« 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定 | Main | JNSAの2020年セキュリティ十大ニュース »

2020.12.26

日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています)

こんにちは、丸山満彦です。

日本公認会計士協会が、「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」(公開草案)を公表していますね。。。

これは従来のTrust Service Criteriaの適用を前提とした保証業務実務指針3852「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書」(2019年11月6日最終改正)及びIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」に代わる実務指針及びそのQ&Aと言う位置付けで、Trust Service Criteria以外の規準を適用した場合に限らず、広く情報セキュリティ等に関する受託業務のTrustに係る内部統制を対象とした保証業務を行うための実務指針及び研究報告と言うことですね。。。

日本公認会計士協会

・2020.12.25「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」(公開草案)の公表について

「付録5 受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のための Trust サービス規準」だけ別れているので読むときは注意してくださいね。。

また、今回の実務指針は、「合理的な保証を提供する主題情報の提示を受ける保証業務に関する実務上の指針のみを取り扱っている。(第 11 項及び第 51 項(13)参照) とのことです。簡単に言うと、内部統制の監査(J-SOX)と同じ枠組みということです 



Criteria=規準を従前のTrusu Sercice Criteria以外にも認めると言うことですから、付録5に記載されている従前の規準であるIT委員会研究資料第10号「セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関するTrustサービス規準」(以下「IT研資10号」という。)に示された米国公認会計士協会(American Institute of Certified Public Accountants)「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のためのTrustサービス規準」は例示であって、これ以外のCriteriaも認めるということになりますね。。。

これは実は大きな変更なんです。。。論点は2つです。

  1. 何を保証して欲しいか?保証するか?(主題・主題情報の問題)
  2. その保証のためにはどのような規準が使えるか?(規準の問題)

従前は何を保証して欲しいか?とその保証のための規準の組み合わせが「Trust Serviceという枠組み」の中で固定されていました。

しかし、規準をTrust Serviceに限らないとすると「主題・主題情報」と「規準」の組み合わせが自由になるということです。しかし、なんでも良いというわけにはいかないので、「主題・主題情報」と「規準」についてなんらかの要件が必要となりますね。。。

そこを注意してほしいと思います!

例えて言うと、「違法建築ではない」と言うことを知りたいのに、「建物の色は住民に受け入れられているか?」と言う「主題」を立ててもダメだし、「建物の設計は法律に準拠していて、施工は設計通りに実施したという経営者の記述」と言う主題情報を評価するのに、「建築物の高さについての規制」だけを規準としてもダメだと言うことですね。。。

この辺りについては、

Q&AのQ6が参考になります。


Q6 「付録5の規準」以外の主題情報を追加する際に留意すべき事項を教えてください。また、「付録5の規準」以外の規準に基づいて主題情報を評価する際に留意すべき事項を教えてください。

A6 受託会社監査人は、受託会社からの要請に基づいて、「付録5の規準」に追加して、状況によっては、「付録5の規準」以外の規準に基づいて、例えば、規制当局の要求事項や業界団体の自主規制等の遵守に関して、保証実 3850 に準拠して業務を実施することができます。

(1) 「付録5の規準」以外の主題情報を追加する際の留意事項この場合、受託会社監査人は、「付録5の規準」と、受託会社から追加された主
題情報に関する説明、受託会社のシステムに関する記述書の記述の追加及び関連する内部統制等に関する受託会社監査人の業務の遂行上必要な情報を入手する必要があります(保証実 3850 付録5第2項参照)。

当該情報には以下のものが含まれます。

① 追加した主題情報に関する受託会社のシステムに関する記述書の補足
② 追加した主題情報の評価又は測定と表示に利用する規準の説明
③ 規準が内部統制に関係する場合、当該規準に対応する内部統制の説明
④ 追加した主題情報に対する経営者の確認書

また、受託会社監査人は、追加された主題情報に対して、保証実 3850 に準拠して当該事項を検証する必要があります。さらに、保証報告書には、範囲及び意見に関する記述は区分して記載し、タイプ2の報告書の場合、追加された主題情報について受託会社監査人が実施した追加の検証手続及びその結果についても報告書に区分して記載します。

(2) 「付録5の規準」以外の規準に基づいて主題情報を評価する際の留意事項保証実 3850 は、「付録5の規準」以外の規準に基づいて主題を評価する場合も想定しています。なお、情報セキュリティ等のIT関連の保証業務に関わる個別指針であるため、一般指針の監査・保証実務委員会実務指針第 93 号「保証業務実務指針 3000「監査及びレビュー業務以外の保証業務に関する実務指針」」(以下
「保証実 3000」という。)と同時に適用されます。

情報セキュリティ等に関する主題について、「付録5の規準」以外の規準に基づいて評価するに際しては、保証業務の実施者は、主題を評価するための規準が、保証実 3000 第 24 項に基づいて、保証業務の前提条件が満たされているかどうか、主題の適切性や規準の適合性及び利用可能性などを判断する必要があります。


 


 

参考

監査・保証実務委員会 実務指針:第 93 号 保証業務実務指針 3000 監査及びレビュー業務以外の保証業務に関する実務指針 (2017.12.19)

≪(1) 保証業務の前提条件≫
24.業務実施者は、保証業務の前提条件が満たされているかどうかを明確にするため、業務の状況に関する予備知識及び適切な当事者との協議に基づき、以下の事項について判断しなければならない(A35 項参照)。

(1) 適切な当事者の負うべき役割と責任が、状況に応じて適切に分担されているかどうか(A36 項から A38 項まで参照)。

(2) 業務が以下の全ての特徴を有しているかどうか。
① 主題が適切である(A39 項から A43 項まで参照)。

② 主題情報の作成に適用されると業務実施者が想定する規準が以下の特性を示しており、業務の状況に照らして適合している(A44 項から A49 項まで参照)。
 ア.目的適合性
 イ.完全性
 ウ.信頼性
 エ.中立性
 オ.理解可能性

③ 主題情報の作成に適用されると業務実施者が想定する規準が、想定利用者にとって利用可能である(A50 項及び A51 項参照)。

④ 業務実施者が、結論を裏付けるために必要な証拠を入手できることが見込まれている(A52 項から A54 項まで参照)。

⑤ 業務実施者の結論が、合理的保証業務又は限定的保証業務に適した様式で報告書に含まれる予定である。

⑥ 限定的保証業務の場合には、業務実施者が意味のある保証水準を得ることによってその達成を期待するような、業務の合理的な目的が存在する(A55 項参照)。


より詳細な情報は、

↓↓↓

≪(1) 保証業務の前提条件≫(第 24 項参照)
A35.主題全体には適合しないが、主題のうち、一つ又は複数の側面に適合している規準を、業務実施者が識別することがある。その場合には、主題の当該側面に関して、保証業務を実施することができる。

ただし、そのような場合には、保証報告書において、当該報告書が主題全体に関係するものではないことを明らかにする必要がある。

≪(2) 役割と責任≫(第 12 項(5)、(17)、(27)及び(28)並びに第 13 項、第 24 項(1)及び付録1参照)

A36.全ての保証業務には、少なくとも主題に責任を負う者、業務実施者及び想定利用者という三当事者が存在する。主題情報の提示を受ける保証業務においては、多くの場合、主題に責任を負う者は測定者又は評価者及び業務依頼者の役割を兼ねる。保証業務における三当事者の各々の役割については、付録1に記載されている。

A37.主題に責任を負う者が自らの責任を理解し、承諾することは、主題に関する適切な責任関係を明らかにし、主題に責任を負う者及び業務実施者の責任に関する共通の理解の基礎となる。書面による承諾は、主題に責任を負う者が自らの責任を理解し、承諾していることを示すための最も適切な形式である。責任の所在に関する承諾書がない場合でも、例えば、法令等又は契約書等が主題に対する責任の所在を明らかにしている場合には、業務実施者が業務を受嘱することが適切な場合がある。また、これら以外の場合には、契約の締結を辞退するか、又は保証報告書において主題に対する責任の所在について明らかにされていない状況について開示することが適切であることもある。

A38.測定者又は評価者は、主題情報に対して合理的な基礎を得ることに責任を負う。合理的な基礎の構成要素となるものは、主題の性質及びその他の業務環境によって決まる。測定者又は評価者が、主題情報に重要な虚偽表示がないということについての合理的な基礎を得るために、広範囲にわたって内部統制に依拠することが必要となる場合がある。また、業務実施者が主題情報について報告を行うということは、主題情報に対して合理的な基礎を得るために、測定者又は評価者が自ら実施するプロセスを代替するものではないことに留意する。

≪(3) 主題の適切性≫(第 24 項(2)①参照)

A39.適切な主題とは、識別可能であり、適合する規準に照らして首尾一貫した測定又は評価を行うことができるものであり、かつ、主題情報に対する合理的保証又は限定的保証の結論を裏付けるために、十分かつ適切な証拠を収集するための手続を実施することができるものである。

A40.主題の適切性は、保証水準の影響を受けない。すなわち、主題が合理的保証業務において適切でない場合には、限定的保証業務においても適切ではなく、その逆もまた同様である。

A41.主題の性質は、主題情報が定量的か定性的か、客観的か主観的か、過去情報か将来情報か、一定時点に関する情報か一定期間に関する情報か、といった観点から分類できる。主題によってそれらの性質は異なることとなる。主題の性質は、以下の点に関して保証業務に影響を及ぼす。  
 (1) 規準を適用して主題を測定又は評価する際の精度
 (2) 入手可能な証拠の心証の程度

A42.主題が有する性質を識別し、その影響を考慮することは、業務実施者が主題の適切性を評価する際及び保証報告書の内容を決定する際にも役立つ(A165 項参照)。

A43.保証業務は、より大きな主題のうちの一部のみに対して実施されることがある。例えば、業務実施者は、環境改善プログラムの件数等、企業によるサステナビリティへの貢献のうちのある一つの側面について報告する業務を実施することがある。そのような場合には、業務実施者が当該業務の主題が適切かどうかを判断するに当たり、報告を求められる側面に関する主題情報が想定利用者の情報ニーズを満たしているかどうか、及び主題情報がどのように開示され、想定利用者に配布されるかについて考慮することが適切な場合がある。例えば、サステナビリティへの貢献に関して、より重要性が高いその他のプログラムがあるにもかかわらず、その成果が好ましくないために企業が報告対象としていない場合である。

≪(4) 規準の適合性及び利用可能性≫

≪規準の適合性≫(第 24 項(2)②参照)

A44.適合する規準は、以下の特性を示している。
(1) 目的適合性:想定利用者の意思決定に役立つ主題情報の測定又は評価に資する規準であること。
(2) 完全性:規準に準拠して主題情報を作成する場合に、当該主題情報に基づく想定利用者の意思決定に影響を与えると合理的に予想される要因が省略されていない規準であること。完全な規準には、目的に適合する場合、表示及び開示に関する規準が含まれる。
(3) 信頼性:類似の状況において異なる業務実施者が利用した場合であっても、主題の測定又は評価を合理的かつ首尾一貫して行うことを可能にする規準であること。
なお、信頼性のある規準には、目的に適合する場合、表示及び開示に関する規準が含まれる。
(4) 中立性:業務を実施する状況によらず偏向のない主題情報の測定又は評価に資する規準であること。
(5) 理解可能性:想定利用者に理解可能な主題情報をもたらす規準であること。

A45.個々人の経験に基づく期待又は判断を曖昧に記述したものは、適合する規準とはならない。

A46.特定の業務に関する規準の適合性は、それらが A44 項の特性を反映しているかどうかによって決まる。特定の保証業務に対する規準の適合性を評価する際に、これらの特性のそれぞれがどの程度重要であるかは、業務実施者の職業的専門家としての判
断による。
さらに、ある特定の保証業務では適合する規準が、別の保証業務では適合しない場合もある。例えば、政府や規制当局への報告で要求される規準は、政府や規制当局以外の多くの利用者にとっては適合する規準ではないことがある。

A47.規準は、様々な方法で選択又は策定されることがある。例えば、以下のようなものが考えられる。
<制度として確立された規準>
・ 法令又は規則等によって定められたもの
・ 透明性のある適切な手続を通じて権威ある又は認められた専門家団体により公表されたもの
<主題に応じて特定の目的のために策定された規準>
・ 透明性のある適切な手続を経ずに業界団体が独自に策定しているもの
・ 学術的な刊行物
・ 特許又は著作権による保護を受ける目的で開発されたもの
・ 特定の業務の状況下における主題情報を作成する目的で特に開発されたもの
規準がどのように策定されたかは、業務実施者が規準の適合性を評価するために実施する手続に影響を及ぼすことがある。

A48.特定の保証業務に使用すべき規準が、法令又は規則等によって定められている場合がある。そのような規準は、透明性のある適切な手続を通じて権威ある又は認められた専門家団体により公表された規準といえるため、想定利用者のニーズに合致していれば、特段の反証がない限り、当該業務に適合する規準であると想定される。そのような規準を「制度として確立された規準」という。主題に対して制度として確立された規準が存在する場合であっても、特定の利用者が、特定の目的のために、その他の規準を使用することに合意することがある。例えば、内部統制の有効性の評価に対する制度として確立された規準としては、様々な枠組みがある。しかしながら、特定の利用者が、特定のニーズを満たすために(例えば、内部統制の有効性に対する監督を慎重に行うために)、制度として確立された規準よりも詳細な規準を策定すること
もある。そのような場合、業務実施者は、保証報告書において以下の対応を行う。
(1) 保証報告書の利用者の注意を喚起するため、主題情報は特別の目的のために作成された規準に準拠して作成されており、したがって、主題情報が他の目的には適合しないことがある旨を記載する(第 69 項(6)参照)。
(2) 業務の状況に関連する場合には、規準が法令若しくは規則等によって定められたものではない旨又は透明性のある適切な手続を通じて権威ある若しくは認められた専門家団体により公表されたものではない旨を記載することがある。

A49.規準が明らかに特別な状況における主題情報を作成する目的で策定されており、それによって主題情報又は保証報告書が想定利用者の誤解を招くことになる場合には、そのような規準は適合する規準とはいえない。特別に策定された規準が想定利用者の目的に適合していることを、想定利用者又は業務依頼者が認識していることが望ましい。そのように認識されていない場合には、業務実施者による規準の適合性の評価及び保証報告書における規準についての記載内容に影響が生じることがある。

≪規準の利用可能性≫(第 24 項(2)③参照)
A50.主題の測定又は評価の方法を想定利用者が理解するためには、想定利用者にも規準が利用可能であることが必要である。想定利用者にとって利用可能な規準とは、以下のような規準である。
(1) 公表されている規準
(2) 主題情報において明示されている規準
(3) 保証報告書において明示されている規準(A164 項参照)
(4) 広く一般に理解を得られている規準(例えば、時・分・秒や度量衡といった測定の規準)

A51.規準は、特定の想定利用者だけが利用可能な場合がある。例えば、特定の目的のために策定された規準として契約条件として定められている場合、又は特定の目的のために業界団体が公表する規準で、当該業界関係者のみが利用可能な者として想定されている場合である。この場合には、第 69 項(6)において、保証報告書の利用者の注意を喚起するための記載を要求している。さらに、業務実施者は、当該保証報告書が特定の利用者のみを想定していることを示すことが適切かどうかを検討することもある(A166 項及び A167 項参照)。

≪(5) 証拠の入手≫(第 24 項(2)④参照)

≪利用可能な証拠の量と質≫

A52.利用可能な証拠の量と質は、以下の影響を受ける。通常、証拠は絶対的というより心証的なものである。
(1) 主題又は主題情報の特性
例えば、主題情報が将来情報に関するものである場合には、主題情報が過去情報に関するものである場合と比較して、客観的な証拠はより少ないことが想定される。
(2) その他の業務環境
例えば、業務実施者の選任時期、事業体の文書保存に関する方針、情報システムの不備又は主題に責任を負う者により課された制約等のために、存在することが合理的に期待される証拠が利用できない場合が考えられる。

≪証拠の入手可能性≫(第 56 項参照)

A53.適切な当事者に対して、彼らが業務実施者に以下を提供する責任を有していることを認識し、理解していることを確かめることは、業務実施者が証拠の入手可能性について判断するのに役立つ。
(1) 適切な当事者が、主題情報の作成に関連すると認識している記録や、証憑書類等の全ての情報
(2) 業務実施者が、業務の目的に関連して適切な当事者に依頼する、全ての追加的な情報
(3) 業務実施者が証拠を入手するために必要であると判断した、適切な当事者(その構成員を含む。)への制限のない質問や面談の機会

A54.主題に責任を負う者、測定者又は評価者及び業務依頼者の関係は、業務実施者が業務を遂行するために証拠として要求することがある記録や証憑書類等の入手可能性に影響を及ぼすことがある。したがって、各当事者がどのような関係にあるかが、業務に関する契約を新規締結又は更新するか否かを判断する際の考慮事項となることがある。当事者の関係に問題を生じさせる可能性のある状況については、A139 項に例示されている。

≪(6) 業務の合理性≫(第 24 項(2)⑥参照)

A55.保証業務に合理的な目的があるか否かを判断する際に考慮される事項としては、以下のようなものがある。
・ 主題情報及び保証報告書の想定利用者が誰か(特に、規準が特別な目的のために設定されている場合)。主題情報及び保証報告書が想定利用者よりも広範囲に利用又は配布される可能性についても考慮することがある。
・ 主題情報のうちの一部の側面が保証業務から除外されると予想されるかどうか、また、除外される理由は何か。
・ 主題に責任を負う者、測定者又は評価者及び業務依頼者がどのような関係にあるか。例えば、測定者又は評価者が主題に責任を負う者でない場合において、主題に責任を負う者が、想定利用者への主題情報の提供を承諾するかどうか、また、想定利用者に利用可能となる前に主題情報の内容を検討することができるかどうか。
・ 主題を測定又は評価するための規準を選択したのは誰か、また、規準の適用に当たって判断や偏向が入り込む余地がどの程度存在するか。想定利用者が規準を選択する場合又は規準の選択に関与する場合の方が、保証業務に合理的な目的が存在する可能性が高い。
・ 業務実施者の作業の範囲に重大な制約があるかどうか。
・ 業務実施者の名称と主題又は主題情報が不適切な方法で結び付けられる疑念があるかどうか。


 

監査・保証実務委員会研究報告第 31 号 監査及びレビュー業務以外の保証業務に係る概念的枠組み (2017.12.19)

 

≪8.保証業務の前提条件≫

27.保証業務契約の新規締結又は更新の可否を判断する際に考慮する前提条件は次のとおりである。
(1) 適切な当事者(すなわち、業務実施者、主題に責任を負う者及び業務依頼者)の役割と責任が、その状況下において適切に分担されている。
(2) 業務が以下の全ての特徴を有している。
① 主題が適切である。
② 主題に責任を負う者が主題情報を作成する場合又は業務実施者が結論を報告する場合に適用される規準が、第 48 項に記載された特性を示しており、業務の状況に照らして適合している。
③ 主題情報の作成に適用されると業務実施者が想定する規準が、想定利用者にと用可能である。
④ 業務実施者が結論を裏付けるために必要な証拠を入手できることが見込まれている。
⑤ 業務実施者の結論が、合理的保証業務又は限定的保証業務に適した様式で報告書に含まれる予定である。
⑥ 限定的保証業務の場合には、業務実施者が意味のある水準の保証を入手することによってその達成を期待するような、業務の合理的な目的が存在する。

28.保証業務の主題は、それぞれの業務によって大きく異なることがあり得る。幾つかの主題は、業務実施者個人が通常有するものを越えた、専門的な技能と知識を必要とすることがある。また、業務実施者は、業務チームが全体として適切な適性と能力を
有していることを確かめることが重要である(第 35 項参照)。

29.保証業務として契約締結ができないと判断された場合であっても、契約当事者は、想定利用者のニーズを満たすために、例えば以下のように、当初想定していたものと異なる内容の契約を締結することがある。

(1) 業務実施者が当初想定した規準は業務の状況に適合しないが、以下のいずれかに該当する場合には、第 27 項の前提条件を満たす保証業務として実施されることがある。
① 業務実施者が、主題全体には適合しないが、主題のうち、一つ又は複数の側面に適合する規準を識別できた場合。この場合には、業務実施者は、その主題の側面に関して保証業務を実施できるが、保証報告書において、当該報告書が主題全体に関係するものではないことを明らかにする必要がある。
② 主題に応じた適合する規準を代替的に選択又は策定できる場合

(2) 業務依頼者は、コンサルティング業務又は合意された手続業務など、保証業務ではない業務を依頼することがある。

30.業務契約の新規締結又は更新後に、合理的な理由なく、保証業務を非保証業務に、又は合理的保証業務から限定的保証業務に変更することは適切ではない。想定利用者の要求する事項に影響を与える状況の変化又は業務内容に関する誤解が生じた場合には、合理的な根拠に基づき業務内容を変更することがある。業務内容の変更が行われた場合、変更前に入手した証拠を変更後の業務に利用することを考慮する。
合理的保証の結論を形成するための十分かつ適切な証拠を入手できないことは、合理的保証業務から限定的保証業務に変更する受入可能な理由にはならない。

≪9.保証業務の要素≫

31.保証業務には、以下の要素がある。
(1) 三当事者(業務実施者、主題に責任を負う者及び想定利用者)の存在
(2) 適切な主題
(3) 適合する規準
(4) 十分かつ適切な証拠
(5) 合理的保証業務又は限定的保証業務に応じた適切な様式での書面による報告

≪10.三当事者関係≫

32.全ての保証業務には、少なくとも、業務実施者、主題に責任を負う者及び想定利用者という三当事者がいる。業務の状況に応じて、三当事者以外に、測定者若しくは評価者の役割を果たす者又は業務依頼者の役割を果たす者がいることもある(付録3参照)。

33.主題に責任を負う者及び想定利用者は、異なる事業体に属する場合も同一の事業体に属する場合もある。同一の事業体に属する場合の例としては、役員の権限と責任が二層構造となっている場合があり、当該事業体の取締役が提供する情報について監督する取締役会が業務実施者に保証を求めることがある。主題に責任を負う者と想定利用者との関係は、特定の業務の状況下で考える必要があり、一般的な責任関係とは異なることがある。例えば、一義的にはある取締役(主題に責任を負う者)が直接的な責任を負うが、最終的には取締役会が責任を負うことになるような企業活動の特定の領域について、業務実施者が取締役会(想定利用者)と保証業務契約を締結することがある。

≪(1) 業務実施者≫
34.業務実施者は、主題情報に重要な虚偽表示がないかどうかについて合理的保証又は限定的保証を得るために、保証業務の技能及び技法を適切に適用して業務を実施する者である。通常は、業務執行責任者若しくは業務チームの他のメンバー又は場合によっては監査事務所を指す。直接報告による保証業務では、業務実施者は、規準を適用して主題を測定又は評価するとともに、当該測定又は評価の結果に重要な虚偽表示がないかどうかについて、合理的保証又は限定的保証を得るために保証業務の技能及び技法を適用する。

35.業務環境に関する予備知識が専門的能力に関する倫理規則の要求事項を満たしていない状況を示している場合、業務契約を締結してはならない。場合によっては、業務実施者が専門家の業務を利用して、これらの要求事項を満たすことができる。

36.加えて、業務実施者は、利用する専門家及びその他の業務実施者の実施する業務に対して、以下を実施するために十分な関与が必要である。
・ 主題情報に対する保証の結論について責任を負う。
・ 当該専門家又はその他の業務実施者の業務が業務実施者の目的を満たしているかどうかに関して必要な証拠を入手する。

37.業務実施者は、表明した保証の結論に単独で責任を負う者であり、その責任は業務実施者が専門家又はその他の業務実施者の業務を利用したとしても軽減されるものではない。しかしながら、専門家の業務を利用した業務実施者が、関連する保証業務に関する実務指針に従い、当該専門家の業務が業務実施者の目的に照らして適切であると結論付けた場合には、業務実施者は、当該専門家の専門分野での指摘事項又は結論を適切な証拠として受け入れることができる。

≪(2) 主題に責任を負う者≫

38.主題に責任を負う者は、主題に責任を負う当事者である。主題情報の提示を受ける保証業務において主題に責任を負う者は、多くの場合、測定者又は評価者でもある。
また、主題に責任を負う者は、保証業務を実施する業務実施者と業務契約を締結する当事者(業務依頼者)となることもあれば、そうでないこともある。

≪(3) 想定利用者≫

39.想定利用者は、保証報告書を利用すると業務実施者が想定する者をいい、個人、組織又はそれらの集団が含まれる。主題に責任を負う者は、想定利用者の一人になることはできるが、主題に責任を負う者が唯一の想定利用者となることはできない。

40.保証報告書の宛先以外の者が想定利用者となる場合もある。特に多数の人々が保証報告書を入手できる場合には、業務実施者は、当該保証報告書の利用者を全て特定できるとは限らない。そのような事例において、保証報告書を利用する可能性がある者が主題に多様な関心を持っているような場合には、特に、想定利用者は、重要かつ共通の関心を持った主要な利害関係者に限定されることがある。例えば、業務実施者と主題に責任を負う者若しくは業務依頼者との間の契約によって、又は準拠する法令若しくは規則によって、想定利用者が様々な形で特定されることがある。

41.想定利用者又はその代理人は、業務実施者、主題に責任を負う者及び業務依頼者(主題に責任を負う者と異なる場合)とともに、個々の業務に要求される事項の決定に直接関与することがある。しかしながら、これらの者の関与にかかわらず、業務実施者は、手続の種類、時期及び範囲の決定に責任を負う。
また、業務実施者が手続の立案時に基礎とした情報と著しく異なる情報に気付いた場合には、結論を表明するために追加手続の実施による対応が必要となることがある。
なお、これらの責任と対応に関しては、業務実施者が結論を表明せず、業務依頼者及び適切な第三者との間で合意された手続に基づき手続実施結果のみを報告する合意された手続業務とは異なる。

42.想定利用者(例えば、金融機関及び規制当局など)が、適切な当事者に特定の目的の保証業務の実施を課すか又は依頼することがある。業務が特定の目的のために策定された規準を使用して行われる場合には、保証報告書にはこの事実について読者の注意を喚起する記載を含める。加えて、業務実施者は、保証報告書が特定の利用者を想定したものであることを記載することも考慮することがある。保証業務の状況によっては、適用される規準に関する注意喚起や想定利用者に関する記載に代えて、保証報告書の配布又は利用を制限することで十分な場合がある。特定の利用者又は特定の目的のための利用を意図する場合には、保証報告書には利用制限が記載されることとなる。しかしながら、利用制限が記載されないことのみをもって、業務実施者が想定外の者による利用又は目的外の利用に対する法的責任を負うことを示すものになるとは限らない。法的責任を負うかどうかは、各々の事例及び適用される法令等の状況による。

≪11.主題≫

43.主題とは、規準の適用によって測定又は評価される事象をいう。第 16 項及び付録4は、様々な例示を含む一連の想定される主題の分類を示している。

44.主題の特徴は、主題情報が、定量的か定性的か、客観的か主観的か、過去情報か将来情報か、一定時点に関する情報か一定期間に関する情報か、といった観点から分類できる。主題によってそれらの特徴は異なることとなる。主題の特徴は、以下の点に関して保証業務に影響を及ぼす。
(1) 規準を適用して主題を測定又は評価する際の精度
(2) 利用可能な証拠の心証の程度
保証報告書には、想定利用者に特に関連する主題の特徴が記載されることがある。

45.主題の適切性は、保証水準の影響を受けない。すなわち、主題が合理的保証業務において適切でない場合には、限定的保証業務においても適切ではなく、また、主題が限定的保証業務において適切でなかった場合も同様である。適切な主題とは、以下のいずれも満たすものをいう。
・ 識別可能である。
・ 適合する規準に照らして首尾一貫した測定又は評価を行うことができる。
・ 主題情報に対する合理的保証又は限定的保証の結論を裏付けるために、十分かつ適切な証拠を収集するための手続を実施することができる。

≪12.規準≫

46.規準とは、主題を測定又は評価するための一定の基準となるものである。一般に広く用いられる規準には、例えば以下のようなものがある。
・ 内部統制の有効性に関する報告における確立された内部統制の枠組み
・ 遵守の状況に関する報告における適用される法令、規則又は契約
特定の利用者によって用いられる規準の例としては、組織の内部で策定された行動規範や、合意された業績水準(例えば、特定の委員会の年間予定開催回数)などがある。

47.適合する規準は、職業的専門家としての判断に基づき、主題について合理的に、首尾一貫した測定又は評価を実施するために必要である。適合する規準に基づく判断の枠組みがなければ、個人的な解釈や誤解による結論が導かれる場合がある。適合する規準は保証業務の状況に関連するものであり、同じ主題に対して、異なる測定又は評価結果をもたらす異なる規準が存在することもある。例えば、顧客満足度という主題を測定するための規準として、顧客が納得したと認めるまで改善した苦情件数を選択する場合や、初めて購入した顧客が3か月以内に再度購入した件数を選択する場合がある。
さらに、ある特定の保証業務では適合する規準が、別の保証業務では適合しない場合もある。例えば、政府や規制当局への報告で要求される規準は、政府や規制当局以外の多くの利用者にとっては適合する規準ではないことがある。

48.適合する規準は、以下の特性を示している。

(1) 目的適合性:想定利用者の意思決定に役立つ主題情報を測定又は評価するのに資する規準であること。

(2) 完全性:規準に準拠して主題情報を作成する場合に、当該主題情報に基づく想定利用者の意思決定に影響を与えると合理的に予想される要因が省略されていない規準であること。完全な規準には、目的に適合する場合、表示及び開示に関する基準が含まれる。

(3) 信頼性:類似の状況において異なる業務実施者が利用した場合であっても、主題の測定又は評価を合理的かつ首尾一貫して行うことを可能にする規準であること。
なお、信頼性のある規準には、目的に適合する場合、表示及び開示に関する規準が含まれる。

(4) 中立性:業務を実施する状況によらず偏向のない主題情報を測定又は評価するのに資する規準であること。

(5) 理解可能性:想定利用者に理解可能な主題情報をもたらす規準であること。

49.個々人の経験に基づく期待又は判断を曖昧に記述したものは、適合する規準とはならない。

50.特定の保証業務に対する規準の適合性を評価する際、第 48 項の特性のそれぞれがどの程度重要であるかについては、業務実施者の職業的専門家としての判断による。規準の適合性は保証水準の影響を受けない。つまり、合理的保証業務において適合しない規準は限定的保証業務でも適合せず、限定的保証業務において適合しない場合もまた同様である。
規準は、制度として確立された規準と主題に応じて特定の目的のために策定された規準に区分することができる。制度として確立された規準とは、法令又は規則等によって定められたもの、透明性のある適切な手続を通じて権威ある又は認められた専門家団体により公表されたもの等である。主題に応じて特定の目的のために策定された規準とは、これ以外の、特定の業務の状況下における主題情報を作成する目的で特に開発されたものである。特定の業務に対する規準の適切性の評価に当たっては、制度として確立された規準か、特定の目的のために策定された規準かを考慮する。例えば、制度として確立された規準は、想定利用者のニーズに合致していれば、特段の反証がない限り、当該業務に適合する規準であると想定される。

51.主題の測定又は評価の方法を想定利用者が理解するためには、想定利用者にも規準が利用可能であることが必要である。想定利用者にとって利用可能な規準とは、以下のような規準である。
(1) 公表されている規準
(2) 主題情報において明示されている規準
(3) 保証報告書において明示されている規準
(4) 広く一般に理解を得られている規準(例えば、時・分・秒や度量衡といった測定の規準)

52.規準は、特定の想定利用者のみが利用可能な場合がある。例えば、契約条件として定められている規準、又は業界団体が公表して当該業界関係者のみが利用可能な者として想定されている規準は、特定の目的のために策定された規準であり、特定の想定
利用者のみが利用可能である(第 42 項参照)。

53.業務実施者は業務実施に当たり、規準の適合性を評価する。

≪13.証拠≫

54.保証業務は、規準に基づく主題の測定又は評価の報告結果について、業務に関連する十分かつ適切な証拠を入手するために、職業的専門家としての懐疑心をもって計画され実施される。業務実施者は、業務の計画及び実施時において、特に、手続の種類、時期及び範囲を決定する際には、以下の事項について、職業的専門家としての判断を行使することが求められる。
・ 重要性
・ 保証業務リスク
・ 利用可能な証拠の量及び質

≪(1) 職業的専門家としての懐疑心≫

55.職業的専門家としての懐疑心は、例えば、以下について注意を払うことを含む。
(1) 入手した他の証拠と矛盾する証拠
(2) 証拠として利用する記録や証憑書類又は質問に対する回答の信頼性に疑念を抱かせるような情報
(3) 関連する実務指針により要求される事項に加えて追加の手続を実施する必要があることを示唆する状況
(4) 虚偽表示の可能性を示唆する状況

56.業務の過程を通じて職業的専門家としての懐疑心を保持することは、例えば、業務実施者が以下のリスクを抑えるために必要である。
・ 通例でない状況を見落とすリスク
・ 手続の結果について十分な検討をせずに一般論に基づいて結論を導いてしまうリスク
・ 実施する手続の種類、時期及び範囲の決定並びにその結果の評価において不適切な仮定を使用するリスク

57.職業的専門家としての懐疑心は、保証業務における証拠を批判的に評価するために必要である。職業的専門家としての懐疑心には、証拠の矛盾や、記録や証憑書類の信頼性、又は質問への回答の信頼性について鵜呑みにしないことが含まれている。また、個々の状況に照らして、入手した証拠の十分性と適切性について検討することが含まれる。

58.業務内容が、文書が真正であるかどうかに関する保証である場合を除いて、業務実施者は、記録や証憑書類の真正性に疑いを抱く理由を持たない限り、記録や証憑書類を真正なものとして受け入れることができる。しかしながら、業務実施者は、証拠として利用する情報の信頼性を検討することが要求される。

59.業務実施者が過去の経験に基づいて、証拠提供者は信頼が置ける、又は誠実であると認識していたとしても、それによって職業的専門家としての懐疑心を保持する必要性が軽減されるわけではない。

≪(2) 職業的専門家としての判断≫

60.職業的専門家としての判断は、保証業務の適切な実施に必要不可欠なものである。
これは、関連する職業倫理に関する規定及び関連する実務指針等を解釈し、保証業務の過程を通じて要求される十分な情報に基づく判断を行う際に、関連する研修、知識及び経験を事実と状況に対して適用することが必要なためである。職業的専門家としての判断は、特に以下の事項において必要である。
・ 重要性及び保証業務リスク
・ 関連する実務指針等の要求事項を満たし、証拠を入手するために実施する手続の種類、時期及び範囲
・ 十分かつ適切な証拠が入手されたかどうか、及び関連する保証業務に関する実務指針の目的を達成するために、追加して行うべき事項があるかどうかの評価。特に、限定的保証業務の場合、意味のある水準の保証が得られたかどうかを評価する際に職業的専門家としての判断が必要となる。
・ 直接報告による保証業務の場合、主題に対してどのように規準を適用するかに関する個々の業務における具体的な取扱いの決定。さらに、業務実施者が規準を選択又は策定した場合には、当該選択又は策定
・ 主題情報の提示を受ける保証業務の場合、主題に責任を負う者又はその他の者によって行われる規準の適用、選択又は策定に関する判断の評価
・ 入手した証拠に基づいて導き出される適切な結論

61.業務実施者に期待される職業的専門家としての判断は、研修、知識及び経験を通じて合理的な判断を行うのに必要な能力を身に付けた業務実施者により行使される。

62.業務実施者は、どのような場合でも、自身が知っている事実と状況に基づいて、職業的専門家としての判断を行使する。専門性が高く、判断に困難が伴う事項や見解が定まっていない事項に関して、保証業務の実施中に業務チーム内及び業務チームと監査事務所内外の適切な者との間で専門的な見解の問合せを実施することは、業務実施者が十分な情報を得た上で合理的な判断を行うのに役立つ。

63.職業的専門家としての判断は、保証、測定及び評価の基準を適切に適用しているかどうか、また、保証報告書の日付までに業務実施者が認識した事実と状況に照らして適切かつ整合的に行われているかどうかによって評価される。

64.職業的専門家としての判断は、保証業務の過程を通じて行使される必要があり、また、適切に調書に記載される必要がある。業務実施者は経験豊富な業務実施者が以前に当該保証業務に関与していなくても、業務の過程で生じた重要な事項に関する結論に到達する際の職業的専門家としての重要な判断を理解できるように調書を作成することが要求される。職業的専門家としての判断は、事実や状況又は十分かつ適切な証拠による裏付けのない判断を正当化するために利用されるものではない。

≪(3) 証拠の十分性と適切性≫

65.証拠の十分性と適切性は、相互に関連する。十分性は、証拠の量的尺度である。必要な証拠の量は、主題情報に重要な虚偽表示が含まれるリスクの程度によって影響を受け(当該リスクの程度が高いほど、より多くの証拠が要求される。)、また、証拠の質によっても影響を受ける(質が高いほど、少ない証拠で済む。)。しかしながら、数多くの証拠を入手したとしても、証拠の質の低さを補完しないことがある(第 85 項及び第 86 項参照)。

66.適切性は証拠の質的尺度である。すなわち、業務実施者の結論に対する裏付けとなる証拠の適合性と証明力である。

67.証拠の証明力は、証拠の情報源及び種類並びに証拠を入手する状況によって影響される。したがって、様々な種類の証拠の証明力の一般化については、重要な例外が存在する。適切な当事者以外の外部の情報源から入手した証拠であっても、入手する状況によって情報の信頼性に影響する。例えば、独立した情報源から入手した証拠であっても、その情報源が十分な知識を有していない場合、又は客観性を欠いている場合には、信頼できないことがある。なお、このような例外はあるものの、証拠の証明力は、一般的には以下のとおりである。
・ 証拠は、適切な当事者から独立した情報源から入手した場合、証明力がより強くなる。
・ 適切な当事者が作成する証拠は、関連する内部統制が有効な場合、証明力がより強くなる。
・ 業務実施者が直接入手した証拠(例えば、内部統制の運用について観察により入手した証拠)は、間接的に又は推論に基づいて入手した証拠(例えば、内部統制の運用について質問により入手した証拠)よりも、証明力が強い。
・ 証拠は、紙媒体、電子媒体又はその他の媒体にかかわらず、文書化されたものが存在する場合、口頭で得たものよりも、証明力が強い(例えば、議事録は、会議の後の口頭による議事説明よりも証明力が強い。)。

68.複数の情報源から入手した証拠に矛盾がない場合又は異なる種類の証拠が相互に矛盾しない場合には、通常、個々に検討された証拠に比べ、より確かな心証が得られる。
また、複数の情報源から証拠を入手することや、異なる種類の証拠を入手することにより、他の証拠を裏付ける一方で、個々の証拠の証明力が低いことが示唆されることがある。ある情報源から入手した証拠が他の情報源から入手した証拠と矛盾する場合、当該矛盾を解消するためにどのような手続の追加が必要であるかを判断する必要がある。

69.十分かつ適切な証拠を入手する観点からは、一定時点の主題情報よりも、一定期間を対象とする主題情報に対して保証を得ることのほうが難しい。さらに、通常、プロセスに関する結論は、保証業務の対象としている期間に限定されることから、当該プロセスが将来も機能し続けるかどうかについての結論は提供しない。

70.業務実施者の結論の基礎となる十分かつ適切な証拠を入手したかどうかは、職業的専門家としての判断に係る事項であり、それには、入手する証拠の費用と便益を比較衡量することも含まれる。業務実施者は、保証報告書の基礎となる証拠の量及び質、すなわち証拠の十分性と適切性の評価において、職業的専門家としての懐疑心を保持し、職業的専門家としての判断を行使する。


 

|

« 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定 | Main | JNSAの2020年セキュリティ十大ニュース »

Comments

Post a comment



(Not displayed with comment.)




« 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定 | Main | JNSAの2020年セキュリティ十大ニュース »