電子帳簿保存法(イメージ文書)によるIT監査への影響

少し前ですが、JICPAから2022年1月27日に公表されている監査・保証実務委員会実務指針第104号「イメージ文書により入手する監査証拠に関する実務指針」及び「公開草案に対するコメントの概要及び対応」について、どう対応したら良いのか質問を受けましたので、IT監査の見直しや業務改善に際して、本件に関しては当然必要なことになるので、改めてここで記載したいと思います。

対象の電子データ

まず本実務指針の対象となる電子データですが、従来から監査手続きの中でリスク評価、対応を行っていたEDI等のシステムデータ取引を除いたイメージ文書がその対象になります。
以下の図の通り、イメージ文書は【原本をスキャナ等で電子化したイメージ文書①】と【取引情報の授受を一貫して電子データで行う電子取引において受領又はこうしたイメージ文書②】に分類されます。

監査・保証実務委員会実務指針第104号 イメージ文書により入手する監査証拠に関する実務指針 【図表】本実務指針の対象と適用範囲より抜粋

イメージ文書①は書面の原本に比べてコピー等の処理が介在することから、作成及び保存方法に関する内部統制の有効性次第で監査証拠の証明力も弱いものになります。他方で、イメージ文書②は被監査会社の支配下外で行われる処理ですので、①に比べて信頼性は高いものの、受領と保存方法に関する内部統制の有効性によっては監査証拠の証明力は弱いものにもなりうることが考えられます。

一般的には、イメージ文書①の作成は②の受領に比べて、イメージ文書の誤謬や不正を行える余地があるので、検討すべきリスクやその深度は深いものになると考えられます。ただし、いずれにしても、イメージ文書の特徴を前提として、リスク対応としての内部統制の検証や実証的な検証も必要になると考えられます。

実務指針上は、⑴原本の存在、⑵原本からの作成と複製の容易性、⑶電子機器等への依存、⑷使用性が高いとの記載がありますが、⑶については、クラウドサービスを利用するから物理的な機器類の破損リスクは低減できているとは思いますが、ソフトウェアが何らかの理由で使えないという状況はよく遭遇します。

IT監査への影響

財務報告に係るIT監査を前提として、当然IT全般統制とITに係る業務処理統制、手作業統制に係る業務処理統制(監基報315では情報処理統制)に少なからず影響するであろうと考えられます。

  • IT全般統制への影響

イメージ文書管理のためのシステム導入・変更、運用管理、セキュリティ管理の各区分でイメージ文書に関わるシステムにまでその範囲を拡大することになります。監基報315でもサイバーセキュリティに対するリスクへの対応について触れていましたが、ここでも言及されており、エッジデバイスの利用も進むことからサイバーセキュリティリスクについても再度検討する方が良いのではないかと思った次第です。

  • ITに係る業務処理統制への影響

イメージ文書化のためのソフトウェアやシステムが導入されることになるので、次の機能とその目的についても理解した上で、必要に応じて検証することになります。いずれもデジタル化において利用される一般的な技術や内部統制になります。

  • 関連付け:イメージ文書と関連帳簿等を連携するための管理番号等の電子インデックスを付けて、相互関連性を持たせる。
  • 電子署名:イメージ文書に電子署名を付与することで、作成者の証明と改ざんが無いことを保証する。
  • タイムスタンプ:イメージ文書にタイムスタンプを付与することで、作成時期の証明及び改ざんが無いことを保証する。
  • 履歴情報の保存:更新者や更新日時、実施内容を記録する保存機能を設ける。
  • アクセス権の設定:イメージ文書の保存及び更新・削除を実施できる者を限定して、リスクを低減する。
  • 自動保存機能の設定:人の手を介さずに自動保存することで、漏洩や改ざん、破壊等の機会を減らす。
  • 不正の防止又は検知機能:容易にコピーできることから、重複情報の発見機能や同一のイメージ文書は利用できないようにすること、他の関連情報とのマッチングによる不正検知機能等を導入する。
  • 手作業に係る業務処理統制への影響

イメージ文書を取り扱う事によって従来までの各業務プロセスに影響を及ぼすことになるので、追加・変更された統制を識別して、必要に応じて、リスク対応まで実施することが必要なものもあると思われます。

  • 書面とイメージ文書の照合:原本との突合せで誤謬や不正を発見する。
  • イメージ文書作成後の書面の管理:原本の誤った破棄を防止する。
  • 保存されたイメージ文書の確認:保存する情報の欠落等を確認することで、保存情報の正確性を担保する。
  • 取引先等の外部から受領したイメージ文書の確認:入手情報の信頼性を確かめる。
  • イメージ文書の更新及び廃棄:更新又は廃棄を限定した者のみとし、誤った破棄等を予防する。

以上の様にIT監査においても、デジタル化の重要性を鑑みて、これまでの手続きに加えて追加の手続きを実施することも必要になります。

最後に

情報のデジタル化による保存が義務化されたことを受けて、業務の見直しだけではなく、監査を実施する側も、デジタル化に対応したリスク評価及びリスク対応を行っていく必要性があります。特にIT領域については、その変化は著しく、対応について相談したいと思われましたら、うみもと会計事務所までお気軽にお問い合わせください。