« 質問 財務報告に係る統制環境だけを抜き出して評価できるか? | Main | 人間はめったにおこらないことの確率を正確に見積もれないらしい。。。 »

2008.03.28

公認会計士協会 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」

 こんにちは、丸山満彦です。日本公認会計士協会が、「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」を公表していますね。。。長い題ですね。。。

=====
 本研究報告は、IT委員会報告第3号の一部改正に合わせて、平成18年3月17日に公表したものです。今般、昨今のITに係る財務諸表監査を取り巻く環境の変化に伴い、会員が実務上必要と思われる例示及び留意点を新たに追加し、公表することとしました。
 今後、ますます重要性が高まるであろうIT監査理解のため、本研究報告にお目通しいただければと思います。
=====
 公認会計士向けです。。。一応。。。

 
【日本公認会計士協会】
・2008.03.28 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」の公表について

・・前書文 (PDF ・1P・17KB)
・・新旧対照表 (PDF ・6P・37KB)
・・本文 (PDF ・60P・190KB)

主要な追加部分。。。これって、監査人向けに書いているの?会社向けに書いているの?っていう内容もありますが・・・
=====
3.全般統制に不備がある場合の取扱いの考え方の例示
全般統制に不備があるとして指摘をする際には、そのシステムの状況や実際に財務諸表の数値にどのような影響があるかを考慮して意見を述べることが肝要です。次の事例は考え方の参考としてください。最終判断はリスクを考慮して検討することになります。
① バックアップデータの保管
バックアップデータの保管については、バックアップデータの外部保管と混同される場合がありますが、財務報告目的のリスク評価においては、財務報告の作成のための基礎データが全て失われるリスクを低減することにあります。よって、要請される管理レベルは、財務報告目的としては、データの復旧が可能なレベルです。
バックアップデータの外部保管は、必ずしも、外部業者への保管を要請しているものではありません。サーバルームにバックアップデータが保管されている場合に火災等によってサーバと同時にバックアップデータが消失し、財務報告の作成のための基礎データが全て失われてしまうリスクを低減するために別の場所に保管することにあります。リスクを考慮して、サーバのデータが失われても財務諸表作成に必要なデータが復旧可能な状態で確保されているかが重要であり、保管場所が社内か外部倉庫かが本質的な問題ではありません。複数拠点を有する企業では、自社内の各拠点を利用することで、必ずしも外部の業者を利用しなくても外部保管は可能であり、拠点間で相互にサーバがレプリカを持つ場合には、媒体(メディア)による保管がなくても目的は達している場合もあります。
② アクセスログの取得
情報システムに関するあらゆるアクセスログをとることが必須ではありません。アクセスログを取得し保管することが統制の目的ではなく、正当な職務権限による財務データへのアクセス以外の不当な入力や改ざんが無いかを監視することに意味があります。例えば、アプリケーションへのアクセスについて、そのログをどのレベルで取得しなければならないかは、そのアプリケーション・システムの構成や利用人数、保管場所などの環境を考慮することになります。例えば、スタンドアロンの経理システムで、施錠により部外者の立入り制限等、業務端末への物理的なアクセス制限があり、経理担当者が業務時間に管理者の監督下でのみ経理データを入力し、入力後に入力者が伝票に押印するなどの統制がある場合には、厳密なアクセスログが必要とされないことも考えられます。また、金額や科目の訂正等についてのログや伝票等の記録により、訂正をだれがいつ実施したかについての証跡を確保することは、必要と考えられます。ログはあくまで事後的な発見的統制であり、正当な権限のある入力者でない人が入力できないような防止的な統制、アクセス権と入力の職務権限が一致している等の統制と組み合わせて財務報告目的のリスクを低減することが重要です。
③ 職務の分離と権限の分掌について
職務の分離と権限の分掌は、職務を分離することが内部統制の目的ではなく、兼務すると牽制機能が働かなくなる職務を分けることにより、財務報告の正当性を確保することが目的です。よって少人数で職務の分離が困難な場合については全体として財務諸表に与える影響を考慮して、リスクとその統制の有効性を検討し、職務の分離と権限の分掌の不備を補完する統制を検討することになります。例えば、開発とプログラム保守は兼務可能ですが、運用については不正なプログラムの改ざんを防ぐために職務を分離して異なる要員が実施することが統制として重要です。よって小規模企業等においてシステム要員が少数であり、要員を分けることが困難である場合には、そのプログラム保守の正当性、つまり、不正なプログラムの作成をどのように防止もしくは発見する統制があるかを検討することになります。開発、プログラム保守要員が運用の業務を兼務する場合には、プログラム変更には管理者が必ず、事前に承認することや、プログラム保守の記録を取り、管理者が確認するなどの統制でリスクを低減できる場合もあります。これらの補完する統制を十分とするか否かは、実際のシステムや企業の実情により、リスクを勘案して決定することになります。システムの中には、長期間に渡り、全くプログラム変更が無い場合もあり、プログラム保守要員と運用要員を別途に置くことが非現実的である場合もあります。全般統制のリスクは、そうしたシステムの利用状況等を考慮した上で、不正なプログラム改ざんのリスクが低減可能な統制があるかを評価し、一律に職務の分離と権限の分掌の有無のみで統制が十分かどうかを判定するものではないことに留意する必要があります。

4.アウトソーシングの受託会社監査人の留意点
アウトソーシングの受託会社からの依頼を受けて監査基準委員会報告書第18 号に係る業務(以下「18 号業務」という。)を受嘱する場合や18号業務が情報システムに関する他の制度と混同されるのを避けるために以下の点について留意する必要があります。
(1) 18号業務と認証制度の違い
18号業務は、委託業務に係る内部統制の認証業務ではありません。プライバシーマークやISMS等の認証制度のような18号マークという制度は存在せず、報告書の入手をもって18号マーク認定を取得できるというものではありません。
監査基準委員会報告書第18号の目的に「本報告書は、財務諸表の基礎となる取引の承認、実行、計算、集計、記録等の業務を外部に委託している会社の財務諸表監査において、当該会社の監査人が業務を受託している会社の当該業務に係る内部統制を理解し統制リスクの評価を行うに当たっての実務上の指針を・・・」と記載されています。18号業務は本来、財務諸表監査の中で実施される統制リスクの評価の一環として実施されるものであり、認証制度として適用されるものではありません。また、3.アウトソーシングについて受託会社が監査報告書を入手している場合の留意点にもあるように、18号業務の報告書は必ずしも内部統制が有効である旨の意見だけを記載するものではありません。また、報告書には受託会社、委託会社及び委託会社の監査人のみが利用できるという制限が付されており、報告書を第三者に配布することはできません。
(2) データセンターへの委託会社(顧客)が未定の場合の18号業務について
データセンター業務の開始にあたって、まだ、顧客が確定していない時点でデータセンターの内部統制の評価を依頼される場合があります。この場合に18号業務として実施できる状況であるかについては十分に検討する必要があります。18 号業務は、前述(1)で記載したように、財務報告の基礎となる取引の承認、実行、計算、集計、記録等の業務を外部に委託している企業の監査人がその報告書を利用することを目的とする業務です。よって報告書が発行される段階では、具体的な委託相手がいることを前提としていると考えられます。
(3) ファイヤーウォールの設定等のネットワーク運用の信頼性の保証
18 号業務はその目的に記載されているように、財務報告の基礎となる業務の委託を前提としています。そして、監査基準委員会報告書第18号の第7項には委託業務が単に集計と記録のみではなく承認等を含むときには、受託先に内部統制があるとして受託先の内部統制評価を必要とすると記載しています。したがって、受託している業務が委託会社の財務諸表の基礎となる業務の重要な一部となるかを検討する必要があります。
例えば、対象がファイヤーウォールの設定・監視や物理的な入退出管理のみの場合は、その統制の対象が必ずしも財務報告の基礎となるシステムを対象としていない、もしくは対象であっても重要な一部とはみなされないこともあるため、慎重に判断する必要があります。同様に、ハウジングやホスティングについても単なる場所貸しに相当するような場合については、18号業務の対象ではないと判断される場合がありますが、そのサービス内容により、財務諸表の基礎となる業務の業務アプリケーションについての運用業務、その運用業務に関する全般統制は18 号業務の対象となる場合があります。受託しているネットワーク運用業務が財務諸表の基礎となる業務の重要な一部となると判断される場合には18号業務の対象とされ、ファイヤーウォールの設定が内部統制の評価対象項目として検証される場合もあります。
(4) ASPやSaaS のサービスの提供
ASPやSaaS については、受託会社で取引の処理が行われていることが想定されますが、委託会社が受託会社から提供されたサービスの内容とその形態により財務報告の基礎となる業務に係る内部統制が委託元にあるか受託先にあるかにより判断することになります。財務報告の基礎となる業務の内部統制が受託先にあると認められる場合に18号業務の対象となります。ASPやSaaS といったサービス形態の名称だけではなく、財務報告の基礎となる業務の業務アプリケーションについての業務運用、その業務運用に関する全般統制は18 号業務の対象となる場合があります。なお、留意すべきは、財務諸表の基礎となる業務の委託について受託会社に18 号業務の報告書を求めるか否かは、委託会社及び委託会社の監査人がその業務の重要性等を勘案して決定することになります。
上記のサービスの形態を整理すると以下のようになります。
①ハウジング
顧客の通信機器や情報発信用のコンピュータ (サーバ)等を、回線設備の整った施設に設置するサービス。
②ホスティング
必要なコンピュータ(サーバ及び関連するITインフラ)の容量を共用できるようにして顧客に貸し出しするサービス。
③ASP(Application Service Provider)
アプリケーションソフトウェアを顧客が個々に所有するのではなく、ASP業者が提供するソフトウェアにより処理を行うサービスを利用するもの。
④SaaS(Software as a Service)
ネットワークを通じて顧客にアプリケーションソフトの機能を必要に応じて提供する仕組み。
SaaS によって、顧客はソフトウェアを所有せずに、機能単位で提供される必要最小限のサービスを利用することができる。実際には、①ハウジング、②ホスティング及び③ASPとの組み合わせをSaaS といっている場合もある。
=====

|

« 質問 財務報告に係る統制環境だけを抜き出して評価できるか? | Main | 人間はめったにおこらないことの確率を正確に見積もれないらしい。。。 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 公認会計士協会 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」:

» いわゆる18号監査 [Security, time after time]
内部統制報告制度(いわゆるJ-SOX)の適用初年度が終わって内部統制関連のお話も... [Read More]

Tracked on 2009.10.07 03:55

« 質問 財務報告に係る統制環境だけを抜き出して評価できるか? | Main | 人間はめったにおこらないことの確率を正確に見積もれないらしい。。。 »