公認会計士協会 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」の公表について
こんにちは、丸山満彦です。公認会計士協会が「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」を公表してますね。スプレッドシートについてのQ&Aが追加されています。。。
【公認会計士協会】
・2008.11.20 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」の公表について
・・前書文
・・新旧対照表
・・本文
=====
Q19:スプレッドシートに関する統制リスクの評価手続の留意点にはどのようなものがあるのでしょうか。
(略)
スプレッドシートのリスクの程度を評価する観点としては、例えば、以下のようなものが考えられます。
・ スプレッドシートの複雑さ
・ スプレッドシートが処理する金額の重要性
・ スプレッドシートが処理する内容・目的
・ スプレッドシートの変更頻度等
利用しているスプレッドシートが簡易だからといって、統制が不要となるものではなく、特定のスプレッドシートが監査上重要なものと判断される場合は、少なくとも計算処理の結果を確かめるために、検算等のなんらかの適当な統制手続が必須となることに留意する必要があります。
複雑かつ重要なスプレッドシートについての統制手続の例としては、以下のようなものが考えられます。
・ ロジックの検証=====
組み込まれたロジックの正確性は検算等により適切に確認されているか。
・ アクセス管理
スプレッドシートへのアクセスは適切に制限されているか。
・ 変更管理
仕様の確定、テスト、責任者による承認等の手続が正式に定められているか。
・ バックアップ
バックアップの頻度、対象、保管場所、保存期間は適切か。
・ バージョン管理
命名規則等の最新のバージョンのみが使用されるための仕組みはあるか。
・ データの完全性とセキュリティ
数式やマスタ・データ等のデータ処理にとって重要な項目が、不正又は不注意な変更から保護されているか。
・ 文書化
スプレッドシートの仕様等は文書化され、適切に更新されているか。
「アクセス管理」と「データの完全性とセキュリティ」の違いは、「スプレッドシート」へのアクセス管理と「スプレッドシートのセル」へのアクセス管理ですね。。。
Comments