4月5日付で、日本公認会計士協会IT委員会から現行のIT委員会研究報告第42号「IT委員会実務指針第6号「ITを利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について」に関するＱ＆Ａ」の改訂にかかる公開草案が公表されました。

https://jicpa.or.jp/specialized_field/20190405gcw.html

財務報告における情報システムに関する評価については、2011年12月に公表されたIT委員会実務指針第6号と、当該実務指針に対応したQ&A集であるIT委員会研究報告第42号を参考に行われていました。

今回、クラウドサービスなどのIT環境の変化に対応してQ&A（IT委員会研究報告第42号）の見直しが行われました。

今回の改訂で従来のQ&Aとは構成順序が大幅に変更されているためか、新旧対照表が公開されていません（公表されている比較表は項目ごとの関連性のみを示しています）。
そこで、主要な変更箇所について抜粋しておきます。

（新規追加項目）
Ｑ１ ＩＴを利用した情報システムに対する内部統制はどのように分類されるのでしょうか。また、業務処理統制についてＩＴ実６号ではどのように分類しているのでしょうか。

Ｑ２ ＩＴを利用した情報システムでのＩＴのリスクとはどのようなものでしょうか？

Q1,Q2では、他の委員会報告等で示されていた事項について、あらためて概括的なまとめが記載されています。
当研究報告を利用するにあたって前提となる知識ですので、冒頭の総論として再整理しているのは利用者にとっても有益でしょう。

（新規追加項目）
Ｑ８ パッケージ・ソフトウェアのカスタマイズとは何でしょうか。また、「パッケージ・ソフトウェアをカスタマイズせずに利用する場合」とはどのような場合でしょうか。

Ａ８：
企業が各社の業務に応じて選択したパッケージ・ソフトウェアを導入しても、パッケージ・ソフトウェアの標準機能だけでは実現不可能な業務ニーズがある場合には、パッケージ・ソフトウェアを改造（カスタマイズ）したり、追加開発（アドオン）を伴って導入することになります。当該カスタマイズとは、ソフトウェア機能自体（全体）の評価に影響を及ぼす重要な仕様変更となるようなシステム変更・追加開発を指します。また、パッケージ・ソフトウェアをカスタマイズせずに利用する場合とは、データの登録・変更・削除、及び締切・自動計算等の変更を伴う重大なカスタマイズがない場合をいいます。（以降略）

旧委員会報告ではパッケージのカスタマイズの有無が評価上の重要な論点になっていましたが、カスタマイズ自体の定義が明確になっていなかったため、当該QAが追加されています。

近年増加しているクラウドシステムに関しても項目ごとに補筆されています。例えばQ22に次のようか記述が追加されています。

Ｑ22 市販の簡易なパッケージ・ソフトウェアを利用して会計帳簿を作成している場合の留意点にはどのようなものがあるでしょうか。

A22：
（一部略）
４．クラウド会計システムを利用している場合
会計システムのソフトウェアを購入するのではなく、ベンダーがクラウド環境下に設置したソフトウェアをネットワーク経由で利用するようなサービスを使うことがあります。このようなクラウド会計システムを利用する際、自社保有とパブリッククラウドの違いとそれによるリスクを考慮せずに、市販の簡易なパッケージ・ソフトウェアとして評価を行うことがないよう、パブリッククラウド利用のリスクについて検討することは重要です。例えば、会計システムの管理者権限を社外のベンダーが保有する場合には、不適切なアクセスのリスクに対する内部統制について如何に把握するかが課題になります。また、データのバックアップ体制等についてもベンダーとの契約内容で十分にリスク対応されているかを検討する必要ことになります。
上記のような事項についてもクラウド業者に往査して十分な情報を得ることはパブリッククラウドの他の利用者への守秘義務の関係で制限が加わることも多くあります。そのためクラウドに係るリスクへの対応としては、クラウド会計システムに係る、監査・保証実務委員会実務指針第86 号「受託業務に係る内部統制の保証報告書」（以下「監保実86 号」という。）に基づき発行された保証報告書等を取得することが考えられます。

本公開草案に対する意見募集期限は2019年5月6日までになっており、新しいIT委員会研究報告の公表に伴い、従来のIT委員会研究報告第42号は廃止される予定です。

 

IT委員会研究資料「情報インテグリティ」の公表 －インテグリティとは何なのか？－

10月30日付で日本公認会計士協会IT委員会からIT委員会研究資料第8号「情報インテグリティ」が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/20161031vfi.html

この資料はAICPA（米国の会計士協会）及びCICA（カナダの会計士協会」）から公表されたホワイトペーパー「Information Integrity」を日本公認会計士協会が翻訳許諾の下で翻訳したものです。




この資料の目的は、冒頭に以下のように記されています。

本ペーパーの目的は、情報インテグリティの意味を定義し、その文脈を情報の利用者、作成者及び業務実施者に提供することである。 

実際、この「インテグリティ」という単語は我が国のシステム管理基準　等にも頻繁に用いられていますが、その意味について説明するのが難しい用語です。

当資料では、情報インテグリティを以下のように定義しています。

情報インテグリティは、当該情報の主題についての表現の忠実性及び情報の用途への適合性と定義される。

（原文）
In this paper, information integrity is defined as the representational faithfulness of the information to the underlying subject of that information and the fitness of the information for its intended use.

この定義だけでは、その意味するところを十分に表現できませんので、事例を交えた詳細な解説が行われています。

私自身、今まで頭の中で、 「インテグリティ＝完全性」 といった単純な翻訳を行っておりましたが、この資料では完全性も含んだもっと広い概念として捉えられており参考になりました。
システム監査に携わる方だけではなく、会計監査に携わられている方々にとっても有益な資料でしょう。

IT委員会研究報告第42号（IT実務指針第6号に関するQ&A）の公表

昨日(公表日付は2012年6月5日付）、日本公認会計士協会IT委員会から
IT委員会研究報告第42号「IT委員会実務指針第6号「ITを利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について」に関するＱ＆Ａ」
が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/423132.html

これは、昨年、12月22日付けで公表されたIT委員会実務指針第6号「ITを利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について」に対応して実務指針の見直しを行ったものです。
（ちなみに、実務指針第6号と同様に、研究報告第42号も、一部カラーになっております。）

また、新しい実務指針の公表に伴い、従来のIT委員会研究報告第31号及び同第32号は廃止されます。

指針の改廃時期を改めて整理しておきます。

（新）IT委員会実務指針第6号
(2012年4月1日以後開始する事業年度に係る監査及び同日以後開始する中間会計期間に係る中間監査より適用開始)　
　⇒ （旧）IT委員会報告第3号(IT委員会実務指針6号の適用をもって廃止)

（新）IT委員会研究報告第42号
⇒ (旧)　IT委員会研究報告第31号及び同第32号（2012年6月5日付で廃止）

■■■　会計セミナー開催のお知らせ　■■■
新しい収益認識基準の改正内容を中心に、IFRSの改訂動向と会計システムへの影響を解説していきます。

『IT部門のための
国際会計基準（IFRS)の概要とシステムへの影響』
日時　2012年11月26日　10：00～17：00

多くの方の参加をお待ちしております。

よくわかる！「ＩＴに対応した監査手続事例」

本日、日本公認会計士協会（ＩＴ委員会）から、ＩＴ委員会研究報告「ＩＴに対応した監査手続事例～事例で学ぶよくわかるＩＴに対応した監査～」の公開草案が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/post_1555.html

本研究報告の前書きに「会員の方々が容易に、一部を理解すること、あるいは読み進めてすべてを理解することのいずれも可能なように、ＩＴに関係した重要で興味深いと思われる内容を、事例の形を借りて検討解説しています。」とあるように、従来の研究報告とは異なり、大変、読みやすい内容になっています。

研究報告の副題も、本屋でみかけるビジネス書のようであり、作成者の方々のご苦労がしのばれます。

草案中で気になった部分は、2番目の事例の、架空循環取引の発見につながる着眼点として、
「・これらを取引先の補助番号等で集計・分析する。」

という記載があります。この事例では、売上先と仕入先が同一業者のケースを想定しているようですが、通常、取引先コードは、同一の業者であっても得意先と仕入先で異なるコードを設定するため、取引先の補助番号等で集計するだけで異常性を検出するのは難しいのではないでしょうか（実務的には、循環取引は、3社間で行われるケースが多いです）。

また、本日、金融庁から金融機関における「システムリスクの総点検について」という要請文書が公表されています。

　http://www.fsa.go.jp/news/23/ginkou/20110708-4.html　

これは、先日のみずほＦＧにおけるシステム障害を受けてのものですが、報告書の提出期限は8月末ですので、金融関係のＩＴ部門の方々は、夏休み時期の見直しが必要かもしれません。御注意ください。

IT委員会報告第3号の公開草案 遂にカラ―化の波が

会計監査の現場においてIT統制評価の指針となっていた、ＩＴ委員会報告第３号「財務諸表監査における情報技術(ＩＴ)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」の改正にともなう公開草案が、本日、日本公認会計士協会から公表されました。

http://www.hp.jicpa.or.jp/specialized_field/post_1545.html

私が、この草案を見て驚いたのは、本文中の図表「ＩＴインフラの概要の例」がカラ―になっているのです！

今までの委員会報告で、カラ―の図表を見たのは、これが初めてです。
（普段、紙の監査六法と、会計法規のデータベースばかり見ていたので、私が、見落としていたのでしょうか？）。

公開草案が確定版になったときには、３Dになっているかもしれません。

なお、公開草案への意見提出期日は平成23年8月8日です。

IT委員会研究報告告第31号の一部改正

会計監査及び内部統制監査におけるＩＴ監査のよりどころとなっている、ＩＴ委員会研究報告第31号の一部改正が、3月11日付で、日本公認会計士協会から公表されています。

「ＩＴ委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の一部改正について」の公表について
http://www.hp.jicpa.or.jp/specialized_field/31_6.html

今回の改正は、従来の見方を変更するものではなく、以下のような論点について、新たなＱ＆Ａが追加されています。

Ｑ28：企業が、新規にパッケージ・ソフトウェアを導入した場合、監査人はその計算処理の妥当性等について検証する必要がありますか。

Ｑ30：「自動化された業務処理統制等」について、前年度からの変更がないことを確かめる監査手続について教えてください。

Ｑ31：システム開発や運用を外部委託している場合、受託会社から独立監査人の報告書が入手できないときのリスク評価手続はどのようにしたらよいでしょうか。

実務上、悩ましい論点をフォローするタイムリーな改訂です。ＩＴ監査に従事されている方々には、一読をお薦めします。

システム監査今昔記 その6

その後、情報システム委員会はIT委員会へ、さらに名称を改め、平成15年にＩＴ委員会報告第１号「財務諸表監査における情報技術（IT）を利用した情報システムに関する統制リスクの評価（中間報告）」を公表し、会計監査におけるの情報システムの位置づけと対応方法が整備されました。

この委員会報告は、平成14年1月に行われた監査基準の改訂によって、監査基準内に以下の文言が盛り込まれたことを受けたものです。

「監査人は、企業が利用する情報技術が監査に及ぼす影響を検討し、その利用状況に適合した監査計画を策定しなければならない。」

これによって、会計監査においてもシステム監査的なアプローチが必須の項目となりました。なおIT委員会報告第1号は、現在は廃止され、その内容はIT委員会報告第3号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」に引き継がれて、現在に至っています。

システム監査今昔記 その5

ここで、少し、公認会計士の行う会計監査とシステムの関係を見ていきましょう。
日本公認会計士協会内において、情報システムを所轄するために設けられた最初の委員会は「電子計算機会計委員会」であり、当委員会、最初の答申「ＥＤＰシステムの監査基準および監査手続試案」は、昭和51年に公表されています。

その後、委員会名を情報システム委員会に改め、第1号の委員会研究報告「ＥＤＰシステムの監査―業務処理統制の監査―」が昭和60年に公表されています。

こうして記録を追ってみますと、会計士協会の情報システムへの対応は、EDPシステム導入初期から行なわれていいたことがわかります。

当時のEDPシステムは、極めて高価なものでしたから、資金に余裕のある一部の大企業しか導入することはできなかったと思われます。一方、会計監査も上場している大企業を対象とするものですから、社会一般への普及に先駆けて対応が進められたのでしょう。
ただし、当委員会が公表するものは、「委員会研究報告」（会員の業務の参考となる決定事項）であり、監査の実務を拘束するものではありませんでした。

システム監査今昔記 その4

当時（10年以上前）、システム監査技術者試験の必須問題として、システム監査と会計監査の関係について問うものがありました。その、模範的解答は、両者の目的は異なるが、連携して実施することが望ましいという内容だったと記憶しています。

当時は、システム監査と会計監査は別のものという感覚でしたが、現在の会計監査の実務ではシステム監査的アプローチを省略することはできませんので、監査法人内でも専門チームの拡充を図っています。

実は、私がシステム監査技術者を受験した目的は、社内の報奨金が欲しかっただけというお粗末な理由だったのですが、後日、その履歴から、監査法人内で立ち上げるシステム監査の専門部隊へお声がかかったという経緯がありますので、丁度、そのころが端境期だったわけです。

システム監査今昔記 その3

私が情報処理技術者試験を受けていたころは、受験資格に年齢制限のある試験区分があり、このシステム監査技術者は、満27歳以上でなければ受験できませんでした。(ちなみに、当時の開発系の最上級資格である特殊情報処理技術者は、年齢制限が満25歳以上。)

したがって、試験会場の雰囲気も他の試験区分とは、まったく異なっており、３０歳～４０歳代の中間管理職レベルのかたが中心で、会場内でジーパンをはいている人はほとんどいないという感じです。

また、当時の試験は、回答とは別に業務経歴書の提出が義務付けられていました。

自分は、システム開発に従事した後に、公認会計士になりましたので、業務経歴書だけ見てもらえれば、合格だろうと高をくくっていましたら、見事に不合格となりました。（今でも、合格時の答案よりも不合格時の答案の方がよく書けていたと思うのですが。）