公認情報システム監査人 長田 倫庸(三優ジャーナル2021年10月号)
はじめに
2021 年6月8日付で日本公認会計士協会は監査基準委員会報告書 315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」(以下、「監基報 315」)の改正を公表している。
「監査基準委員会報告書」は公認会計士(監査法人)による財務諸表監査の実務指針であり、監査人にとって遵守すべき事項であるが、監査を受ける企業にとってもどのような観点で監査が行われるのか等、参考となる情報も多いと考えられる。
本稿では、この「監基報 315」の内容のうち、IT に関連する改正部分を中心に紹介するとともに概要を説明する。
なお、本稿における意見の部分については、筆者の私見であり、法人の見解ではないことを申し添える。
1. 改正の背景
今回の改正は、2019 年 12 月に国際監査・保証基準審議会(IAASB)から公表された ISA315(Revised 2019)への対応、及び企業会計審議会より 2020 年 11 月に公表された「監査基準の改訂に関する意見書」によるリスク・アプローチの強化についての改訂に対応させるものとなっている。
また、改正された「監基報 315」には IT に係る適用指針が追加されており、これに伴い IT 委員会実務指針第6号「ITを利用した情報システムに関する重要な虚偽表示リスクの 識別と評価及び評価したリスクに対応する監査人の手続について」は廃止となっている。
2.IT に関連する用語の定義
新しく追加された用語の他、以前から定義されていた用語の中でも、定義(用語の意味する範囲)が変更されているものもある。「監基報 315」で定義される用語のうち、IT に関連する用語について、以下主に「監基報 315 第 11 項」の内容をもとに説明する。
①「IT 環境」
「IT アプリケーション及びそれを支援する IT インフラストラクチャーをいい、IT プロセスや IT プロセスに関わる要員も含まれる。」と定義されている。IT アプリケーションやインフラのみならず、IT プロセス(アクセスの管理、プログラムの変更又は IT 環境に対する変更の管理及び IT 業務の管理をするための企業のプロセス)と、それに関わる要員も含まれるとされている点に注意が必要である。
②「IT 全般統制」
「IT 環境の継続的かつ適切な運用を支援する企業の IT プロセスに係る内部統制のことをいう。」と、「IT 環境」を支援する統制であると定義されている。改正前は「業務処理統制が有効に機能することを支えるものである」と「業務処理統制」すなわち業務プロセスにおける統制手続を支援の対象としていたものから、「IT 環境」と広い範囲を支援の対象とするものとされるように変更されている。
③「情報処理統制」
「情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)のリスクに直接対応する、企業の情報システムにおける IT アプリケーションの情報処理又は手作業による情報処理に関連した内部統制をいう。」と定義されているが、従来の「業務処理統制」の表現が変更されたものであり「自動化された情報処理統制」は内部統制用語として一般的に使われる「IT 業務処理統制」や「IT に係る業務処理統制」とほぼ同義であると考えられる。また、「自動化された情報処理統制」だけではなく、「手作業による情報処理統制」も存在することも忘れてはならない。
④「IT の利用から生じるリスク」
「企業の IT プロセスにおける内部統制のデザイン若しくは運用が有効でないことにより、情報処理統制が有効にデザイン若しくは運用されない可能性又は企業の情報システム内の情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)に対し引き起こされるリスクをいう。」と定義されている。ここでの「リスク」が影響する対象は「情報処理統制」であり、そのリスクに対応するための統制が「IT 全般統制」になると考えられる。つまりは、IT 全般統制の評価対象を識別・選定するにあたり、闇雲に対象とするのではなく、「情報処理統制」を識別し、影響するリスク「IT の利用から生じるリスク」に関連する「IT 全般統制」を識別する必要があると解釈できる。
⑤「情報システム」
「監基報 315」では直接「定義」として記載されてはいないが、「付録5」に「手作業及び自動化された情報処理統制の利用を含み、取引の開始から記録、処理、報告に至るまでの手続が影響を受ける。」と記載されている。また、「監基報 315」と同日に公表された監査基準委員会報告書(序)「監査基準委員会報告書の体系及び用語」(以下、「監基報(序)」)の「用語集」に「内部統制システムの構成要素の一つ。財務諸表の作成に関連する情報シ ステムは、企業の取引の開始、記録、処理(及び取引以外の事象や状況に関する情報の把握、処理、開示)、並びに資産、負債及び純資産を適正に計上すること等のためにデザインし構築された活動及び方針、並びに会計処理及びその他の裏付けとなる記録から構成される。」と説明されている。更には 2021 年8月6日に公表された IT 委員会研究報告第 57 号「ITの利用の理解並びに IT の利用から生じるリスクの識別及び対応に関する監査人の手続に係るQ&A」に以下のような説明がある(以下抜粋)。
「企業のコンピュータに関する専門部署には『(情報)システム部門』のような名称が使われることが多くあります。」「コンピュータとシステムがほぼ同義語のように用いられることがあります。」「監基報で使われているのはこれらが整理され、内部統制システムや情報システムそして会計システムのような『システム』という用語はコンピュータの処理とそれを利用する手作業の部分の双方を含む広い範囲になっています。」
つまり、一般的に「情報システム」というと、コンピュータシステム(IT アプリケーション等)のことを指すことがあるが、監基報では情報の流れ、しくみ、体系、手続などに関する構成要素を指す用語であり、IT に限定した言葉ではないということを理解する必要がある。
なお、上記の他、監基報における用語の定義については、上述した「監基報(序)」に「用語集」として掲載されているので、必要に応じ参照していただきたい。
3.IT 全般統制の識別(情報システムの理解)
今回の「監基報 315」における、IT 関連の主な変更点のひとつとして、IT 全般統制を識別・評価する場合の手順・流れが明確化された点が挙げられる。その内容について以下見ていくこととする。
まず、「第 24 項」の記載より「監査人は、リスク評価手続を通じて得た以下の理解や評価により、財務諸表の作成に関する企業の情報システムと伝達を理解しなければならない。」とされており、具体的な事例として「重要な取引種類、勘定残高又は注記事項に関する企業の情報処理活動の理解」「取引の開始から、それに関する情報の記録、処理、必要に応じた修正、総勘定元帳への取り込み、財務諸表での報告に至るまでの流れ」「取引以外の事象や状況に関する情報が把握され、処理され、財務諸表において開示されるまでの流れ」と記載されている。つまり、まずは財務諸表までの情報の流れ(IT もしくは人手のいずれかによらず)を理解しなければならないとされている。
より具体的な説明については「付録3第 15 項」に記載されている他、理解のための方法については「A124」に例示されているので、参照していただきたい。このような要求事項により監査人はこれらの手続きを実施することになる。
4.IT 全般統制の識別(内部統制の理解)と評価
上記の手続により「情報システム」つまりは「財務諸表までの情報の流れ」を理解した後に、監査人に求められる事項としては、「統制活動(内部統制)」の理解と評価が挙げられており、「第 25 項」には「監査人は、リスク評価手続を通じて実施する以下の識別及び評価により、統制活動を理解しなければならない。」と記載されている。識別・評価する「以下」の内容としては「(1) 統制活動のうち、アサーション・レベルの重要な虚偽表示リスクに対応する内部統制の識別統制活動のうち、アサーション・レベルの重要な虚偽表示リスクに対応する内部統制の識別」としたうえで、「(2) (1) で識別された内部統制について、IT の 利用から生じるリスクの影響を受ける IT アプリケーション及び関連するその他の IT 環境の識別」とあり、ここで「IT(の識別)」が登場する。つまりは、上記「(1)」での「内部統制の識別」をしたのち、その「内部統制」についての「IT(環境)の識別」が求められているのである。そして「(3) (2) で識別された IT アプリケーション及び関連するその他 の IT 環境について、以下の識別」として「① IT の利用から生じるリスク」と「② IT の利用から生じるリスクに対応する IT 全般統制」の識別が求められ、ここで「IT 全般統制」の対象が決定される手順となっているのである。
上記で識別された「IT 全般統制については、次の「(4) (1)及び (3)②で識別された個々の内部統制の評価」により、評価が必要な統制活動の対象が決まる手順となっている。
以上を整理すると IT 全般統制の評価に関して監査人に求められる事項と手順は以下となる。
5. 自動化された情報処理統制と IT 全般統制
ここまで説明してきたとおり、「IT 全般統制」の識別・評価をするということは、そのもととなる「IT の利用から生じるリスク」、さらにはそのリスクの影響を受ける「内部統制(情報処理統制)」が識別されていることを意味する。当然この「内部統制(情報処理統制)」も評価が求められており、そこに含まれる「自動化された情報処理統制(IT 業務処理統制)も評価が必要となる。こちらについては、適用指針に「A138.IT 全般統制は、有効な情報処理統制の継続的な運用を支援するため、第 25 項は、IT の利用から生じるリスクの影響を受ける IT アプリケーション及び関連するその他の IT 環境について、監査人に IT 全般統制を識別し評価することを要求している。通常、IT 全般統制だけでは、アサーション・レベルの重要な虚偽表示リスクに対応できない。」と記載されている。つまりは、「IT 全般統制」識別のもととなる「自動化された情報処理統制(IT 業務処理統制)」が存在するはずであり、その評価が必要であることを意味する。「自動化された情報処理統制(IT 業務処理統制)」の識別・評価については、見落とされることもあるため、注意が必要である。
6. 付録6 IT 全般統制を理解するための考慮事項
「監基報 315」では、「付録6」として IT 全般統制を理解する上での詳細な考慮事項が掲載されており、IT の利用から生じるリスクの事例に対処するための IT 全般統制の例 が IT プロセスごとに整理され掲載されている。以下は掲載されている内容から抜粋加工したものである。監査人は、こちらに記載されている内容について考慮する必要があるが、企業の IT 部門が IT 全般統制を構築・整備する上でも役立つと考えられる。実際は IT アプリケーションの性質に応じて統制が異なることが想定されるため、原文も参照しつつ参考として利用していただきたい。
おわりに
この改正「監基報 315」の適用時期は「2023 年3月決算に係る財務諸表の監査及び 2022 年9月に終了する中間会計期間に係る中間財務諸表の中間監査から実施する。」とされているが、少なくとも IT 関連については旧版から業務内容が大きく追加されているものでは無く、従来から求められていた事項が、より明確に分かりやすく提示されるようになったものであると考えられる。
監査人にはこれら要求事項にのっとり適切に監査・確認をすることが要求されている。加えて言うと「監基報 315 A165」には「質問のみでは、内部統制のデザインと業務への適用についてのリスク評価手続の目的には十分ではない。」と記載されており、質問以外の例えば現場観察、裏付けとなる資料確認も必要な手続として定められている。監査を受ける立場の企業ご担当者の方におかれては、監査人からこれらの対応依頼があった際には、ご理解の上ご協力いただけると幸いである。